加固網(wǎng)絡(luò)邊界 確保企業(yè)網(wǎng)絡(luò)安全

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

在企業(yè)應(yīng)用中，通常將終端PC機(jī)視為網(wǎng)絡(luò)的邊界。這是由于一般公司的業(yè)務(wù)都是圍繞OA/CRM/erp系統(tǒng)進(jìn)行的，員工們使用終端PC機(jī)（電腦）通過網(wǎng)絡(luò)設(shè)備，和OA主機(jī)、CRM主機(jī)、ERP主機(jī)進(jìn)行信息操作，來完成工作。因此一般的公司辦公網(wǎng)的模型都是以服務(wù)器為核心，終端機(jī)為外圍的組網(wǎng)模式。那么從根源上保障企業(yè)網(wǎng)絡(luò)的安全，就必須有效地管理每一個(gè)終端PC的安全。

如今，在核心安全、網(wǎng)絡(luò)設(shè)備安全方面已經(jīng)有了很多成熟的方案和產(chǎn)品，如：AOL訪問控制的三層交換設(shè)備、帶有包過濾的路由器，功能更強(qiáng)大的防火墻以及軍工機(jī)要部門使用的密管設(shè)備，這些設(shè)備都能夠有效地保證網(wǎng)絡(luò)設(shè)備的安全，保證網(wǎng)絡(luò)包流量的安全。但是這些安全的防護(hù)通常是對(duì)外的，用來防御外來侵犯，如黑客攻擊、注入攻擊等等，而網(wǎng)絡(luò)內(nèi)部的安全往往被忽視，根據(jù)目前有效數(shù)據(jù)顯示，網(wǎng)絡(luò)系統(tǒng)遭到毀滅性打擊的根源往往來自于內(nèi)部。而企業(yè)網(wǎng)絡(luò)系統(tǒng)對(duì)于內(nèi)部的防御卻比較脆弱，一旦一臺(tái)計(jì)算機(jī)被病毒感染，將可能導(dǎo)致整個(gè)網(wǎng)絡(luò)內(nèi)所有終端PC感染病毒，所以，現(xiàn)今對(duì)于網(wǎng)絡(luò)邊界安全管理的需求日益迫切了。

企業(yè)網(wǎng)絡(luò)邊界管理存隱患

很長(zhǎng)時(shí)間以來，網(wǎng)絡(luò)邊界安全管理沒有得到足夠的重視，而隨著終端設(shè)備的日益增加，面臨的問題也日漸增多，網(wǎng)絡(luò)邊界隱患重重。某證券公司營(yíng)業(yè)部的員工在工作終端上私自安裝軟件，感染了蠕蟲病毒，病毒迅速蔓延，很短的時(shí)間內(nèi)就已經(jīng)感染多臺(tái)同辦公室電腦，造成整個(gè)營(yíng)業(yè)部網(wǎng)絡(luò)癱瘓，影響到正常交易業(yè)務(wù)的進(jìn)行，給股民和證券公司帶來巨大損失。其中很多股民因無法及時(shí)進(jìn)行股票交易錯(cuò)失良機(jī)，甚至有引發(fā)訴訟的危險(xiǎn)。也有股民因此轉(zhuǎn)到了其他的證券公司?？梢娂訌?qiáng)內(nèi)網(wǎng)安全的管理不但關(guān)系到網(wǎng)絡(luò)運(yùn)行的安全，也關(guān)系到企業(yè)業(yè)務(wù)的增長(zhǎng)。

在生活中我們經(jīng)常會(huì)看見這樣的現(xiàn)象，有些人拿著有無線上網(wǎng)功能筆記本電腦隨便到哪個(gè)寫字樓附近，都能搜到大量不設(shè)密碼的無線路由器，輕松的連上上網(wǎng)。對(duì)于這些蹭網(wǎng)的人來說，確實(shí)很方便，但是從網(wǎng)絡(luò)安全的角度考慮，這里面還是有很大隱患的。

一方面，從蹭網(wǎng)者自身安全的角度上來說，我們接入陌生的網(wǎng)絡(luò)之中，很容易遭到潛伏在里面的黑客或者病毒的攻擊，若防御系統(tǒng)不夠強(qiáng)大，后果將非常危險(xiǎn)。類似的銀行卡密碼和其他私密信息被盜時(shí)有發(fā)生。

另一方面，從企業(yè)網(wǎng)絡(luò)管理這角度來說，接入系統(tǒng)的電腦也許就是一個(gè)Snifer嗅探器，它來的目的有可能就是竊取公司機(jī)密文件，散播病毒，或者攻入主機(jī)。也許有人認(rèn)為可以設(shè)置無線接入密碼，但是對(duì)于一個(gè)公司來說，一個(gè)大家都知道的公用密碼是很容易泄露給外人的。而且也有通過有線網(wǎng)絡(luò)進(jìn)行盜取資源的。競(jìng)爭(zhēng)對(duì)手或者破壞者往往冒充來訪者，比如客戶來訪的幌子，在會(huì)議室開會(huì)的時(shí)候以上網(wǎng)收郵件為名要求接入到網(wǎng)絡(luò)，從而進(jìn)行攻擊。很多公司的共享文件服務(wù)器上的重要數(shù)據(jù)就是這么不知不覺地就被外人拷走了。而網(wǎng)管卻渾然不知。這樣造成的例如核心技術(shù)機(jī)密被盜，商業(yè)機(jī)密被盜造成巨大經(jīng)濟(jì)損失的案例也比比皆是。

