和泰汽車以NAC落實資安政策和泰汽車早在4年前就導入了NAC機制,算是國內早期導入NAC機制的企業之一,該公司當初開始選擇NAC方案時, 思科(Cisco)的NAC方案還尚未推出以交換器為基礎的NAC方案。 和泰汽車資訊部網路通訊室高級專員陳思銘表示,當初之所以會決定導入NAC機制,最大的原因還是在於企業內部網路 的效能問題。和泰汽車在全省擁有8個經銷商,總共200多個據點,由於網路採用集中式架構,這些經銷商據點的所有業 務往來,都必須連回和泰汽車的內網才進行。在這樣的狀況下,處理和泰汽車對外80%左右流量的路由器,就成為重要的 網路架構樞紐。 以路由器做為政策執行據點,掌握終端電腦防毒狀況但是在4年前左右,這臺路由器開始常常會因為企業內部的惡意程式流量太多,導致處理的效能低下。陳思銘表示,當時和泰 汽車雖然規範所有的經銷商,必須在每臺能夠連回和泰汽車內網的電腦上安裝防毒軟體,並且定期更新防毒引擎與特徵碼。 但是由於經銷商的IT是由這些公司自行管理,這也使得雖然針對經銷商制定資安政策,但是政策執行的狀況,和泰汽車卻難 以掌握。陳思銘說:「後來我們才知道,很多經銷商連回我們內網的電腦,甚至連防毒軟體都沒有裝。」 由於有為數眾多的終端電腦難以掌握,和泰汽車發現,如果要確保網路的效能,就必須從終端電腦的健康狀況掌握開始, 如此才能根本的確保終端電腦的防毒軟體達到一定的水準,也才能確保網路的效能不被木馬和病毒等惡意程式所拖累。 「當初的想法其實很簡單,就是想建立一個能與終端防毒軟體相互溝通的協防機制,減少資安的風險。」陳思銘說。 在這樣的狀況下,和泰汽車選擇了思科當時剛推出不久的NAC方案,以路由器為基礎,建立起路由器與防毒軟體間的協防機制。 陳思銘指出,因為和泰汽車原有的網路設備,就是採用思科的產品,也因此部署當時思科的NAC方案,在架構的變更上,並沒有 遭遇太大的困難。而在防毒軟體的互通上,也由於當時和泰全面使用趨勢科技的防毒軟體OfficeScan,而思科的方案剛好 可以支援,這兩點也是和泰汽車願意選擇NAC方案的重要的原因之一。和泰汽車的NAC機制,是以對外的路由器做為政策執行 據點,並且要求所有業務上需要進入和泰汽車內網的經銷商,終端電腦都必須安裝OfficeScan,而OfficeScan在提 供給終端電腦安裝時,也會一併安裝思科NAC方案的終端軟體CTA(Cisco Trust Agent)。 克服路由器連線數過於集中,與軟體版本不一問題雖然先天條件的防毒軟體和路由器相容性,和泰汽車都具備了,但是在NAC機制建立之初,還是發生了一些問題。其中一個 問題就是路由器因為NAC機制的建立,開始必須一一審核每個登入者的防毒軟體狀況,例如有無更新、有無安裝、開啟等, 這使得路由器在依循政策審核時,負擔過大,導致NAC機制失效,連帶的竟然也使得原有的路由功能失效,影響到和泰汽車 的企業運作。 陳思銘指出,後來發現,主要的原因在於政策審核的連線需求過大,而路由器效能又沒有經過最佳化,這才使得它失去作用。 經過原廠技術人員的調整,和泰汽車在路由器審核防毒軟體政策的程序上,改為每個經銷商設定一個政策,減少連線數,解 決了這樣的問題。之後才又將所有經銷商整合到同一個政策,但是同時連線數仍然以分割的方式處理,讓路由器不會再因為 連線數量過多,而發生故障的問題。 另一個問題,則是軟體版本的問題。和泰汽車的NAC機制開始之初,許多經銷商的電腦作業系統版本尚未統一,從Windows XP 一直到98都還有在使用,但是當時思科的NAC機制必須以Windows XP以上的版本才能運作,這也使得和泰汽車必須將所有 的作業系統升級到XP。「現在看起來,當初導入NAC機制,連帶的讓我們將微軟將要停止支援的作業系統版本升級,也是這項計畫 帶來的一個優點。」陳思銘說。 除了作業系統版本的問題,OfficeScan這個防毒軟體,本身也必須同時升級。要讓OfficeScan有辦法與NAC機制互相 溝通,所有的終端電腦使用的OfficeScan必須是同一版本,才能正常運作。這也使得和泰汽車在統一版本和要求經銷商安裝 OfficeScan上,下了不少工夫。「在剛開始的一周,還會有很多沒有安裝或是版本上的問題,但是過了這段時間,狀況就好多了。」 陳思銘說。 導入NAC機制對於和泰汽車來說,最大的效益就是掌握了過去難以掌控的眾多終端電腦,確保防毒的水準,連帶的也使得和泰汽車的 內網受到病毒或是木馬程式感染的風險降低許多。不過當時導入的NAC方案,就現在市場上的NAC方案來看,功能已經略嫌有些不足, 和泰汽車近來也開始準備導入新的NAC方案,期望能夠將現在做不到的作業系統更新等更詳細的終端電腦狀況,一起納入NAC機制中, 並且希望能夠整合身分辨識的需求,能夠由經銷商管理自己的人員,和泰汽車則管理自己的終端電腦,達到更完整的NAC機制。 文⊙劉哲銘 【關於 Cisco】 |