| |
| ob2-8网络安全就像一场“现代战争”。 |
|
[ 2008-12-12 12:12:00 | By: ebjsds1761 ] |
|
网络安全就像一场“现代战争”。
在当今的商业环境中,网络安全问题已经成为IT部门所面临的最大压力。
随着企业业务的增长和用户的增多,多数企业的资源规模日益庞大,
组成也日益复杂,同安全相关的问题也在以几何速度增长。
为了对这些资源进行有效的保护,对不断发展的威胁和恶意攻击风险进行管理,所有的企业都在积极地寻求一种有效的方法。
网络安全就像一场“现代战争”。在以往的“战争”中,安全威胁往往都是“单兵作战”,即每次的安全行为都只能对网络产生一种安全隐患,因此我们可以通过单一的安全手段(一种产品或者针对性很强的解决方案)来打赢这些战争。但是随着时间的推移,我们越来越能清楚地看到,今天的“网络安全战争”是一场“复合战”,让“防火墙(网络传输)+杀毒软件(终端用户)”的堆砌措施束手无策,只能被动挨打。网络安全应朝着多元化的趋势发展。一个网络安全事件中可能包含多个安全行为,如果我们目前还是仅抱着原来的网络安全防护的“老黄历”,那么我们在现在以及未来的安全战争中必将一败涂地。针对这样的现状,只有有效地进行网络与安全防护技术的融合,在一套网络安全方案中包含针对不同安全行为的防护方法,把单兵作战改造成多兵种协调组合、统一调动、分工合作的“军队”,同时通过统一的安全管理平台来进行调度控制,才能打造全局化、一体化、可持续发展的安全解决方案体系。
网络与安全的融合
其实,网络与安全不断融合的根本动因在于客户需求。当业务需要经济、集成化、安全的企业网络能够覆盖其所有地点时,网络必须通过集成化、多功能、经济的平台提供简化、安全的远程访问,实现多个站点和远程用户之间的互连。当业务需要具有弹性的网络确保即使受到攻击仍能保持可用,网络必须防御各种未知的攻击,保护网络不发生崩溃,避免代价高昂的生产力丧失和业务功能故障。当业务正越来越移动化、对安全要求也越来越苛刻时,网络必须为有线网络提供安全的无线接入扩展,必须易于部署与管理,经过出色的集成且保持透明。这些因素,都显示了网络与安全融合的必要性。
目前,很多厂商在网络与安全的融合中做了很多尝试。例如,防火墙可以防范来自于外网的攻击,而没有办法实现对内部用户安全攻击的控制。在核心交换机实现防火墙功能,则可以实现内网用户安全攻击的控制。IDS能实现对部分业务的监测,而不能实现对所有业务的监测和控制,通过接入交换机的感知反馈则可以实现对所有业务的监控。防病毒软件可以控制主机上病毒的传播,而难以控制病毒在网络内的传播,通过交换机与防病毒软件的配合可以抑制病毒在网络中的传播。可以看出,网络与安全融合的必要性就在于这种融合可以解决全网安全问题。
网络安全解决之道
近几年,网络安全问题防不胜防,整体上呈现两个特点:一是病毒的攻击性越来越强,已经严重威胁到网络的安全。自1988年莫里斯从实验室放出第一个蠕虫病毒以来,计算机网络的安全便不断受到威胁,蠕虫病毒传播速度快、隐蔽性强、危害性大。2004年的震荡波病毒更是给全球带来了300亿美元的经济损失。蠕虫病毒发展到一定的程度,造成网络流量巨幅增加、网速变慢、故障丛生,更严重的情况下会使网络的汇聚层、核心层的交换机因为不堪重负而宕机,致使整个网络陷入瘫痪。另一特点是,安全威胁的来源从以外网为主转变成以内网为主。由于网络技术、网络应用的迅速发展,网络的规模也不断在扩大,如面积广、网络设备多、节点多等。教育行业最为典型,神州数码网络安全产品部王经理认为:“校园网拥有成千上万的接入点的情况很常见,在管理和监测上难度大大增加,病毒感染和黑客攻击比以往任何时候都更容易威胁整个网络的安全,壁垒很容易从内部被攻破。”
在这种情况下,单点的安全防护手段已经不能完全解决日益猖狂的网络病毒和DDoS攻击等安全问题,网络安全不再是专业安全厂商的责任,Cisco、神州数码等传统的网络设备厂商也开始关注网络安全问题。除了提高交换机本身的路由交换性能外,对路由交换机等设备本身的病毒防护能力也进行了提升,让网络当中的每一台设备都具备病毒防护和预防黑客攻击的能力,同时研发生产自有品牌的防火墙、IDS等安全产品,逐渐涉足安全产品领域。而像赛门铁克、NetScreen等传统的安全厂商也通过在防火墙内增加交换功能,提供虚拟防火墙等技术,开始向网络设备领域渗透。可以看出,网络和安全厂商之所以逐步走向融合,是因为病毒技术的进化和人们在对网络有很强依赖性的情况下,对网络安全问题的重视。
