加固网络边界 确保企业网络安全

 

在企业应用中，通常将终端 PC 机视为网络的边界。这是由于一般公司的业务都是围绕 OA/CRM/ERP 系统进行的，员工们使用终端 PC 机（电脑）通过网络设备，和 OA 主机、 CRM 主机、 ERP 主机进行信息操作，来完成工作。因此一般的公司办公网的模型都是以服务器为核心，终端机为外围的组网模式。那么从根源上保障企业网络的安全，就必须有效地管理每一个终端 PC 的安全。

如今，在核心安全、网络设备安全方面已经有了很多成熟的方案和产品，如： AOL 访问控制的三层交换设备、带有包过滤的路由器，功能更强大的防火墙以及军工机要部门使用的密管设备，这些设备都能够有效地保证网络设备的安全，保证网络包流量的安全。但是这些安全的防护通常是对外的，用来防御外来侵犯，如黑客攻击、注入攻击等等，而网络内部的安全往往被忽视，根据目前有效数据显示，网络系统遭到毁灭性打击的根源往往来自于内部。而企业网络系统对于内部的防御却比较脆弱，一旦一台计算机被病毒感染，将可能导致整个网络内所有终端 PC 感染病毒，所以，现今对于网络边界安全管理的需求日益迫切了。

企业网络边界管理存隐患

很长时间以来，网络边界安全管理没有得到足够的重视，而随着终端设备的日益增加，面临的问题也日渐增多，网络边界隐患重重。

某证券公司营业部的员工在工作终端上私自安装软件，感染了蠕虫病毒，病毒迅速蔓延，很短的时间内就已经感染多台同办公室电脑，造成整个营业部网络瘫痪，影响到正常交易业务的进行，给股民和证券公司带来巨大损失。其中很多股民因无法及时进行股票交易错失良机，甚至有引发诉讼的危险。也有股民因此转到了其他的证券公司。可见加强内网安全的管理不但关系到网络运行的安全，也关系到企业业务的增长。

在生活中我们经常会看见这样的现象，有些人拿着有无线上网功能笔记本电脑随便到哪个写字楼附近，都能搜到大量不设密码的无线路由器，轻松的连上上网。对于这些蹭网的人来说，确实很方便，但是从网络安全的角度考虑，这里面还是有很大隐患的。

一方面，从蹭网者自身安全的角度上来说，我们接入陌生的网络之中，很容易遭到潜伏在里面的黑客或者病毒的攻击，若防御系统不够强大，后果将非常危险。类似的银行卡密码和其他私密信息被盗时有发生。

另一方面，从企业网络管理这角度来说，接入系统的电脑也许就是一个 Snifer 嗅探器，它来的目的有可能就是窃取公司机密文件，散播病毒，或者攻入主机。也许有人认为可以设置无线接入密码，但是对于一个公司来说，一个大家都知道的公用密码是很容易泄露给外人的。而且也有通过有线网络进行盗取资源的。竞争对手或者破坏者往往冒充来访者，比如客户来访的幌子，在会议室开会的时候以上网收邮件为名要求接入到网络，从而进行攻击。很多公司的共享文件服务器上的重要数据就是这么不知不觉地就被外人拷走了。而网管却浑然不知。这样造成的例如核心技术机密被盗，商业机密被盗造成巨大经济损失的案例也比比皆是。

在一些涉密的特殊行业，对安全性的要求更为严格。例如不允许进行 U 盘的文件操作，不允许私接任何输入输出设备，比如打印机，移动硬盘。也不允许光驱读取不安全的光碟。更有重点涉密单位软件研发人员的计算机在下班之后需要将这些计算机的键盘和鼠标禁用。以此保证计算机内程序代码不会遭到人为破坏。

改变企业网络边界管理现状

因为对企业网络边界管理不善，而遭遇了很多麻烦之后，许多企业已经意识并重视起边界管理了，加强对网络终端的管理力度，并制定相应的终端使用规章制度，例如：上网行为规范等。规定员工不能随便在终端 PC 上私自安装软件、禁止使用聊天工具、下载工具等等，但是如此严格的制度，执行起来却不那么容易，几乎可以说行不通，所以说是有立法无执法的。那么有什么方式能够进行立法监督工作呢？使用终端管理软件成了不二选择。

目前，在终端管理方面，各厂商的技术都已经相对成熟，国内一些网管领域的公司都已经提供终端安全管理解决方案了，国内产品不仅在功能和实用性方面做的好，而且更加符合国人使用习惯。

从技术角度来说，目前对于边界安全管理的主流技术分为两种：一种是以拆包数据分析的方式进行管理的，通常采用类似 NetFlow 协议，将网络中传输的数据包转发到管理服务器上，再由管理服务器对这些数据进行拆包分析，发现非法程序，蠕虫病毒，非法进程的特征码后进行限制操作和告警。游龙科技的 SiteView EIM 就是应用这种方式的一款典型产品。

另一种方式是通过终端 Agent （代理程序）的方式。这种方式需要在每台终端 PC 上安装一个很小的代理程序，这个代理程序能够从根源对终端机进行一些限制操作，由此保证安全。游龙科技的 SiteView DM 就是采用这种方式的另一款典型产品。

SiteView EIM 和 SiteView DM 这两个产品的设计思路是两个方向， SiteView EIM 偏向于对网络数据的分析，能够通过分析及时发现问题。而 SiteView DM 讲求从源头抓起，防患于未然，也可以说是主动安全管理产品。

SiteView DM 通过在终端安装 Agent 的方式进行管理，且此代理程序是防卸载的，若有人私自卸载了， SiteView DM 会将客户端下载事件发送给控制台，网络管理人员变可及时得知并阻止这样的行为。

它能够配合安全软件、防病毒软件、防火墙软件，保护这些软件发挥最大功效。当前病毒变种、攻击变种层出不穷，因此防病毒软件、防火墙软件都内建可供更新的信息库使其能够应付层出不穷的新挑战。前面的例子也提到，如果杀毒软件更新不及时，还是会有病毒感染的隐患，因此 SiteView DM 提供了软件分发补丁管理的功能，能够有效帮助整个网络中所有的终端机第一时间集体升级到最新的防护版本。

SiteView DM 产品设计了分组功能，把不同要求的 IP 地址分为组，可以对每个组分别受以不同的权限。而且对于软件使用权限，还可以进行时间的设置。比如工作时间不允许用，而下班后则没有限制等等。在 SiteView DM 的协助下，网络边界管理“有立法无执法”的现状将得到有效改善。