【賽迪網-IT技術報道】【社區整理】隨著互聯網飛速發展,越來越多的企業都通過網絡開展業務,許多企業甚至感到離開網絡,業務就無法正常運行,網絡安全的重要性由此可見一斑。因此,企業不惜代價地在網絡安全方面投入資金,購買防火牆、電子郵件防毒系統或桌面防毒系統,來阻止病毒氾濫和黑客攻擊。在許多企業、甚至系統集成商看來,這樣的網絡在安全方面可以高枕無憂了。
但是由於現有的企業網絡安全基礎設施存在缺陷,因此它們對新型的病毒和攻擊無法防禦。病毒傳播和攻擊的途徑不再只是通過電子郵件傳播,而是隱藏在複雜的應用層資料中,通過Web網頁瀏覽、WebMail系統、聊天軟體、P2P文件共享應用進行傳播,但企業現有的安全設施還不能對這些傳播渠道進行控制。現在,IT經理們不得不重新審視企業的網絡安全系統。
企業網絡面臨新問題
當前企業網絡面臨以下幾個方面的問題,如果處理得不好將直接導致企業生產力下降,最終損失的是企業的利潤。
Web濫用降低企業生產力Web的廣泛使用極大地幫助企業提高生產力,獲取信息的速度前所未有。但互聯網是一個大染缸,各種各樣的內容充斥其中,新聞、購物、體育、色情等,用戶一點鼠標,就有可能被帶到與工作無關的站點,這必然會導致員工工作效率降低,進而導致企業生產力的下降,嚴重的還可能將病毒帶入公司內網,或被攻擊者植入後門,導致災難性的後果。因此,對不合適的內容進行過濾、對惡意代碼和病毒進行強制清除,管理、監控並實時督導員工正確地使用互聯網,是提高企業利潤的當務之急。
聊天工具的安全問題
這裡所說的聊天工具是指MSN Messenger之類的實時信息交換工具,之所以這樣稱呼是因為它們最初是為朋友間聊天而出現的。而現在,這類聊天工具已成為一些企業信息交流的主要工具。然而,權威人士研究發現,這些聊天系統在設計時都著重考慮了靈活性,而沒有考慮到安全問題。一個明顯的事實是幾乎所有免費聊天工具都具備繞過防火牆的功能,防火牆無法對其進行阻擋。而且,聊天用戶之間的信息交換是穿過公網,通過聊天伺服器轉發,信息在網絡上清楚可見,這就容易導致企業機密信息被竊取。如前所述,聊天工具也已成為病毒大量傳播的一種途徑。但在線聊天工具高效、方便的特點,正迅速被越來越多的人所接受,單純地屏蔽是不合適的,關鍵是採取一種有效的聊天控制策略並加以監管。
點對點文件共享應用的安全問題
點對點文件共享應用(P2P),在中國稱為BT下載,它是近年來迅速流行起來的一種互聯網文件共享應用。這種應用中,每個用戶既是客戶端又是伺服器,每個人都可從其他用戶處下載自己需要的資料,也可將自己已下載的資料共享給其他需要這部分資料的用戶。這樣,由於這種應用消除了傳統下載方式的伺服器瓶頸,下載人數越多,下載速度就越快。P2P共享的文件通常是擁有版權的音樂、電影、商業軟體等。然而,在企業網絡中,這種應用沒有理由存在,因為它不僅會對網絡可用性造成嚴重影響,還能成為病毒傳播的途徑,其共享文件帶來的版權問題也有可能給企業帶來潛在的法律責任。因此,從各方面考慮,有必要對其進行屏蔽和控制。
代理服務解決問題
為什麼防火牆不能有效解決以上那些問題呢?因為防火牆的主要功能是阻擋來自外部的攻擊。企業現在使用的防火牆大多是包過濾型,或者是高級一些的狀態檢查型防火牆,其主要功能是根據管理員設定的規則進行資料包過濾,將攻擊者擋在網絡的外面。對由於內部人員訪問外部資源而引起的入侵攻擊行為大都束手無策。
防火牆不能有效進行應用層檢查。當前企業網面臨的新問題具有一個共同特徵,即需要應用層的控制和管理問題。但現在的防火牆都是工作在網絡層,雖然有的防火牆對部分協議實現了應用層處理功能,但由於其硬體和操作系統是針對資料包過濾和狀態檢查,使用專用芯片對IP地址和端口號進行快速匹配而設計的,如果要求防火牆將一個個傳輸的網絡層資料包進行組裝,並抽取其中的應用層資料,然後進行複雜的模式匹配,根本無法達到滿意的性能。事實上,現在用戶正在使用的防火牆,大部分只進行網絡層檢查,很少有用戶會打開應用層檢查功能,主要就是因為性能的問題。
對應用層檢查最好的辦法是使用新一代的安全代理專用設備代理專用設備就是代理用戶的訪問請求,由於所有用戶訪問流量都必須通過代理專用設備,就可在代理專用設備上針對用戶、網絡協議、時間等因素實施深層次的訪問策略控制,並對違反策略的情形使用插入頁面方式提醒用戶。同時提供完整的訪問日誌、病毒掃瞄日誌、聊天日誌等,並經統計分析形成報告,盡早發現問題,使控制策略進一步完善。
安全代理專用設備是現有網絡安全架構的一個重要的補充,但並不是取代防火牆。新的網絡安全觀念認為應該用防火牆阻擋攻擊者從正面的試探入侵,著重的是網絡層的過濾;而安全代理專用設備管理和控制內部用戶對外的訪問,著重的是應用層內容的檢查。兩者相輔相成,達成全方位及最佳效能的安全防衛架構,重新定義企業網絡安全前景。
(