互联网在提高了企业工作效率的同时也衍生了一系列的网络监管难题。企业员工全部上网活动中,50%以上都是与工作无关的。。 NetLooker为网络管理层做出如下解决方案。实时监测上网行为,系统提供实时上网行为监测,网络监控,根据用户上网情况,不停刷新上网监控屏幕,这样,企业网络内的计算机用户上网情况,局域网监控,都会及时显现在监控屏幕中。管理人员也可以随时看本网络某时段哪些组或哪些用户在上网,及每个用户历史上网记录。由此,管理人员可以实时了解企业内员工的上网情况,公司员工主要访问的站点、收发的邮件以及常有的网络活动行为等,网行为的发生。 互联网监控软件,如是否使用p2p、迅雷等软件下载等耗用网络资源及影响关键应用的上。控制管理上网行为 梭子鱼即时通讯防火墙系统可以帮助用户选择性地控制IP终端上网情况。对于一些不允许上网的机器,管理人员可以直接远程操作,禁止其连接Internet网。企业上网管理,一些企业对这个问题开始较起真来。施乐公司对于员工上网冲浪曾极为宽容,后来也决心要惩处过分违纪者。1999年10月,施乐因炒掉40余名员工而上了众多报纸的头条,解雇原因是这些员工在工作场所登录了内容不适当的网站。有些人是在线博,有些是炒股或观看色情内容。其中有的员工在上班时间从事非业务活动的时间竟长达8小时。 NetLooker也可以提供用户上网策略有:网站浏览控制、邮件收发控制、聊天行为控制、游戏行为控制、自定义行为控制、端口级控制。梭子鱼安全负载均衡机,所有的控制都可针对3层对象(网络、分组、电脑),针对指定的时段,针对指定的协议TCP/UDP。 系统可限制浏览网页、只允许浏览指定网站(白名单)、禁止浏览指定网站(黑名单);内网管理软件,可限制收发邮件、只允许收发指定邮局(白名单)、禁止收发指定邮局(黑名单)梭子鱼安全负载均衡机可限制所有的聊天行为,并可自行增加聊天行为控制列表;可禁止网络游戏,并可以自行增加网络游戏行为控制列表;可禁止自定义控制列表,比如股票软件、BT软件等,并发起阻断等; 流量分析统计梭子鱼邮件防火墙系统提供非常直观的实时流量观察,使管理者可以一目了然的查看网内用户使用流量的情况,网络监控软件,可以快速发现那些ip的流量异常,那些ip正在下载等。NetLooker还提供的详细地流量统计功能,可以查询网内用户每个时段,每天使用的流量情况,并形成报表或者图形方式提供给管理者,使管理可以很好的掌握网内所有用户流量使用情况。网络行为统计评估提供专业的图形和文字报表,报表内容包括:网络管理软件,访问网页次数统计、访问网页排行统计、收发邮件统计、游戏统计、聊天统计等。通过报表可以查看被监管用户上网的业务往来情况,并做出相应的规划和安排。此方案的特点是通过对上网行为的监管,红帽 Linux 操作系统杜绝低效率的上网行为,红帽 Linux保证企业网内文明的上网环境。红帽 操作系统通过对p2p、BT、emule、QQ、MSN等的限制制,
当然,将所有问题都澄清不是件简单的事。很显然,最基本的问题不是该不该连接因特网以及该不该让员工在线干私事,而是怎样使工作环境更有效率。制定一项专门的战略和可行的政策有助于使员工和管理者都能心情舒畅、干劲十足。归根到底,人力资源部门必须根据企业的需求、文化和价值观研究出策略。 开除--企业怒不可遏 帮助企业更加有效地利用互联网资源, 虽然大部分员工都将他们的这种业余活动限制在最低限度??而且一些机构因此对于上网不加任何限制??网上冲浪和放任上网正日益成为普遍存在的大问题,许多公司都已开始采取措施严加管束。有些公司装备了最新最尖端的监控系统。还有些公司将上网无度的员工停职或解雇。然而,“道高一尺,魔高一丈”,在公司千方百计地制定政策的同时,员工们也在绞尽脑汁地想对策。 使问题更加复杂的是,因私上网实际上也能另一些使用者认为,火星文让使用者显得很酷。这一说法则体现了另一种语言现象“隐语”。隐语,往高处说是“春典”,往低处说叫“黑话”。相声艺人口中的“包袱”,北京青年口中的“雷子”,说到底也是一种火星文。说这些切口的目的,就是让有效信息只在一定的小圈子里传递,造成一种自己区别于普通人的假象,并由此获得一定的身份认同。耍耍小酷劲,撇撇网络黑话,年轻人的娱乐,横看竖看都害不了什么宏旨大义。倘若美好的汉语因为这些小插曲,就从此没落了、破坏了、衰败了,那汉语也未免太脆弱了一点。 |
|
| |
|
