編者按:長期以來,組織管理者為了營造一個安全高效的網絡應用環境采取的是傳統管理方式,如擬定各種規章制度、使用守則、獎懲措施等。實際上,解鈴還需系鈴人,信息技術帶來的負面影響最終還是要靠信息技術來解決。好的上網環境的建設是一個周密的系統工程,以下8種手段及所提供的SINFOR AC上網行為管理解決方案為我們打造安全高效的上網環境提供了一個開闊的思路。
這是一個充滿變革的時代,94年一條64k的數據線第一次將我國接入世界,到今天,從政府、企業、醫療、教育……各行各業都廣泛的使用互聯網來獲取無數的信息和機會。對多數企業來說,互聯網不僅帶來了豐富的網上資源,也把信息化帶進了企業,使得企業傳統運作方式迎來了深刻的變革?;ヂ摼W極大地陳低了組織的運營和溝通成本,利用互聯網,大多數員工可以更高效率的完成工作。
但是,作為一把“雙刃劍”,互聯網也給組織和企業帶來前所未有的威脅。全天候24小時在網絡上流動的內容當中,存在著太多的風險:垃圾郵件、惡意網站、網上欺詐、網絡病毒等無時無刻不在困擾著互聯網用戶,而另外一方面,網絡濫用行為,包括惡意的P2P下載、網絡游戲、IM等娛樂應用擠占了組織有限的業務帶寬,同樣導致網絡應用效率低下。
那么,如何繞開這些互聯網弊端,充分享受互聯網給組織帶來的方便與高效,從而全方位打造安全高效的上網環境呢?下面8種手段或許能給你答案。
一、提升邊界防御
防火墻、IDS、IPS,是解決網絡安全問題的基礎設備,他們所具備的過濾、安全功能能夠抵抗大多數來自外網的攻擊。配備這些傳統的網絡防護設備,實現面向網絡層的訪問控制,是企業安全上網的前提。然而,在應用內容及其格式以爆炸速度增長的今天,許多互聯網危害隱患存在于應用層中,僅僅依照第三層信息決定其是否準入,根本無法滿足安全的要求,我們還需要細粒度的應用層策略控制。
IDC的調查報告顯示,至2006年,有超過90%的病毒將互聯網作為其傳播入口,通過電子郵件和網絡進行病毒傳播的比例正逐步攀升,在網絡入口處把住病毒入侵的關口成了當務之急,因此,除了上述的防火墻、IDS、IPS等基礎安全設備,你還需要部署一個有效的網關級殺毒引擎。
二、上網終端管理
網絡邊緣的外圍設備再先進也無法保護內部網絡,來自局域網內部的濫用、破壞也是威脅上網安全的重要因素。比如,客戶端的安全級別往往難以保證,這對于內網用戶數量眾多的組織更為如此——缺乏安全措施的單機,比如使用陳舊的操作系統、長時間不更新個人防火墻和殺毒軟件、應用具有潛在安全漏洞的軟件,都將成為局域網安全中一顆顆隱藏的定時炸彈。
為上網終端配置網絡準入規則,通過對單點的安全評估和訪問策略列表是實現客戶端全方位安全防護的最佳手段。對終端的安全策略列表應該包括操作系統、運行程序、系統進程、注冊表等。
三、有害內容過濾
互聯網是一個不可控的黑洞,無數不懷好意的網站使你上網沖浪時如履薄冰:隱藏蠕蟲病毒、木馬插件的非法網站,各類層出不窮的釣魚網站……都會讓組織在分享互聯網便利的同時帶來巨大的隱患。
針對這些有害內容,URL庫過濾技術近年來得到廣泛采納,采用該技術將包含潛在威脅的網站攔截在外是保障上網安全的有效方式之一,當然,還應該考慮到一些釣魚網站采用的是SSL加密頁面,所以還需要結合證書驗證、鏈接黑白名單等措施。對文件下載傳輸行為進行規范也是必要的,將關鍵字、文件類型、網絡服務與IP地址組進行關聯,規范下載策略,可以控制大部分由主動下載造成的損害。
四、垃圾郵件過濾
還有一些不那么“有害”的信息——垃圾郵件,雖然未必會造成安全隱患,但卻能導致帶寬利用率,更重要的是工作效率的低下。
為了最大程度的減少這些影響帶寬利用率及工作效率的無用信息,必須找到一種區分垃圾郵件、正常郵件、可疑郵件的有效手段,比如垃圾郵件指紋識別技術,減少誤判的隨機特征碼智能應答技術等。
五、優化帶寬資源
