加固網(wǎng)絡邊界 確保企業(yè)網(wǎng)絡安全

申請免費試用、咨詢電話：400-8352-114

在企業(yè)應用中，通常將終端PC機視為網(wǎng)絡的邊界。這是由于一般公司的業(yè)務都是圍繞OA/CRM/erp系統(tǒng)進行的，員工們使用終端PC機（電腦）通過網(wǎng)絡設備，和OA主機、CRM主機、ERP主機進行信息操作，來完成工作。因此一般的公司辦公網(wǎng)的模型都是以服務器為核心，終端機為外圍的組網(wǎng)模式。那么從根源上保障企業(yè)網(wǎng)絡的安全，就必須有效地管理每一個終端PC的安全。

如今，在核心安全、網(wǎng)絡設備安全方面已經(jīng)有了很多成熟的方案和產(chǎn)品，如：AOL訪問控制的三層交換設備、帶有包過濾的路由器，功能更強大的防火墻以及軍工機要部門使用的密管設備，這些設備都能夠有效地保證網(wǎng)絡設備的安全，保證網(wǎng)絡包流量的安全。但是這些安全的防護通常是對外的，用來防御外來侵犯，如黑客攻擊、注入攻擊等等，而網(wǎng)絡內(nèi)部的安全往往被忽視，根據(jù)目前有效數(shù)據(jù)顯示，網(wǎng)絡系統(tǒng)遭到毀滅性打擊的根源往往來自于內(nèi)部。而企業(yè)網(wǎng)絡系統(tǒng)對于內(nèi)部的防御卻比較脆弱，一旦一臺計算機被病毒感染，將可能導致整個網(wǎng)絡內(nèi)所有終端PC感染病毒，所以，現(xiàn)今對于網(wǎng)絡邊界安全管理的需求日益迫切了。

企業(yè)網(wǎng)絡邊界管理存隱患

很長時間以來，網(wǎng)絡邊界安全管理沒有得到足夠的重視，而隨著終端設備的日益增加，面臨的問題也日漸增多，網(wǎng)絡邊界隱患重重。某證券公司營業(yè)部的員工在工作終端上私自安裝軟件，感染了蠕蟲病毒，病毒迅速蔓延，很短的時間內(nèi)就已經(jīng)感染多臺同辦公室電腦，造成整個營業(yè)部網(wǎng)絡癱瘓，影響到正常交易業(yè)務的進行，給股民和證券公司帶來巨大損失。其中很多股民因無法及時進行股票交易錯失良機，甚至有引發(fā)訴訟的危險。也有股民因此轉(zhuǎn)到了其他的證券公司?？梢娂訌妰?nèi)網(wǎng)安全的管理不但關(guān)系到網(wǎng)絡運行的安全，也關(guān)系到企業(yè)業(yè)務的增長。

在生活中我們經(jīng)常會看見這樣的現(xiàn)象，有些人拿著有無線上網(wǎng)功能筆記本電腦隨便到哪個寫字樓附近，都能搜到大量不設密碼的無線路由器，輕松的連上上網(wǎng)。對于這些蹭網(wǎng)的人來說，確實很方便，但是從網(wǎng)絡安全的角度考慮，這里面還是有很大隱患的。

一方面，從蹭網(wǎng)者自身安全的角度上來說，我們接入陌生的網(wǎng)絡之中，很容易遭到潛伏在里面的黑客或者病毒的攻擊，若防御系統(tǒng)不夠強大，后果將非常危險。類似的銀行卡密碼和其他私密信息被盜時有發(fā)生。

另一方面，從企業(yè)網(wǎng)絡管理這角度來說，接入系統(tǒng)的電腦也許就是一個Snifer嗅探器，它來的目的有可能就是竊取公司機密文件，散播病毒，或者攻入主機。也許有人認為可以設置無線接入密碼，但是對于一個公司來說，一個大家都知道的公用密碼是很容易泄露給外人的。而且也有通過有線網(wǎng)絡進行盜取資源的。競爭對手或者破壞者往往冒充來訪者，比如客戶來訪的幌子，在會議室開會的時候以上網(wǎng)收郵件為名要求接入到網(wǎng)絡，從而進行攻擊。很多公司的共享文件服務器上的重要數(shù)據(jù)就是這么不知不覺地就被外人拷走了。而網(wǎng)管卻渾然不知。這樣造成的例如核心技術(shù)機密被盜，商業(yè)機密被盜造成巨大經(jīng)濟損失的案例也比比皆是。

