本文目录导读:

网络访问控制(NAC)的合规检查,并非一次性动作,而是一个持续监控、动态调整、证据留存的闭环流程,其核心是确保接入网络的设备(终端、服务器、IoT等)在身份、安全状态、行为三个维度上符合预设的安全策略和行业标准(如等保2.0、ISO 27001、GDPR等)。
以下是进行NAC合规检查的标准步骤与关键要点:
明确检查依据与标准
首先需要确定“符合什么”,不同场景依据不同:
| 合规场景 | 核心检查要求 | NAC相关点 |
|---|---|---|
| 等保2.0 (三级) | 身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范 | 强制802.1X认证、终端安装杀软/补丁、日志审计对接 |
| ISO 27001 | A.9访问控制、A.12运营安全、A.13通信安全 | 设备合规检查、网络隔离、最小权限原则 |
| PCI DSS | 保护持卡人数据、限制网络访问 | 隔离卡数据环境、禁用未授权无线、记录所有连接 |
| 内部安全基线 | 公司自定的安全配置标准 | 如:必须开启防火墙、禁用USB、安装EDR |
六大核心合规检查项
部署NAC后,需从以下6个维度进行技术性检查:
身份认证合规
- 检查点:
- 是否启用了1X(有线+无线)或MAC认证旁路(仅限打印机/摄像头等受控设备)?
- 证书认证使用情况(比用户名密码更合规)。
- 是否存在共享账户或默认密码(如admin/admin)?
- 合规指标: 未通过802.1X认证的设备必须被隔离在访客VLAN或阻断VLAN。
终端安全状态合规 (Posture Assessment)
- 检查点(这是NAC的核心价值):
- 防病毒: 安装状态、病毒库是否为当日/最新版本?
- 补丁管理: 是否遗漏关键安全补丁(如季度累计更新)?
- 磁盘加密: 是否启用BitLocker/FileVault?
- 防火墙: 终端防火墙是否处于开启状态?
- 防篡改: 是否安装了EDR(端点检测与响应)且正常运行?
- 合规动作: 不符合条件的设备,NAC应自动将其放入“隔离修复VLAN”,并引导用户访问修复门户(Captive Portal)。
授权与网络隔离合规
- 检查点:
- 权限最小化: 普通员工是否只能访问业务系统,不能随意访问服务器网段或管理网段?
- 动态VLAN分配: NAC是否根据用户角色(员工/访客/运维)和设备类型(PC/手机/IoT)自动分配不同的VLAN(虚拟局域网)?
- 通信白名单: 是否启用了基于MAC或IP的ACL(访问控制列表)限制设备可访问的IP范围?
- 合规指标: 不应存在“所有人都在一个扁平二层网络”的情况。
资产可见性与生命周期管理
- 检查点:
- 网络交换机上是否能看到所有连接的设备的MAC、IP、主机名、操作系统、接入端口?
- 是否建立了资产台账,并能识别“影子IT”(员工私自接入的个人热点、无线路由器、树莓派)?
- 老旧/退役设备: 是否已从NAC中移除授权?
- 合规工具: 定期运行网络扫描并与CMDB(配置管理数据库)比对。
日志与审计合规
- 检查点:
- 全面记录: NAC设备是否记录了每一次认证成功/失败、授权变更、隔离事件、健康状态检查结果?
- 日志溯源: 是否能根据一段时间内的日志,追溯到“某台特定IP的机器在某个时间点被隔离了多久”?
- 集中存储: 日志是否被发送到SIEM(安全信息与事件管理系统)或审计平台,且保存时间满足法规要求(如等保要求6个月以上)?
- 合规指标: 不可修改、时间戳准确、可关联查询。
应急响应合规
- 检查点:
- 自动阻断: 检测到已知恶意流量或中毒设备时,NAC能否在数秒内自动将该端口动态断开或切换至隔离VLAN?
- 手动熔断: 管理员能否一键隔离特定IP/MAC的机器?
- 恢复流程: 设备通过修复后,能否自动恢复网络访问?
合规检查的操作流程 (Checklist)
建议按以下步骤进行周期性检查:
基线审计 (初次/每季度)
- [ ] 确认NAC策略与公司安全策略一致。
- [ ] 检查策略中是否存在过于宽泛的例外规则(所有苹果设备都免检 → 这通常是合规漏洞)。
- [ ] 确认认证服务器(如RADIUS)证书未过期。
穿透性测试 (每月)
- [ ] 尝试使用未授权的设备接入网络,看是否被自动隔离。
- [ ] 使用已授权但未安装杀毒/未打补丁的终端接入,看NAC是否强制其进入修复流程。
- [ ] 测试能否通过私设DHCP服务器或代理绕过NAC检查。
日志与报告审查 (每周/严重事件后)
- [ ] 检查“认证失败记录”,是否存在大量重复失败的设备(可能代表攻击或配置错误)。
- [ ] 检查“隔离修复队列”,查看最常被隔离的原因是什么(如“可移动介质被禁用”、“补丁缺失”)。
- [ ] 准备合规报告模板,向管理层展示:接入合规率、异常设备数、处理时长等KPI。
常见合规失败点与对策
| 常见问题 | 合规风险 | 解决方案 |
|---|---|---|
| MAC地址欺骗 | 认证失败,可能被绕过 | 启用802.1X,同时结合RADIUS动态MAC锁定 |
| 访客网络过于开放 | 容易成为跳板,等保不合规 | 对访客网络进行严格带宽限制,并启用网页认证+手机短信验证 |
| 对IoT设备过度信任 | 如摄像头、打印机默认无认证 | 启用MAB(MAC认证旁路)并绑定特定端口分配给IoT;或使用设备指纹识别 |
| 策略变更无审批 | 审计时无法解释配置篡改 | 启用NAC管理后台的变更管理或配置版本控制 |
| 忽略无线网络 | AP(接入点)直连核心,绕过NAC | 确保无线控制器也集成NAC策略;关闭非授权SSID |
NAC合规检查的本质是:验证网络准入的大门是否只对“已知、可信、健康”的实体打开。
一个好的检查应能回答以下三个问题:
- 谁能进? (认证强不强?)
- 进来的人状态好吗? (有没有带病?)
- 好人进来后,去的地方合规吗? (授权与隔离对不对?)
建议将NAC的合规检查纳入企业的内控与审计计划,每半年至少进行一次正式的合规审计演练,如果您的环境基于特定NAC品牌(如Aruba ClearPass、Cisco ISE、华为iMaster NCE-Campus或开源FreeRADIUS),可以针对其具体功能进行调整,但核心逻辑一致。