大型制造企業(yè)的安全系統(tǒng)部署側記

申請免費試用、咨詢電話：400-8352-114

安全的靈感

身為某國有大型制造企業(yè)的IT主管，謝沖（化名）發(fā)現(xiàn)和日趨頻繁的安全事件作斗爭，努力維護企業(yè)安全制度的遵從，已經成了他最近面臨的主要挑戰(zhàn)。

“各種應用濫用、錯誤配置、惡意訪問關鍵企業(yè)系統(tǒng)漸臻盛行，”謝沖撓頭地說，“即便我在辦公室里面手腳不閑，但還是不得不優(yōu)先保證高級經理們的需求，讓他們即使是在星巴克喝咖啡，也可以通過移動設備輕松瀏覽電子郵件。”

談起移動應用，謝沖臉上總是洋溢著一種又愛又恨的表情。無疑，近幾年移動辦公絕對是知識工作者的新寵，然而在帶來便利的同時，這些外網移動用戶在接入企業(yè)網絡時也帶來了新的安全問題。當然，企業(yè)的安全威脅并不只來自網絡外部，它也可能來自企業(yè)網絡內部。事實上，病毒、內部網絡濫用、便攜機、內部非授權訪問是內網安全的四大威脅。

謝沖并不是唯一陷入這種困境的人。各種安全技術，邊界防火墻，防病毒，入侵檢測和驗證等，都是針對開放式網絡中的個別問題而開發(fā)的解決方案。但很多IT經理發(fā)現(xiàn)，在部署了這些技術以后，企業(yè)會發(fā)現(xiàn)因為安全技術無法強制落實，遠達不到安全策略的需要。

謝沖認為，這種問題的根源來自于網絡端點的保護和控制。例如，很多安全事件是由簡單的桌面配置錯誤和安全補丁未及時升級造成的。

“我需要一種新的技術方案，可以確保企業(yè)的每個終端在接入網絡前符合安全策略，阻止不安全和未授權的行為，從而保護企業(yè)網絡的安全完整性。當然，通過系統(tǒng)的自動控制，可以在很大程度上減少制度落實上的麻煩” 謝沖補充說。

在具體方案的配置上，謝沖花了不少心思?！拔覀€人比較關注使用以應用程序為中心的防火墻技術，希望可以更好地阻止蠕蟲、木馬和黑客攻擊，特別是防止針對系統(tǒng)漏洞的攻擊。當然，這要求系統(tǒng)必須分析流入流出的通訊中有無惡意行為，并且阻止入侵的發(fā)生。而且，每當公司員工連接網絡時，系統(tǒng)也要幫我們確認終端是否符合企業(yè)管理策略，并根據(jù)檢查結果授予或者拒絕其接入權限?！?/p>

謝沖承認，他的很多靈感來自于時下熱門的大學校園網改造方案。“很多技術已經在大學中試驗過了，企業(yè)同樣可以從中受益。畢竟IT經理精力有限，不可能對所有的企業(yè)訪問密切關注，因此系統(tǒng)需要智能地甄別出來自于家庭、賓館和無線區(qū)域的訪問，并進行強制加密通訊，為了保證持久的安全性，系統(tǒng)也需要自動下載和安裝任何缺失的病毒庫、防火墻策略、IDS特征庫、軟件補丁和安全工具，將企業(yè)端點修復到可信狀態(tài)?！?/p>

技術上的保證

作為項目的承建商，賽門鐵克公司的工程師張晨認為，謝沖的想法在很多IT經理中帶有普遍性，“IT技術總是隨著市場和管理的需要而進步，企業(yè)企盼通過將端點安全狀況信息和網絡準入控制結合在一起，來顯著提高網絡計算架構的安全?！?/p>

據(jù)悉，到記者發(fā)稿時止，賽門鐵克公司已經為謝沖的公司提供了全套Sygate  Enterprise Protection 5.0（SEP 5.0）安全控制方案。張晨解釋說，該系統(tǒng)的主要任務，就是在企業(yè)網絡的所有端點設備安裝安全代理，只要這些設備一啟動，它的代理會向強制服務器驗證，保護就會生效。

謝沖認為，這種技術有點類似大學校園網的全網安全解決方案，“企業(yè)的IT人員利用安全代理可以洞悉每個應用程序的網絡通訊，并搜索其中的異常。而多層防火墻及主機入侵防御（HIPS）技術可以監(jiān)視每個應用程序使用的文件，檢查操作系統(tǒng)和程序的安全以及補丁級別，在未授權的流量發(fā)生時，可以在操作系統(tǒng)的最底層阻止流量。”

這種技術還有一點好處，那就是安全代理能夠根據(jù)連接類型和網絡處所來匹配策略，以確保用戶在擁有最大靈活性的同時還具備最健壯的端點保護。連接類型包括無線、以太網、撥號和VPN接入。網絡處所可能是住宅、星巴克、酒店、會場或者公司。這樣，安全保護的解決方案以自動化的方式保證不同處所下最安全的策略得以執(zhí)行，防止移動設備受到黑客攻擊，也解決了謝沖最頭疼的問題。

企業(yè)的“三原則”

謝沖認為，對于目前的大型企業(yè)來說，在部署終端安全系統(tǒng)的時候，仍舊需要評估相應的風險，同時盡可能與廠商一起合作，根據(jù)自身需求配置安全策略，以便減少應用上的風險，并且在整個網絡中強制貫徹這個策略。

“當初我們決定更新系統(tǒng)的動因之一，就是由蠕蟲和病毒引起的破壞，已經清晰地證明了企業(yè)防護措施的不完備?！?謝沖回憶說，“我建議有類似需求的同行注意，在選擇企業(yè)的終端安全解決方案時，企業(yè)應該考慮那些自設計之初就堅持三原則的系統(tǒng)?！?/p>

所謂“三原則”，其實是謝沖經過多年IT項目所總結的經驗，對于大型企業(yè)來說，部署新系統(tǒng)，還真是不能少了這三點。

第一，先進性原則。

謝沖指出，追求先進性不是要追新潮，而是要求企業(yè)能夠保證所采用的產品、技術屬世界主流，最好是在相關領域占有較大的市場份額。這樣的好處是，大型企業(yè)可以獲得持續(xù)且完善的支持與服務，對于安全產品來說，沒有哪個IT經理會希望經常被迫“嘗鮮”的。

第二，靈活可靠原則。

所謂靈活性和可靠性，主要是說網絡安全系統(tǒng)的性能指標，能夠滿足企業(yè)在相當長時間內全網綜合系統(tǒng)發(fā)展所需的存儲量和處理能力的要求。謝沖認為，這點在大學校園網中體現(xiàn)得特別明顯，畢竟現(xiàn)在用千兆，誰能保證以后不上萬兆，不上VoIP？另外，安全系統(tǒng)應切實滿足企業(yè)業(yè)務的需要，在可靠的基礎上要易于維護，因為往往企業(yè)的IT人員都是不充足的。

第三，兼容互操作原則。    

對于兼容性和互操作性，謝沖的看法是：大型企業(yè)往往有很多分支系統(tǒng)，特別是歷史的積累比較多。因此企業(yè)所采用的技術和產品，必須支持符合國際標準和工業(yè)標準的相關接口，可以與其他主流安全產品進行很好的融合，以便實現(xiàn)不同廠商安全產品的互相作用，從安全防護上做到1＋1 > 2，既保證企業(yè)以往安全投資的有效性和大量縮減新的投資，又能使企業(yè)網絡的安全防護能力上升到一個新的高度。(ccw)