大型制造企業(yè)的安全系統(tǒng)部署側(cè)記

申請免費(fèi)試用、咨詢電話：400-8352-114

安全的靈感

身為某國有大型制造企業(yè)的IT主管，謝沖（化名）發(fā)現(xiàn)和日趨頻繁的安全事件作斗爭，努力維護(hù)企業(yè)安全制度的遵從，已經(jīng)成了他最近面臨的主要挑戰(zhàn)。

“各種應(yīng)用濫用、錯(cuò)誤配置、惡意訪問關(guān)鍵企業(yè)系統(tǒng)漸臻盛行，”謝沖撓頭地說，“即便我在辦公室里面手腳不閑，但還是不得不優(yōu)先保證高級經(jīng)理們的需求，讓他們即使是在星巴克喝咖啡，也可以通過移動(dòng)設(shè)備輕松瀏覽電子郵件。”

談起移動(dòng)應(yīng)用，謝沖臉上總是洋溢著一種又愛又恨的表情。無疑，近幾年移動(dòng)辦公絕對是知識(shí)工作者的新寵，然而在帶來便利的同時(shí)，這些外網(wǎng)移動(dòng)用戶在接入企業(yè)網(wǎng)絡(luò)時(shí)也帶來了新的安全問題。當(dāng)然，企業(yè)的安全威脅并不只來自網(wǎng)絡(luò)外部，它也可能來自企業(yè)網(wǎng)絡(luò)內(nèi)部。事實(shí)上，病毒、內(nèi)部網(wǎng)絡(luò)濫用、便攜機(jī)、內(nèi)部非授權(quán)訪問是內(nèi)網(wǎng)安全的四大威脅。

謝沖并不是唯一陷入這種困境的人。各種安全技術(shù)，邊界防火墻，防病毒，入侵檢測和驗(yàn)證等，都是針對開放式網(wǎng)絡(luò)中的個(gè)別問題而開發(fā)的解決方案。但很多IT經(jīng)理發(fā)現(xiàn)，在部署了這些技術(shù)以后，企業(yè)會(huì)發(fā)現(xiàn)因?yàn)榘踩夹g(shù)無法強(qiáng)制落實(shí)，遠(yuǎn)達(dá)不到安全策略的需要。

謝沖認(rèn)為，這種問題的根源來自于網(wǎng)絡(luò)端點(diǎn)的保護(hù)和控制。例如，很多安全事件是由簡單的桌面配置錯(cuò)誤和安全補(bǔ)丁未及時(shí)升級造成的。

“我需要一種新的技術(shù)方案，可以確保企業(yè)的每個(gè)終端在接入網(wǎng)絡(luò)前符合安全策略，阻止不安全和未授權(quán)的行為，從而保護(hù)企業(yè)網(wǎng)絡(luò)的安全完整性。當(dāng)然，通過系統(tǒng)的自動(dòng)控制，可以在很大程度上減少制度落實(shí)上的麻煩” 謝沖補(bǔ)充說。

在具體方案的配置上，謝沖花了不少心思?！拔覀€(gè)人比較關(guān)注使用以應(yīng)用程序?yàn)橹行牡姆阑饓夹g(shù)，希望可以更好地阻止蠕蟲、木馬和黑客攻擊，特別是防止針對系統(tǒng)漏洞的攻擊。當(dāng)然，這要求系統(tǒng)必須分析流入流出的通訊中有無惡意行為，并且阻止入侵的發(fā)生。而且，每當(dāng)公司員工連接網(wǎng)絡(luò)時(shí)，系統(tǒng)也要幫我們確認(rèn)終端是否符合企業(yè)管理策略，并根據(jù)檢查結(jié)果授予或者拒絕其接入權(quán)限?！?/p>

謝沖承認(rèn)，他的很多靈感來自于時(shí)下熱門的大學(xué)校園網(wǎng)改造方案。“很多技術(shù)已經(jīng)在大學(xué)中試驗(yàn)過了，企業(yè)同樣可以從中受益。畢竟IT經(jīng)理精力有限，不可能對所有的企業(yè)訪問密切關(guān)注，因此系統(tǒng)需要智能地甄別出來自于家庭、賓館和無線區(qū)域的訪問，并進(jìn)行強(qiáng)制加密通訊，為了保證持久的安全性，系統(tǒng)也需要自動(dòng)下載和安裝任何缺失的病毒庫、防火墻策略、IDS特征庫、軟件補(bǔ)丁和安全工具，將企業(yè)端點(diǎn)修復(fù)到可信狀態(tài)?！?/p>

技術(shù)上的保證

作為項(xiàng)目的承建商，賽門鐵克公司的工程師張晨認(rèn)為，謝沖的想法在很多IT經(jīng)理中帶有普遍性，“IT技術(shù)總是隨著市場和管理的需要而進(jìn)步，企業(yè)企盼通過將端點(diǎn)安全狀況信息和網(wǎng)絡(luò)準(zhǔn)入控制結(jié)合在一起，來顯著提高網(wǎng)絡(luò)計(jì)算架構(gòu)的安全?！?/p>

