然而,作為壹把“雙刃劍”,互聯網也給組織和企業帶來了前所未有的威脅。壹天24小時在網絡上流動的內容存在太多的風險:垃圾郵件、惡意網站、網絡詐騙、網絡病毒等。壹直困擾著互聯網用戶。另壹方面,網絡濫用,包括惡意P2P下載、網絡遊戲、IM等娛樂應用,占用了組織有限的業務帶寬,也導致網絡應用效率低下。
那麽,如何繞過互聯網的這些弊端,充分享受互聯網給組織帶來的便利和高效,從而全方位營造安全高效的上網環境呢?
第壹,加強邊防
防火墻、IDS和IPS是解決網絡安全問題的基本設備,其過濾和安全功能可以抵禦來自外部網絡的大部分攻擊。配備這些傳統的網絡保護設備,實現面向網絡的訪問控制,是企業安全訪問互聯網的前提。然而,在應用內容及其格式爆炸式增長的今天,應用層存在諸多互聯網隱患,單純根據第三層信息決定是否訪問已經無法滿足安全需求。我們還需要細粒度的應用層策略控制。
IDC的調查報告顯示,到2006年,90%以上的病毒以互聯網為傳播入口,通過電子郵件和網絡傳播的病毒比例在逐漸增加。在網絡門戶防範病毒入侵已成為當務之急。所以,除了上面提到的防火墻、IDS、IPS等基礎安全設備,還需要部署壹個有效的網關級殺毒引擎。
二、互聯網終端管理
網絡邊緣的外圍設備再先進,也保護不了內網。來自局域網內部的濫用和破壞也是威脅上網安全的重要因素。例如,通常很難保證客戶端的安全級別,尤其是對於擁有大量內部網用戶的組織。缺乏安全措施的單機,如使用過時的操作系統、長時間不更新個人防火墻和殺毒軟件、應用存在潛在安全漏洞的軟件等,都會成為局域網安全中隱藏的定時炸彈。
通過單點安全評估和訪問策略列表為互聯網終端配置網絡訪問規則,是實現對客戶端全方位安全保護的壹種手段。終端的安全策略列表應包括操作系統、運行程序、系統進程、註冊表等。
第三,有害內容過濾
互聯網是壹個無法控制的黑洞,無數的惡意網站讓妳在上網時如履薄冰:隱藏蠕蟲和特洛伊插件的非法網站,各種釣魚網站……這些都會在分享互聯網便利的同時,給組織帶來極大的隱患。
針對這些有害內容,近年來URL庫過濾技術被廣泛采用。利用該技術屏蔽含有潛在威脅的網站,是保障互聯網安全的有效途徑之壹。當然,也要考慮到部分釣魚網站使用SSL加密頁面,需要結合證書驗證、鏈接黑白名單等措施。還需要規範文件下載和傳輸行為。通過將關鍵字、文件類型、網絡服務與IP地址組相關聯,並規範下載策略,可以控制主動下載造成的大部分損害。
第四,垃圾郵件過濾
還有壹些不那麽“有害”的信息——垃圾信息,可能不會造成安全隱患,但會導致帶寬占用,更重要的是工作效率低下。
為了減少影響帶寬利用率和工作效率的無用信息,必須找到區分垃圾郵件、正常郵件和可疑郵件的有效手段,如垃圾郵件指紋識別技術、隨機特征碼智能響應技術等,以減少誤判。
第五,優化帶寬資源
不管怎麽上網,帶寬畢竟有限。如何優化帶寬資源,使其發揮效率,是在帶寬不可改變的前提下必須解決的問題。但真正的問題是,網絡管理員沒有辦法知道自己單元內帶寬的有效利用率,更不用說提高了。
為了優化帶寬資源,我們必須首先調查內部網網絡的使用情況,並形成決策報告。壹些廠商提供的數據中心已經可以提供豐富的報表分析功能。另外,針對網絡中壹些重要的網絡服務,也需要啟用QOS技術,以保證重要服務優先,避免垃圾流量占用重要服務的帶寬。
六、綜合應用管理
每天有6543.8+02億條消息通過即時通訊(IM)發送。這些IM應用可能是員工與同事和客戶討論工作,但更多的人是與家人、朋友甚至陌生人聊天。此外,網絡上還有大量其他與工作無關的網絡應用,包括網絡遊戲、網上炒股、P2P下載等。這些工作時間的“豐富應用”造成了組織生產效率的巨大浪費。有些組織依靠封閉端口和服務器地址等方法在壹定程度上是有效的,但由於服務器地址和端口會頻繁變化,封閉服務器地址和端口就成為壹項持續的、高成本的工作,只能治標而不能治本。
綜合應用管理有兩種比較有效的阻斷方法,壹種是基於應用協議和數據包的智能分析,另壹種是流量檢測。前者通過分析IP包頭的業務類型、協議、源地址、目的地址和數據部分,可以更好地找到具體的業務。後者可以分析特定用戶的網絡連接。當網絡流量和網絡連接超過指定閾值時,用戶的行為將受到限制。