选购网络访问控制产品的五点建议

日期: 2009-11-11 作者:Jennifer Jabbusch翻译:行久 来源:TechTarget中国 英文

金融机构,尤其是银行,在网络防护上都有其独特的要求。除了要修复一般的漏洞和抵御外部攻击,金融机构还面临着有针对性的恶意攻击和来自内部的攻击。   在挑选网络访问控制(NAC)产品时,由金融机构特有的需求将带来一系列的具体要求。以下便是金融服务企业在选择评估NAC工具时应当注意的五个方面。

  1.网络持续正常运行时间及可用性      在金融领域内,数分钟的宕机时间意味着在眨眼之间损失数百万美元。网络交易失败、通讯有误或者任何形式的网络不可用都可能危及各类金融机构的命脉。这些金融机构比一般的实体商业公司承担着更大的责任,因为其不仅仅对自己的持股人负责,而且还需对其……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

金融机构,尤其是银行,在网络防护上都有其独特的要求。除了要修复一般的漏洞和抵御外部攻击,金融机构还面临着有针对性的恶意攻击和来自内部的攻击。

  在挑选网络访问控制(NAC)产品时,由金融机构特有的需求将带来一系列的具体要求。以下便是金融服务企业在选择评估NAC工具时应当注意的五个方面。

  1.网络持续正常运行时间及可用性
   
  在金融领域内,数分钟的宕机时间意味着在眨眼之间损失数百万美元。网络交易失败、通讯有误或者任何形式的网络不可用都可能危及各类金融机构的命脉。这些金融机构比一般的实体商业公司承担着更大的责任,因为其不仅仅对自己的持股人负责,而且还需对其客户和合作者负责。
   
  网络访问控制产品从本质上来说就是对系统的某种限制,很容易被认为是引起资源不可用的罪魁祸首。如果一个连接设备或目标资源被网络访问控制工具所限,无论是否正当,结果都无异与一段意外停机时间。
   
  挑选一款NAC产品必须同时满足企业对于可用性的承受水平和对安全防护级别的要求。许多NAC工具都是可灵活配置并且面向各种非兼容设备。不同的组织可能会有不同的决策方案,有的企业可能更注重提升安全防护,虽然可能带来一些设备停运或延缓;而其他一些企业则可能以放宽安全等级为代价来保障服务的可用性。最好的方案是支持灵活性的同时也能保证在物理和逻辑上都能具有容错性。
  
  2.行业规则需求

  组织机构对于信息安全产品的评价往往只着眼于其技术特征,而不是首先评价产品解决商业需求的能力或者是否推行了相应的管理需求。由于金融企业严格和独特的法规约束,使得银行或金融机构信息技术团队比较不太会落入技术特征的陷阱。然而,在看待NAC技术时这仍是一个陷阱。如何找到一个解决方案,使其既能推行您所需的商业安全要求,同时也能为审计提供必要的报告及会计信息,这成为金融机构NAC部署的关键所在。

  3.对当前环境及对未来继续集成的支持

  寻找一款能够支持当前网络环境的网络访问控制产品听起来似乎很"傻",然而当你得知无数的机构在尚未清晰理解所有网络访问控制组件如何结合使用前就开始对各种网络访问控制产品做评估后,一定异常惊讶。

  在业界,NAC没有单一的含义,因此对厂商和产品的交叉比较和评估也没有价值。同时存在着众多方式来实现网络访问控制,包括第二层的基于端口安全的部署方式和第三层的基于IP安全的控制部署方式。每个不同的产品和实施组合方案对网络上的组件及连接网络的设备有不同的要求。在金融领域中,除了ATM自动提款机、各种终端及其他重要的基础设施外,其网络主要支持基本的Windows系统的单机、打印机及VoIP网络电话,因此在您着手选购前了解网络访问控制产品是否支持您的环境是很重要的。

  目前仅有少数的一些机构在考虑如何实现高级别的NAC一体化,然而,这一点势必成为未来选择NAC框架和生产厂商的一个评估因素。先进的集成方式将结合传统的逻辑上的信息安全与物理上的安全机制。例如当前有一些机构对事实上无权进入某栋建筑、办公室或数据中心的人员限制其对相应信息资源的访问权限。虽然这一层次的整合尚不普遍,然而其对金融机构也起到了一定的影响和参考意义。应该密切关注那些做出支持标准和基于框架整合承诺的NAC厂商,因为当前非盈利可信计算组织的可信网络连接架构正是基于这些框架的。
   
  4.粒度终端完整性
   
  相对于攻破那些网络上的未受过相应安全培训的用户而言,攻破由防火墙保护的高安全级别的银行设施无疑是个很大的难题。恶意软件、间谍软件以及网络钓鱼软件往往针对金融机构的雇员进行攻击,因为其有利可图、易于得手、并且难以被追查到。
   
  对于金融机构以及其他易受到由雇员和网络用户偶然或无恶意的攻击的高风险机构而言,具有高粒度终端完整性检查和执行的网络访问控制产品是至关重要的。具有详细终端完整性的NAC工具一般包括一个常驻客户端的代理用于监视、报告和控制某些用户操作。网络访问控制的这部分组件使得企业多了一层应对恶意软件的安全保护--通过检查各终端的安全状态来实现;例如,强制更新防毒软件到最新版本,核实是否安装了反间谍软件以及禁止用户访问有潜在危害的应用或网络资源。这些控制起到了阻止用户将潜在的危险引入到网络中,而这些潜在的危险往往是用户所未知的。金融机构频繁地受到这类雇员无意引入的危害,这使得此类控制机制尤为重要。要认清这一点,要使得用户杜绝无意中的违规操作的难度远大于保护网络不受用户的各类“攻击”。
   
  5.使用寿命和后期支持
   
  最后一点,但显然不是无关紧要的,所有的机构都会考虑到产品的使用寿命以及其厂商对于后续支持的力度。当前在NAC业界还不存在领头厂商,各厂商都竞相比拼着成为领头羊。这使得市场出现了一定的混乱,各厂商都开出“空头支票”来赢得市场、赚取利润并力争出头。在这样的状况下,您更要时常地关注您的供应商,并且要求其提供您所关心的技术方面未来2-3年内的技术支持方案,询问其现在支持的是何种标准和框架以及其未来的支持计划,并确保与您的需求相一致。

作者

Jennifer Jabbusch
Jennifer Jabbusch

相关推荐