在一些涉密的特殊行業(yè)，對安全性的要求更為嚴格。例如不允許進行U盤的文件操作，不允許私接任何輸入輸出設備，比如打印機，移動硬盤。也不允許光驅(qū)讀取不安全的光碟。更有重點涉密單位軟件研發(fā)人員的計算機在下班之后需要將這些計算機的鍵盤和鼠標禁用。以此保證計算機內(nèi)程序代碼不會遭到人為破壞。

改變企業(yè)網(wǎng)絡邊界管理現(xiàn)狀

因為對企業(yè)網(wǎng)絡邊界管理不善，而遭遇了很多麻煩之后，許多企業(yè)已經(jīng)意識并重視起邊界管理了，加強對網(wǎng)絡終端的管理力度，并制定相應的終端使用規(guī)章制度，例如：上網(wǎng)行為規(guī)范等。規(guī)定員工不能隨便在終端PC上私自安裝軟件、禁止使用聊天工具、下載工具等等，但是如此嚴格的制度，執(zhí)行起來卻不那么容易，幾乎可以說行不通，所以說是有立法無執(zhí)法的。那么有什么方式能夠進行立法監(jiān)督工作呢？使用終端管理軟件成了不二選擇。

目前，在終端管理方面，各廠商的技術(shù)都已經(jīng)相對成熟，國內(nèi)一些網(wǎng)管領(lǐng)域的公司都已經(jīng)提供終端安全管理解決方案了，國內(nèi)產(chǎn)品不僅在功能和實用性方面做的好，而且更加符合國人使用習慣。從技術(shù)角度來說，目前對于邊界安全管理的主流技術(shù)分為兩種：一種是以拆包數(shù)據(jù)分析的方式進行管理的，通常采用類似NetFlow協(xié)議，將網(wǎng)絡中傳輸?shù)臄?shù)據(jù)包轉(zhuǎn)發(fā)到管理服務器上，再由管理服務器對這些數(shù)據(jù)進行拆包分析，發(fā)現(xiàn)非法程序，蠕蟲病毒，非法進程的特征碼后進行限制操作和告警。游龍科技的SiteView EIM就是應用這種方式的一款典型產(chǎn)品。

另一種方式是通過終端Agent（代理程序）的方式。這種方式需要在每臺終端PC上安裝一個很小的代理程序，這個代理程序能夠從根源對終端機進行一些限制操作，由此保證安全。游龍科技的 SiteView DM就是采用這種方式的另一款典型產(chǎn)品。

SiteView EIM和SiteView DM這兩個產(chǎn)品的設計思路是兩個方向，SiteView EIM偏向于對網(wǎng)絡數(shù)據(jù)的分析，能夠通過分析及時發(fā)現(xiàn)問題。而SiteView DM講求從源頭抓起，防患于未然，也可以說是主動安全管理產(chǎn)品。

SiteView DM通過在終端安裝Agent的方式進行管理，且此代理程序是防卸載的，若有人私自卸載了，SiteView DM會將客戶端下載事件發(fā)送給控制臺，網(wǎng)絡管理人員變可及時得知并阻止這樣的行為。

它能夠配合安全軟件、防病毒軟件、防火墻軟件，保護這些軟件發(fā)揮最大功效。當前病毒變種、攻擊變種層出不窮，因此防病毒軟件、防火墻軟件都內(nèi)建可供更新的信息庫使其能夠應付層出不窮的新挑戰(zhàn)。前面的例子也提到，如果殺毒軟件更新不及時，還是會有病毒感染的隱患，因此SiteView DM提供了軟件分發(fā)補丁管理的功能，能夠有效幫助整個網(wǎng)絡中所有的終端機第一時間集體升級到最新的防護版本。

SiteView DM產(chǎn)品設計了分組功能，把不同要求的IP地址分為組，可以對每個組分別受以不同的權(quán)限。而且對于軟件使用權(quán)限，還可以進行時間的設置。比如工作時間不允許用，而下班后則沒有限制等等。在SiteView DM的協(xié)助下，網(wǎng)絡邊界管理"有立法無執(zhí)法"的現(xiàn)狀將得到有效改善。