隨著互聯(lián)網(wǎng)飛速發(fā)展，越來越多的企業(yè)都通過網(wǎng)絡(luò)開展業(yè)務，許多企業(yè)甚至感到離開網(wǎng)絡(luò)，業(yè)務就無法正常運行，網(wǎng)絡(luò)安全的重要性由此可見一斑。因此，企業(yè)不惜代價地在網(wǎng)絡(luò)安全方面投入資金，購買防火墻、電子郵件防毒系統(tǒng)或桌面防毒系統(tǒng)，來阻止病毒泛濫和黑客攻擊。在許多企業(yè)、甚至系統(tǒng)集成商看來，這樣的網(wǎng)絡(luò)在安全方面可以高枕無憂了。

    但是由于現(xiàn)有的企業(yè)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施存在缺陷，因此它們對新型的病毒和攻擊無法防御。病毒傳播和攻擊的途徑不再只是通過電子郵件傳播，而是隱藏在復雜的應用層數(shù)據(jù)中，通過Web網(wǎng)頁瀏覽、WebMail系統(tǒng)、聊天軟件、P2P文件共享應用進行傳播，但企業(yè)現(xiàn)有的安全設(shè)施還不能對這些傳播渠道進行控制?，F(xiàn)在，IT經(jīng)理們不得不重新審視企業(yè)的網(wǎng)絡(luò)安全系統(tǒng)。

    企業(yè)網(wǎng)絡(luò)面臨新問題
    當前企業(yè)網(wǎng)絡(luò)面臨以下幾個方面的問題，如果處理得不好將直接導致企業(yè)生產(chǎn)力下降，最終損失的是企業(yè)的利潤。

    Web濫用降低企業(yè)生產(chǎn)力 Web的廣泛使用極大地幫助企業(yè)提高生產(chǎn)力，獲取信息的速度前所未有。但互聯(lián)網(wǎng)是一個大染缸，各種各樣的內(nèi)容充斥其中，新聞、購物、體育、色情等，用戶一點鼠標，就有可能被帶到與工作無關(guān)的站點，這必然會導致員工工作效率降低，進而導致企業(yè)生產(chǎn)力的下降，嚴重的還可能將病毒帶入公司內(nèi)網(wǎng)，或被攻擊者植入后門，導致災難性的后果。因此，對不合適的內(nèi)容進行過濾、對惡意代碼和病毒進行強制清除，管理、監(jiān)控并實時督導員工正確地使用互聯(lián)網(wǎng)，是提高企業(yè)利潤的當務之急。

    聊天工具的安全問題   這里所說的聊天工具是指MSN Messenger之類的實時信息交換工具，之所以這樣稱呼是因為它們最初是為朋友間聊天而出現(xiàn)的。而現(xiàn)在，這類聊天工具已成為一些企業(yè)信息交流的主要工具。然而，權(quán)威人士研究發(fā)現(xiàn)，這些聊天系統(tǒng)在設(shè)計時都著重考慮了靈活性，而沒有考慮到安全問題。一個明顯的事實是幾乎所有免費聊天工具都具備繞過防火墻的功能，防火墻無法對其進行阻擋。而且，聊天用戶之間的信息交換是穿過公網(wǎng)，通過聊天服務器轉(zhuǎn)發(fā)，信息在網(wǎng)絡(luò)上清楚可見，這就容易導致企業(yè)機密信息被竊取。如前所述，聊天工具也已成為病毒大量傳播的一種途徑。但在線聊天工具高效、方便的特點，正迅速被越來越多的人所接受，單純地屏蔽是不合適的，關(guān)鍵是采取一種有效的聊天控制策略并加以監(jiān)管。

    點對點文件共享應用的安全問題 點對點文件共享應用（P2P），在中國稱為BT下載，它是近年來迅速流行起來的一種互聯(lián)網(wǎng)文件共享應用。這種應用中，每個用戶既是客戶端又是服務器，每個人都可從其他用戶處下載自己需要的數(shù)據(jù)，也可將自己已下載的數(shù)據(jù)共享給其他需要這部分數(shù)據(jù)的用戶。這樣，由于這種應用消除了傳統(tǒng)下載方式的服務器瓶頸，下載人數(shù)越多，下載速度就越快。P2P共享的文件通常是擁有版權(quán)的音樂、電影、商業(yè)軟件等。然而，在企業(yè)網(wǎng)絡(luò)中，這種應用沒有理由存在，因為它不僅會對網(wǎng)絡(luò)可用性造成嚴重影響，還能成為病毒傳播的途徑，其共享文件帶來的版權(quán)問題也有可能給企業(yè)帶來潛在的法律責任。因此，從各方面考慮，有必要對其進行屏蔽和控制。

    代理服務解決問題
    為什么防火墻不能有效解決以上那些問題呢？因為防火墻的主要功能是阻擋來自外部的攻擊。企業(yè)現(xiàn)在使用的防火墻大多是包過濾型，或者是高級一些的狀態(tài)檢查型防火墻，其主要功能是根據(jù)管理員設(shè)定的規(guī)則進行數(shù)據(jù)包過濾，將攻擊者擋在網(wǎng)絡(luò)的外面。對由于內(nèi)部人員訪問外部資源而引起的入侵攻擊行為大都束手無策。

    防火墻不能有效進行應用層檢查。當前企業(yè)網(wǎng)面臨的新問題具有一個共同特征，即需要應用層的控制和管理問題。但現(xiàn)在的防火墻都是工作在網(wǎng)絡(luò)層，雖然有的防火墻對部分協(xié)議實現(xiàn)了應用層處理功能，但由于其硬件和操作系統(tǒng)是針對數(shù)據(jù)包過濾和狀態(tài)檢查，使用專用芯片對IP地址和端口號進行快速匹配而設(shè)計的，如果要求防火墻將一個個傳輸?shù)木W(wǎng)絡(luò)層數(shù)據(jù)包進行組裝，并抽取其中的應用層數(shù)據(jù)，然后進行復雜的模式匹配，根本無法達到滿意的性能。事實上，現(xiàn)在用戶正在使用的防火墻，大部分只進行網(wǎng)絡(luò)層檢查，很少有用戶會打開應用層檢查功能，主要就是因為性能的問題。

    對應用層檢查最好的辦法是使用新一代的安全代理專用設(shè)備。代理專用設(shè)備就是代理用戶的訪問請求，由于所有用戶訪問流量都必須通過代理專用設(shè)備，就可在代理專用設(shè)備上針對用戶、網(wǎng)絡(luò)協(xié)議、時間等因素實施深層次的訪問策略控制，并對違反策略的情形使用插入頁面方式提醒用戶。同時提供完整的訪問日志、病毒掃描日志、聊天日志等，并經(jīng)統(tǒng)計分析形成報告，盡早發(fā)現(xiàn)問題，使控制策略進一步完善。

    安全代理專用設(shè)備是現(xiàn)有網(wǎng)絡(luò)安全架構(gòu)的一個重要的補充，但并不是取代防火墻。新的網(wǎng)絡(luò)安全觀念認為應該用防火墻阻擋攻擊者從正面的試探入侵，著重的是網(wǎng)絡(luò)層的過濾；而安全代理專用設(shè)備管理和控制內(nèi)部用戶對外的訪問，著重的是應用層內(nèi)容的檢查。兩者相輔相成，達成全方位及最佳效能的安全防衛(wèi)架構(gòu)，重新定義企業(yè)網(wǎng)絡(luò)安全前景。

最新評論