企业网路存取控制-云科大计算机网路研究室.ppt

第五章 企業網路存取控制 國立雲林科技大學 自由軟體研發中心 國立雲林科技大學 自由軟體研發中心 第五章 企業網路存取控制 教育部資通訊人才培育先導型計畫 寬頻有線教學推動聯盟中心 第五章 企業網路存取控制 * 前言 5.1 存取安全政策制定、派送與管控 5.1.1 存取控制簡介 5.1.2 存取安全政策制定 5.1.3 存取管控 5.2 電子資料內容加密、實施權限控管 5.2.1 資料加密簡介 5.2.2 權限控管的實施 5.3 稽核使用者存取 隨著網路的發展，企業對網路的依賴越來越重，網路已成為現代化企業不可或缺的一環。員工、訪客、合作夥伴等等的使用者，都需要藉由網路存取企業資源(包括企業的機密資料)。 隨著透過網路存取資料的增加，企業網路被入侵的風險也日益增加。當用戶透過網路連進企業網路、或是遠距辦公時，很有可能在不知不覺中成為被攻擊的對象，進而成為有心人士入侵企業網路的跳板。 此外若有員工將被病毒感染的裝置連接到企業內部網路中，在同一個LAN中的使用者很有可能會跟著遭殃，使得企業網路面臨嚴重的資安威脅。 企業網路若沒有限制使用者的存取權限，任何訪客都可以使用未經管理的連線裝置，透過Internet連進企業網路，這將造成企業機密資料被竊取的危機。 5.1.1 存取控制簡介 如左圖所示，存取控制大概可分類為 系統存取控制 實體存取控制 網路存取控制 系統存取控制 即系統的使用權限控管與身分識別。 實體存取控制 即對各種資訊設備的實體保護，例如門禁管制等等。 網路存取控制 除了對內部系統與實體存取管控之外，對於外部連線 的網路存取也要有控管與保護。 本節將著重在網路存取控制的介紹 第五章 企業網路存取控制 * 存取控制的涵蓋範圍 5.1.1 存取控制簡介 網路存取控制 隨著網際網路的普及，企業使用網路存取資料的比重漸漸增加，以下介紹較常見的網路存取控制措施: 網路服務的限制 對於網路服務的提供應給予限制，避免疏於管理而造成重大的安全漏洞。也就是說使用者只能使用授權範圍內的網路服務，而且不能妨礙網路正常的運作。例如監控即時通訊軟體的通訊內容、禁止使用P2P軟體等等。 使用者身分鑑別 使用者透過外部網路存取企業內部網路資源時，應該要鑑別該使用者的身分，確認是合法的使用者且有對應的權限才執行存取的指令。 網路區隔 網路區隔的意思為利用網路技術將敏感性資料從企業網路區隔或設定為一獨立的網路，並限制一般員工或訪客的連結。左圖所示為將企業網路設定為三個獨立的子網路。 網路連線作業控制 我們應限制外部使用者只能執行特定的工作，例如只能使用E-mail、Http、存取特定的檔案等等。 安全通道 安全通道能確保用戶端與伺服端連線時，雙方資料傳遞的安全性。使用者透過外部網路存取企業內部網路資源時， ，應該要建立一條安全通道。 第五章 企業網路存取控制 * 將企業網路設定為三個獨立的子網路 5.1.1 存取控制簡介 網路存取控制的目的是為了確保使用者在任何時間、任何地點使用任何設備 ( 例如筆記型電腦、桌上型電腦、ＰＤＡ等等 )，存取資料的動作不會危害企業網路的正常運作，也不會造成企業的機密資料外洩。 網路存取控制整合了使用者、網路設備、安全存取的相關技術；主要包含認證、授權、計費 (稱為AAA)機制的實現，端點設備的整合及公司安全政策的管理及執行，網路隔離與修復區域的規劃等等。 左圖為一個網路存取控制的示意圖，當內部使用者想要存取外部網路的資源時，網路存取控制主機會根據網路管理員所設定的安全政策來檢查該使用者是否可以存取外部網路的資源；而外部使用者想要透過網路存取公司內部網路的資源時，網路存取控制主機也會檢查該外部使用者是否符合網路管理員所設定的安全政策。網路存取控制主機的部署，可以根據各種需求而有不同的部署方案，左圖並非唯一的部署方案。 第五章 企業網路存取控制 * 網路存取控制示意圖 5.1.1 存取控制簡介 網路存取控制除了實現存取控制機制，還需執行使用者驗證及端點安全評估。 網路存取控制的範圍很廣，比如說遠距工作的存取控管、企業內某一台電腦受到病毒的感染應立即隔離、訪客是否可以透過企業內部網路存取網際網路的資訊等等。 執行網路存取控制的主機可分為政策管理主機、政策遵循檢查及端點檢查主機、強制執行安全存取政策主機等。 左圖為端點安全檢查時的流程，當端點裝置連上網路時，系統會去找尋並安裝端點裝置(發現步驟) ，當安裝完後，系統會去檢查該裝置有沒有違反任何安全政策(執行步驟)，若有發現任何問題，例如沒有更新修補程式，則會強迫該裝置更新(修正步驟)，最後會持續監控該裝置有沒有一直遵守安全存取政策(監控步驟)。 第五章 企業網路存取控制 * 端點安全檢查流程 5.1.1