Cisco Cisco Identity Services Engine 1.3 전단

安全访问操作指南

思科身份服务引擎

(ISE)

•

您是否需要从现有的访问控制系统 (ACS) 或网络许可控制 (NAC) 设备部署进行迁移？

•

您需要根据贵组织的规模、网络可用性要求、重新验证频率和协议选择，扩展部署多少 ISE 节点？

有关如何执行此方面计算的信息，请查阅《

TrustSec 设计和实施指南》。

•

处理大量并发授权是否需要任何负载均衡硬件或软件？

访客服务

•

对于无法通过 802.1X 或 MAB 进行身份验证的访客、访问者甚至员工，您采取什么安全策略？

•

您是否需要从现有的访客门户（例如思科 NAC 访客服务器）进行迁移？

•

允许何人发起访客帐户？前台员工、所有员工或自行注册？

•

您将允许发起人调配哪些不同的访客服务配置文件？使用日期时间还是从首次登录起的时间？

•

您将要求访客提供什么信息来获得网络访问权限？

•

您将如何审核发起人、调配的帐户和帐户使用情况？

监控、报告和故障排除

•

您现在使用什么监控和报告应用或工具集？

•

对于所有这些新日志和事件，有什么长期存储要求？

通信

最好的做法是，在您的网络访问策略中清楚地传达变更，从而使不合规用户不至于对新的安全和软件要求、
访问限制或

URL 重定向感到意外。

•

您是否从管理层获得了明确授权来阻止、限制和重定向不合规终端和用户？

•

您是否已经提高所有利益相关者和用户对于此网络访问权限变更的认识（需求、好处）？

•

负责的小组是否已准备好统一回应不合规用户？

•

是否将通过多种渠道，包括邮件、内联网、补救站点和支持部门，传达这些网络安全变更？

支持部门

•

支持人员是否就新的安全技术、流程和策略接受了培训？

•

支持人员如何对基于 ISE 的 RADIUS 身份验证相关支持来电进行故障排除？

•

是否需要为 ISE 相关支持开发任何内部工具或应用？

第

5 页