是否应该设立上网时必须达到的最低安全标准

一位IT经理非常赞赏对遭到恶意软件感染的计算机登录互联网的用户应该被切断链接的观点。而对于这一问题，我的态度不仅仅是“支持”，而是“当然是啦!”并且，正如他所指出的，大家都支持这种做法的话，就可以防止垃圾邮件、恶意软件之类的垃圾，以及分布式拒绝服务(DDOS)对互联网信息高速公路的前后夹击。

他指出，在得知公司选择向遭到恶意软件感染的用户发出警告，提醒他们硬盘上存在垃圾，而不是切断链接的时间，简直把他气坏。

微软公司负责可信赖计算的副总裁斯科特·查尼刚刚提出这样的观点：“正如一名没有接种疫苗的个体会给其它人的健康带来威胁，没有受到保护或者被僵尸网络破坏的计算机也会给其它计算机造成问题，并让整体环境面临更大的威胁。在现实世界中，国际、国家和地方卫生机构负责识别、跟踪和控制疾病的传播，在必要时，他们可以将嫌疑人隔离，以避免他人被感染。简而言之，我们需要提高和保持连接到互联网上用户设备的安全性，以避免发生更大范围的威胁。为了实现这一目标，各国政府、信息技术产业、互联网接入提供者、使用者以及其它相关人员应该采取措施，对消费者的设备进行安全评估，只有在安全性获得确认的情况下，才能容许他们自由访问互联网和其它关键资源。

换句话说，如果设备没有受到保护的话，那么，就对不起了，你不能登录互联网。这种观点来自微软公司的一位高层让我感觉有点讽刺意味。毕竟，依据德国信息安全公司G数据的调查结果显示，所有恶意软件中的99.4%是基于Windows主机。不过，这听起来很合适。

因此，从逻辑上讲，最好的办法就是将Windows从互联网上踢出去!好吧，虽然我也赞同这种想法，但它是不可能发生的。

因此，我们能做些什么?嗯，首先，互联网服务供应商们应该在可接受使用策略(AUP)中增加这样的内容。如果用户使用的设备被证明正在发送垃圾邮件，参与分布式拒绝服务攻击，或者以其它形式造成威胁的话，ISP可以锁定相关帐户，直到他们清除了自己计算机上感染的恶意软件为止。

他们怎样才能做到这一点呢?网络访问控制(NAC)就是最佳的选择。

在公司里，NAC技术可以确保最终用户的计算机或其他任何终端只有在符合现有安全策略的时间，才能登录到内部网络上。所以，网络管理员可以锁定没有安装系统最新补丁或者将病毒库更新到最近版本的企业反病毒软件的计算机。

市面上现在已经出现了很多种NAC解决方案。比较流行的有思科提供的安全访问控制系统、可信赖计算组织提供的可信赖网络连接(TNC的PDF文件链接)和微软提供的网络访问保护(NAP)。以及可以支持任何规模的公司或ISP的各种其它解决方案。

公司选择NAC技术，并不是用来对上网情况进行监控，并且，我们并不会要求用户证明自己的系统是安全的，或者安全性比较高，我们使用NAC的唯一目的是锁定在网上制造垃圾的硬件设备。直到系统证明威胁已经被清除为止，我们可以将它锁定在虚拟局域网(VLAN)监狱中，这里面能够登录上的唯一网站提供的内容，就是告诉他们怎么做才能摆脱目前面临的问题。

未经允许不得转载：DOIT » 是否应该设立上网时必须达到的最低安全标准