在一些涉密的特殊行業(yè)，對(duì)安全性的要求更為嚴(yán)格。例如不允許進(jìn)行U盤的文件操作，不允許私接任何輸入輸出設(shè)備，比如打印機(jī)，移動(dòng)硬盤。也不允許光驅(qū)讀取不安全的光碟。更有重點(diǎn)涉密單位軟件研發(fā)人員的計(jì)算機(jī)在下班之后需要將這些計(jì)算機(jī)的鍵盤和鼠標(biāo)禁用。以此保證計(jì)算機(jī)內(nèi)程序代碼不會(huì)遭到人為破壞。

改變企業(yè)網(wǎng)絡(luò)邊界管理現(xiàn)狀

因?yàn)閷?duì)企業(yè)網(wǎng)絡(luò)邊界管理不善，而遭遇了很多麻煩之后，許多企業(yè)已經(jīng)意識(shí)并重視起邊界管理了，加強(qiáng)對(duì)網(wǎng)絡(luò)終端的管理力度，并制定相應(yīng)的終端使用規(guī)章制度，例如：上網(wǎng)行為規(guī)范等。規(guī)定員工不能隨便在終端PC上私自安裝軟件、禁止使用聊天工具、下載工具等等，但是如此嚴(yán)格的制度，執(zhí)行起來卻不那么容易，幾乎可以說行不通，所以說是有立法無執(zhí)法的。那么有什么方式能夠進(jìn)行立法監(jiān)督工作呢？使用終端管理軟件成了不二選擇。

目前，在終端管理方面，各廠商的技術(shù)都已經(jīng)相對(duì)成熟，國(guó)內(nèi)一些網(wǎng)管領(lǐng)域的公司都已經(jīng)提供終端安全管理解決方案了，國(guó)內(nèi)產(chǎn)品不僅在功能和實(shí)用性方面做的好，而且更加符合國(guó)人使用習(xí)慣。從技術(shù)角度來說，目前對(duì)于邊界安全管理的主流技術(shù)分為兩種：一種是以拆包數(shù)據(jù)分析的方式進(jìn)行管理的，通常采用類似NetFlow協(xié)議，將網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包轉(zhuǎn)發(fā)到管理服務(wù)器上，再由管理服務(wù)器對(duì)這些數(shù)據(jù)進(jìn)行拆包分析，發(fā)現(xiàn)非法程序，蠕蟲病毒，非法進(jìn)程的特征碼后進(jìn)行限制操作和告警。游龍科技的SiteView EIM就是應(yīng)用這種方式的一款典型產(chǎn)品。

另一種方式是通過終端Agent（代理程序）的方式。這種方式需要在每臺(tái)終端PC上安裝一個(gè)很小的代理程序，這個(gè)代理程序能夠從根源對(duì)終端機(jī)進(jìn)行一些限制操作，由此保證安全。游龍科技的 SiteView DM就是采用這種方式的另一款典型產(chǎn)品。

SiteView EIM和SiteView DM這兩個(gè)產(chǎn)品的設(shè)計(jì)思路是兩個(gè)方向，SiteView EIM偏向于對(duì)網(wǎng)絡(luò)數(shù)據(jù)的分析，能夠通過分析及時(shí)發(fā)現(xiàn)問題。而SiteView DM講求從源頭抓起，防患于未然，也可以說是主動(dòng)安全管理產(chǎn)品。

SiteView DM通過在終端安裝Agent的方式進(jìn)行管理，且此代理程序是防卸載的，若有人私自卸載了，SiteView DM會(huì)將客戶端下載事件發(fā)送給控制臺(tái)，網(wǎng)絡(luò)管理人員變可及時(shí)得知并阻止這樣的行為。

它能夠配合安全軟件、防病毒軟件、防火墻軟件，保護(hù)這些軟件發(fā)揮最大功效。當(dāng)前病毒變種、攻擊變種層出不窮，因此防病毒軟件、防火墻軟件都內(nèi)建可供更新的信息庫使其能夠應(yīng)付層出不窮的新挑戰(zhàn)。前面的例子也提到，如果殺毒軟件更新不及時(shí)，還是會(huì)有病毒感染的隱患，因此SiteView DM提供了軟件分發(fā)補(bǔ)丁管理的功能，能夠有效幫助整個(gè)網(wǎng)絡(luò)中所有的終端機(jī)第一時(shí)間集體升級(jí)到最新的防護(hù)版本。

SiteView DM產(chǎn)品設(shè)計(jì)了分組功能，把不同要求的IP地址分為組，可以對(duì)每個(gè)組分別受以不同的權(quán)限。而且對(duì)于軟件使用權(quán)限，還可以進(jìn)行時(shí)間的設(shè)置。比如工作時(shí)間不允許用，而下班后則沒有限制等等。在SiteView DM的協(xié)助下，網(wǎng)絡(luò)邊界管理"有立法無執(zhí)法"的現(xiàn)狀將得到有效改善。