不管采取什么方式上網,帶寬終究是有限的,在無法改變帶寬的前提下,如何優化帶寬資源,使其效率最高,是必須解決的問題。但現實的問題是,網管員對自己單位內部的帶寬有效利用情況無從獲知,就更談不上改善了。
要做到優化帶寬資源,首先要考察內網網絡使用情況,并形成可供決策的報表,有些廠商提供的數據中心就已經可以提供豐富的報表分析功能。另外,針對網內一些重要的網絡服務,也有必要啟用QOS技術,從而保證重要的服務先行,避免垃圾流量擠占重要服務的帶寬。
六、全面應用管理
全球每天有120億條消息通過即時通訊工具(Instant Messaging,IM)被發送,這些IM應用也許是員工在和同事、客戶討論工作,但更多的聊天對象卻是家人、朋友甚至是陌生人。此外,網絡上還有其它大量的和工作無關網絡應用存在,包括網絡游戲、在線炒股、P2P下載等,這些工作時間內的“豐富應用”造成了組織生產效率的巨大浪費。有些組織靠封端口、封服務器地址等方法在一定程度上有效,但由于服務器地址和端口會經常變換,這導致封服務器地址和端口成為一項持續的高成本工作,只能是治標不治本。
在全面應用管理上更有效的封堵方法主要有兩種,一種是基于應用協議和數據包的智能分析,另一種是針對流量進行檢測。前者是通過分析IP數據包首部的服務類型、協議、源地址、目的地址以及數據包的數據部分,能夠更好的發現特定服務。后者則可以針對特定用戶的網絡連接情況進行分析,當網絡流量和網絡連接超出規定的閥值時,用戶的行為將被限制流量。
七、外發信息審計
互聯網對企業還有一個重要的危害是信息的過度流動。由于它是一個開放系統,只要使用者輕點鼠標,企業與組織的機密信息就能瞬間以光的速度到達競爭對手那里。而一些攻擊性、侮辱性的網絡漫罵/謠言,則可能會導致組織不必要的內部糾紛。另外,內部員工通過組織網絡隨意發表的言論,也可能給組織帶來法律上的風險。
要防范這些風險,應該從IM、HTTP、FTP、EMAIL等各個可能的出口,對外發信息進行審計和監控。所采取的措施應該包括記錄與保存,對關鍵字的審計,甚至對一些關鍵的信息進行延遲審計。
八、應用權限設置
以上多種手段基本上可以滿足一個安全高效的上網環境的建設,然而,一個組織內部,不同部門,不同人員,倘若對網絡應用都擁有同樣權限,注定會使網絡出于低效、危險的境地。所以在這里我們有必要再介紹一下應用權限方面的管理。
對網絡用戶進行權限設置是一種很好的分級管理的措施。就流量優化而言,傳統的帶寬管理只能對特定服務分配相應的百分比帶寬,屬于“一刀切”行為。更具效力的網絡流量優化方式是基于用戶的流量控制技術,再結合各種不同應用的角色分配,可以有更好效果。具體說來,在廣域網的訪問中,有些部門的特殊應用是應該而且必須獲得獨占性資源的,例如總部的管理層同各分公司主管召開的視頻會議,而有些部門的非工作相關服務則不應獲得那么高的帶寬,例如采購部門的P2P下載。通過分組流量控制,你可以對不同用戶組使用的服務進行精細的帶寬分配,保障重要部門的重要服務得到足夠帶寬。
除了服務管理,時間計劃也是網絡管理中的重要手段,這包括微觀時間管理和宏觀時間管理,前者包括將一周中每一天的時間進行劃分,在特定時間允許特定部門進行特定活動,后者包括為各個部門的員工設置一周內每天的總上網時間,這是保證網絡利用效率最大化的好手段。
長期以來,組織管理者為了營造一個安全高效的網絡應用環境采取的是傳統管理方式,如規章制度、使用守則、獎懲措施等。實際上,解鈴還需系鈴人,信息技術帶來的負面影響最終還是要靠信息技術來解決。好的上網環境的建設是一個周密的系統工程,以上8種手段給我們打造安全高效的上網環境提供了一個開闊的思路。
當然,以上8種技術手段的應用,往往需要組織購買不同的IT設備:比如“一、提升邊界防御”和“四、垃圾郵件過濾”需要購買相應的網關殺毒設備和防垃圾郵件設備,而“二、上網終端管理”則需要部署相應的客戶端安全軟件,“五、優化帶寬資源”目前有一些專門做流量控制的廠商能夠提供,如F5、Packeteer,但往往費用很貴,“七、外發信息審計”則涉及到一些監控審計設備;而“三、有害內容過濾”、“六、全面應用管理”、“八、應用權限設置”由于是新興領域,目前還基本沒有專門的廠商涉足。
