完美经验助你实现局域网访问控制

　　根据对不同行业、不同规模企业中的数百个局域网安全项目的研究，我们可以发现在企业局域网中对数据进行访问控制一般可以分为以下三类共性的问题：

　　•防范来自内部的威胁。

　　举个例子来说，许多企业通常需要通过网络和承包商进行业务合作。后者必须能够访问该企业的局域网网络，否则他们不能完成他们的任务。他们需要运行特定软件、访问特定文件和特定服务器，但是，他们不需要也不应该有权限来访问所有网络资源。

　　•达到规章制度要求。

　　不同的政府和行业规章要求公司必须实行访问控制策略，并且进行全局应用，而且这种控制要求自动化实现，而不是手工来进行控制。自动化控制可以简化审核过程，因为它们只需要测试一两次就可以，相比之下人工控制方式往往需要测试十几次，而且存在很多不确定性。

　　•限制用户访问敏感信息。

　　企业现在越来越多的希望根据用户在企业中的不同角色来对他们进行识别和区分，然后对不同的角色设定不同的访问权限。举个例子来说，它们可能希望仅允许财务部门员工查看财务信息，或者仅允许客户服务代表有权力查看机密客户数据。

　　看一下那些成功在局域网中实现数据访问控制的企业，它们存在一个共同的地方：在这个安全项目真正开始前，它们的IT部门都花费了大量的时间来分析调查，以真正深入理解为什么要进行访问控制，以及要控制什么。要实现这一点，你可能需要与多个业务部门的人员进行座谈交流，了解他们的工作内容，以及谁需要访问哪些资源：是内部职工还是外部合同商，还是任何技术人员或其他需要访问企业局域网的其他人员。

　　在任何局域网安全项目中要采取的第一步是，识别并区分业务部门的资源访问需求。以下是一些最常见的需要明确的问题，可以供你参考，根据你自己的实际情况来选择：

　　•控制谁能访问局域网;

　　•降低非企业员工将能够访问敏感数据的风险：限制客人只可以访问互联网，而不能访问企业局域网上的资源。对资源进行控制，设定哪一个软件开发者、设计者或其他长期的非员工人员可以访问哪些资源。

　　•为不同的员工设定不同的访问权限。限制每个人只能访问他们需要的数据和应用程序。

　　•控制那些非计算机的网络设备的使用，诸如打印机、VoIP电话、数码相机等等。

　　•防范恶意软件攻击。

　　•实现对政府和行业标准的支持，并让业务组的人也了解这些要求。

　　讨论上述问题的目的是确定企业局域网的当前和长远目标。也就是你需要详细研究网络访问控制(NAC)问题的全面设置，决定谁可以登录到局域网中，并限制他们能够访问的内容。

　　举个例子来说，在项目一开始的时候，多数企业客户一般会先选择分离并限制客人的访问权限。然后其中多数企业计划在以后增加更多细化的控制，尤其是基于角色或基于策略的访问控制，来限制它们员工的访问权限。