企业安全建设之自建准入系统

企业安全建设之自建准入系统，本文介绍了下自建准入系统的经历，该系统在某大型互联网公司稳定运行了5年。

准入系统简介

网络准入控制 (NAC)是一项由思科发起、多家厂商参加的计划，其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助NAC，企业可以只允许合法的、值得信任的设备(例如PC、服务器、PDA)接入网络，而不允许其它设备接入。

亡羊补牢

互联网公司除了美国上市基本就没有安全合规压力，一切以业务发展和工作效率为第一驱动力，所以费钱费人力的安全的建设主要依赖事件驱动，我们上准入前就遇到这么几个倒霉事：

办公网大量PC杀毒被员工卸载，又没及时打补丁，结果中了当时都觉得非常low的arp病毒，几层办公区网断了，影响了小一千RD开发。

愤青小员工发帖，叔叔上门查水表，我们差点没查出是谁。

痛点

基于历史教训，我们上准入系统想解决的痛点简单归纳就是：

身份认证：wifi和有线接入到情况下能设备/IP与人绑定，调查安全事件可以定位到人

权限限制：不同职能的人群网络权限不一样，权限最小化

安全加固：满足公司安全基线要求的设备才能接入内网，没装杀毒没打补丁就禁止接入

这上面任何一个问题，其实都有别的解决方案，例如绑定mac之类，但是当时我们北京四个楼，两千RD，大量使用wifi移动办公，有线网络有的大楼接入都是傻hub，有的是华三31，有的是思科29，目测也就上准入才能搞定了。

三人行必有我师

语文老师说三人行必有我师，历史老师说师夷长技以制夷，总之我们根据当时gartner的排名，调研了国外几家准入厂商的产品，总结了下它们的优点：

认证授权与微软域SSO集成

有线无线切换时自动认证

网络控制在三层减少对网络基础设施的依赖