根據美國特工處的最新數據，內部人員攻擊在過去的一年可能已經增加了一倍。但是外部的攻擊仍是主要的威脅，并且還占據著大部分的盜竊記錄，這表明公司并沒有正確地保障其網絡和數據的安全。

主動性的安全控制和安全網絡設計可以在預防內部和外部攻擊方面扮演著重要角色。不幸的是，如果沒有正確的網絡分段和訪問控制，一旦攻擊者獲得了對受害者內部網絡的訪問權，一切都晚了：敏感的服務器已然成為任人宰割的羔羊！

然而，安全損害未必如此悲慘。正如北卡羅來納州“高級數字”公司的首席信息安全官詹妮弗所說，NAC是一種哲學而非技術。依靠網絡分段和訪問控制的深度防御方法可以延緩惡意軟件的傳播，并可以防止敏感系統的暴露。

幾個星期之前，在VxWorks和QNX等嵌入式操作系統中暴露出來的漏洞，凸顯了保障這些設備的安全并且在不影響生產效率的情況下盡可能地隔離它們的必要性。但是，如果濫用多功能設備及類似的系統，將表明對于這些系統的安全影響理解得不夠充分。

例如，開發者為Metasploit Framework發布了新的模塊，它準許從有漏洞的VxWorks設備中進行內存轉儲。在內存轉儲時，就可以找到口令和內部的IP地址，從而準許攻擊者登錄進入一臺交換機，并且改變某臺設備的VLAN，或者是通過一個暴露的賬戶登錄進入一臺服務器。

由于打印機和流媒體設備不僅僅只是啞設備而是完整的客戶端和服務器，所以，很重要的一點是，構建網絡分段來隔離設備，并僅提供足夠業務需要的訪問。

例如，用于將掃描的文檔以電子郵件發送的多功能復印機，應當僅準許它與郵件服務器上tcp的25號端口通信，而不能遠程登錄（telnet）到一臺交換機或文件服務器上的Windows服務器端口。同樣道理，不應當準許嵌入式系統訪問互聯網，也不準許從互聯網訪問它，除非這是Vbrick等媒體流設備的目的。

嵌入式設備只是雇員們將其放到網絡上而不考慮它如何影響安全性的一個方面。在對其客戶的漏洞評估中，AirTight Network公司發現，四分之一的網絡中存在著雇員們所安裝的非授權的無線網絡。

無論是為了工作還是為了易于使用，或者是因為用戶是惡意的，其影響都是一樣的：在無線接入點的范圍內，將內部的公司網絡暴露給任何人。公司策略文檔要求對網絡的任何變更（如增加一個無線接入點）都要嚴格禁止，這固然很好，但是需要部署技術控制來強化策略，并檢測任何違反策略的情況。

基本的技術控制，如每個網絡交換機端口都要限制一個MAC地址，這僅僅是一個開始，但很容易被精通技術的雇員攻克。更高級的控制包括NAC等解決方案，應當能夠確認一個無線設備，并通過關閉它所連接的網絡端口來阻止它對于內部網絡的訪問，或者將它移到一個隔離的VLAN中。

與深度防御并駕齊驅的無線入侵檢測系統（WIDS）也可以加入到網絡中，用以提供針對欺詐性無線設備的另外一層保護。WIDS可以在新的無線網絡出現時對其進行檢測，并向安全人員發出警告。

PCI安全理事會很早就認識到欺詐性的無線網絡的影響，并在PCI DSS（支付卡行業數據安全標準）中要求一年進行四次的無線掃描。但一年掃描四次可能并不夠，因為在兩次掃描之間，一個欺詐性的無線設備可以有大約三個月時間不會受到檢測。

無線設備制造商們正在將WIDS功能包括到其企業級管理系統系統中，用以解決這些問題。其中的一個例子是思科，它提供的思科無線服務模塊（WiSM）可以在檢測到企業網絡中的欺詐性無線設備時，立即對其確認、定位并實施遏制。

任何網絡安全項目的最終目標是防止暴露敏感數據所造成的安全損害，同時又滿足企業的需要。通過網絡分段、策略和技術控制，是完全有可能滿足這個目標的。

【編輯推薦】

1. 實例:網絡訪問控制幫助航空公司減少安全風險
2. 社會工程學在網絡攻擊中的應用與防范