購買這些不同的IT設備,一方面動輒幾十萬甚至上百萬的費用投入對于大部分的用戶來說都是難以接受的,另一方面由于這些設備分別來自不同廠商,管理界面各異,對IT維護和管理也是個巨大的挑戰和難題。
那么,有沒有這樣的一種解決方案,把以上8種技術手段都融入到一個設備里面,從而便捷靈活的實現對整個局域網上網行為的有效管理呢?我們很高興的看到國內近幾年快速成長的網絡安全及邊界網絡方案供應商深信服科技提供了這樣一種解決方案——SINFOR AC上網行為管理設備。該設備包含“訪問控制、帶寬流量管理、內監控、安全審計、外發信息管理及數據中心管理軟件”多個模塊功能,并擁有“郵件延遲審計”、“網絡客戶端準入”、“P2P流量控制”等多項專利技術,此外,它還靈活的集成了“防火墻”、“網關殺毒”、“防垃圾郵件”等UTM安全模塊,客戶可以根據自己的網絡環境和實際需求靈活選擇是否開啟,有效彌補了防火墻等傳統安全設備重外不重內、對上網行為缺乏有效管理的不足。
在提升邊界防御和有害內容過濾方面,深信服AC設備內置了網關殺毒的模塊,同時針對病毒的來源和傳播途徑,AC上網行為管理設備還可以很好的配合客戶原有的殺毒軟件實現“治標治本”的效果。AC網關里面的URL過濾功能,可以對常見的非法網址/非法BBS論壇直接實現過濾,AC網關提供的對HTTP/FTP下載及P2P軟件的封堵和管理功能也可以有效減少因為文件下載而引發的病毒傳播。尤其值得一提的是AC里面的SSL控制功能,可控制用戶通過SSL協議訪問的URL,并可對SSL協議的證書做有效性檢查,允許或拒絕用戶訪問持有指定X.509證書的網站,大大降低了用戶被偽造的網上銀行、購物網站欺騙的幾率,避免用戶陷入“網絡釣魚”陷阱。
在上網終端安全管理方面,深信服AC上網行為管理設備提供了一個“客戶端準入規則”(Network Admission Rules,NAR)認證的功能,可以通過對客戶端安全性的評估來實現網絡訪問控制,更好的維護網絡安全防線。當啟用了AC的NAR功能后,內網用戶第一次發起互聯網連接請求時,NAR將動態分發準入代理(Sinfor Ingress Agent,SIA)至客戶端主機。SIA是輕量級軟機代理,用于確定終端是否遵從管理員設定的安全策略,SIA可檢查預定義的和可定制的標準,比如該PC終端有沒有打最新的操作系統補丁、有沒有安裝殺毒軟件、殺毒軟件有沒有升級到最新版本。當SIA將搜集到的客戶端信息傳回AC網關后,如果該PC終端的安全狀態不符合SIA的規則設置,AC網關將對該用戶執行預定義的策略,比如直接禁止上網或彈出警告,從而有效避免某些員工因為忙碌或者偷懶而不安裝殺毒軟件和打補丁,或者雖然安裝了殺毒軟件但沒有做及時升級而引發的病毒事件。
在用戶身份認證、應用權限設置和外發信息審計方面,深信服AC網關采用了嚴格的身份認證和不同的訪問權限策略,并可根據不同的時間段做靈活的時間管理,具有URL過濾、關鍵字過濾、上傳下載限制、深度內容檢測、郵件過濾功能和獨特的郵件延遲審計功能等眾多功能,從而方便組織和企業把與工作無關的上網行為降到最低,讓員工更專注于工作,提高工作效率,并在技術措施上配合制度管理杜絕了內部機密可能通過Internet泄漏的隱患。
在優化帶寬資源方面,AC設備網關除了提供智能QOS,還為用戶展現了強大的流量控制功能,可以對內網用戶組或終端進行流量控制,使得組織的網絡帶寬得到最充分有效地利用。
此外,深信服AC網關豐富的數據報表中心還能支持以圖表的方式對局域網內人員的上網行為進行分析和歸納,如:每天上網情況的分析、訪問最頻繁的網站分析、應用和流量排名等,并提供時間、服務、網站訪問、使用網絡流量等多種分類排行榜,為網絡管理員和決策者提供了最直觀的數據統計。