據(jù)悉，到記者發(fā)稿時(shí)止，賽門鐵克公司已經(jīng)為謝沖的公司提供了全套Sygate  Enterprise Protection 5.0（SEP 5.0）安全控制方案。張晨解釋說，該系統(tǒng)的主要任務(wù)，就是在企業(yè)網(wǎng)絡(luò)的所有端點(diǎn)設(shè)備安裝安全代理，只要這些設(shè)備一啟動(dòng)，它的代理會(huì)向強(qiáng)制服務(wù)器驗(yàn)證，保護(hù)就會(huì)生效。

謝沖認(rèn)為，這種技術(shù)有點(diǎn)類似大學(xué)校園網(wǎng)的全網(wǎng)安全解決方案，“企業(yè)的IT人員利用安全代理可以洞悉每個(gè)應(yīng)用程序的網(wǎng)絡(luò)通訊，并搜索其中的異常。而多層防火墻及主機(jī)入侵防御（HIPS）技術(shù)可以監(jiān)視每個(gè)應(yīng)用程序使用的文件，檢查操作系統(tǒng)和程序的安全以及補(bǔ)丁級別，在未授權(quán)的流量發(fā)生時(shí)，可以在操作系統(tǒng)的最底層阻止流量。”

這種技術(shù)還有一點(diǎn)好處，那就是安全代理能夠根據(jù)連接類型和網(wǎng)絡(luò)處所來匹配策略，以確保用戶在擁有最大靈活性的同時(shí)還具備最健壯的端點(diǎn)保護(hù)。連接類型包括無線、以太網(wǎng)、撥號和VPN接入。網(wǎng)絡(luò)處所可能是住宅、星巴克、酒店、會(huì)場或者公司。這樣，安全保護(hù)的解決方案以自動(dòng)化的方式保證不同處所下最安全的策略得以執(zhí)行，防止移動(dòng)設(shè)備受到黑客攻擊，也解決了謝沖最頭疼的問題。

企業(yè)的“三原則”

謝沖認(rèn)為，對于目前的大型企業(yè)來說，在部署終端安全系統(tǒng)的時(shí)候，仍舊需要評估相應(yīng)的風(fēng)險(xiǎn)，同時(shí)盡可能與廠商一起合作，根據(jù)自身需求配置安全策略，以便減少應(yīng)用上的風(fēng)險(xiǎn)，并且在整個(gè)網(wǎng)絡(luò)中強(qiáng)制貫徹這個(gè)策略。

“當(dāng)初我們決定更新系統(tǒng)的動(dòng)因之一，就是由蠕蟲和病毒引起的破壞，已經(jīng)清晰地證明了企業(yè)防護(hù)措施的不完備?！?謝沖回憶說，“我建議有類似需求的同行注意，在選擇企業(yè)的終端安全解決方案時(shí)，企業(yè)應(yīng)該考慮那些自設(shè)計(jì)之初就堅(jiān)持三原則的系統(tǒng)?！?/p>

所謂“三原則”，其實(shí)是謝沖經(jīng)過多年IT項(xiàng)目所總結(jié)的經(jīng)驗(yàn)，對于大型企業(yè)來說，部署新系統(tǒng)，還真是不能少了這三點(diǎn)。

第一，先進(jìn)性原則。

謝沖指出，追求先進(jìn)性不是要追新潮，而是要求企業(yè)能夠保證所采用的產(chǎn)品、技術(shù)屬世界主流，最好是在相關(guān)領(lǐng)域占有較大的市場份額。這樣的好處是，大型企業(yè)可以獲得持續(xù)且完善的支持與服務(wù)，對于安全產(chǎn)品來說，沒有哪個(gè)IT經(jīng)理會(huì)希望經(jīng)常被迫“嘗鮮”的。

第二，靈活可靠原則。

所謂靈活性和可靠性，主要是說網(wǎng)絡(luò)安全系統(tǒng)的性能指標(biāo)，能夠滿足企業(yè)在相當(dāng)長時(shí)間內(nèi)全網(wǎng)綜合系統(tǒng)發(fā)展所需的存儲(chǔ)量和處理能力的要求。謝沖認(rèn)為，這點(diǎn)在大學(xué)校園網(wǎng)中體現(xiàn)得特別明顯，畢竟現(xiàn)在用千兆，誰能保證以后不上萬兆，不上VoIP？另外，安全系統(tǒng)應(yīng)切實(shí)滿足企業(yè)業(yè)務(wù)的需要，在可靠的基礎(chǔ)上要易于維護(hù)，因?yàn)橥髽I(yè)的IT人員都是不充足的。

第三，兼容互操作原則。    

對于兼容性和互操作性，謝沖的看法是：大型企業(yè)往往有很多分支系統(tǒng)，特別是歷史的積累比較多。因此企業(yè)所采用的技術(shù)和產(chǎn)品，必須支持符合國際標(biāo)準(zhǔn)和工業(yè)標(biāo)準(zhǔn)的相關(guān)接口，可以與其他主流安全產(chǎn)品進(jìn)行很好的融合，以便實(shí)現(xiàn)不同廠商安全產(chǎn)品的互相作用，從安全防護(hù)上做到1＋1 > 2，既保證企業(yè)以往安全投資的有效性和大量縮減新的投資，又能使企業(yè)網(wǎng)絡(luò)的安全防護(hù)能力上升到一個(gè)新的高度。(ccw)