當(dāng)前，企業(yè)局域網(wǎng)網(wǎng)絡(luò)安全事件層出不窮，最近出現(xiàn)的勒索軟件“想哭”病毒在短短幾天內(nèi)感染了全球100多個(gè)國家的數(shù)十萬臺電腦，給各行業(yè)企事業(yè)單位帶來了重大損失。而勒索軟件猖獗的原因，一方面是來自于互聯(lián)網(wǎng)的黑客主動的攻擊行為；而另一方面，則是企業(yè)局域網(wǎng)的網(wǎng)絡(luò)濫用、非法接入、非法訪問等行為。

當(dāng)前局域網(wǎng)涉及內(nèi)網(wǎng)非法接入的行為主要有以下幾種：

　　1. 移動設(shè)備(筆記本電腦等)和新增設(shè)備未經(jīng)過安全過濾和檢查違規(guī)接入內(nèi)部網(wǎng)絡(luò)。未經(jīng)允許擅自接入電腦設(shè)備會給網(wǎng)絡(luò)帶來病毒傳播、黑客入侵等不安全因素;

2. 內(nèi)部網(wǎng)絡(luò)用戶通過調(diào)制解調(diào)器、雙網(wǎng)卡、無線網(wǎng)卡等網(wǎng)絡(luò)設(shè)備進(jìn)行在線違規(guī)撥號上網(wǎng)、違規(guī)離線上網(wǎng)等行為;

3. 大規(guī)模病毒(安全)事件發(fā)生后，網(wǎng)管無法確定病毒黑客事件源頭、無法找到網(wǎng)絡(luò)中的薄弱環(huán)節(jié)，無法做到事后分析、加強(qiáng)安全預(yù)警;

4. 靜態(tài)IP地址的網(wǎng)絡(luò)由于用戶原因造成使用管理混亂、網(wǎng)管人員無法知道IP地址的使用、IP同MAC地址的綁定情況以及網(wǎng)絡(luò)中IP分配情況;

5. 網(wǎng)絡(luò)中計(jì)算機(jī)設(shè)備硬件設(shè)備繁多，不能做到精確統(tǒng)計(jì)。

由于對這些非法接入行為缺乏管理，由此引發(fā)的網(wǎng)絡(luò)安全事件層出不窮，尤其是網(wǎng)絡(luò)攻擊行為、行業(yè)機(jī)密泄密等事件，給企業(yè)帶來了重大損失。

那么，企事業(yè)單位如何防止網(wǎng)絡(luò)非法接入、防止移動終端接入局域網(wǎng)呢？總結(jié)起來，企事業(yè)單位主要通過以下兩種舉措：

方法1、通過引入網(wǎng)關(guān)型的安全設(shè)備，包括防火墻、IPS、UTM等加強(qiáng)局域網(wǎng)網(wǎng)絡(luò)安全管理。

目前，國內(nèi)有很多網(wǎng)關(guān)型的網(wǎng)絡(luò)安全設(shè)備，通常是將其部署在局域網(wǎng)網(wǎng)關(guān)出口處，通過內(nèi)置的過濾規(guī)則，對進(jìn)出互聯(lián)網(wǎng)的報(bào)文進(jìn)行實(shí)時(shí)的過濾，對于病毒、木馬或者惡意代碼、蠕蟲病毒、勒索軟件病毒程序進(jìn)行一定的過濾，從而減少或杜絕此種危害。

此外，這些網(wǎng)絡(luò)安全設(shè)備還具有一定的上網(wǎng)行為管理功能，可以一定程度上約束局域網(wǎng)用戶隨意上網(wǎng)的行為。如下圖所示：

圖：UTM設(shè)備

方法2、通過一些針對性的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)、局域網(wǎng)接入控制軟件來實(shí)現(xiàn)。

雖然通過防火墻、UTM網(wǎng)關(guān)設(shè)備或者互聯(lián)網(wǎng)網(wǎng)關(guān)設(shè)備，可以實(shí)現(xiàn)對一些病毒木馬的隔離功能，但這種防護(hù)更主要是針對外網(wǎng)、來自外部的安全過濾和攻擊防范，尤其是黑客的攻擊行為。而對于內(nèi)部局域網(wǎng)，比如移動設(shè)備接入、終端接入設(shè)備的控制，則功能就有些捉襟見肘了。這種情況下，可以借助于一些專門的網(wǎng)絡(luò)準(zhǔn)入控制軟件來實(shí)現(xiàn)。

目前，國內(nèi)有很多網(wǎng)絡(luò)準(zhǔn)入控制產(chǎn)品，有需要安裝客戶端的C/S架構(gòu)的，也有基于B/S架構(gòu)無需安裝客戶端的。C/S架構(gòu)的網(wǎng)絡(luò)安全管理軟件雖然功能更為全面，但部署較為復(fù)雜，存在被卸載或破壞的風(fēng)險(xiǎn)；B/S架構(gòu)的網(wǎng)絡(luò)安全控制軟件，可以實(shí)現(xiàn)企業(yè)局域網(wǎng)所需要的大部分網(wǎng)絡(luò)安全管理功能，同時(shí)部署也更為快捷簡單，只需要一臺電腦就可以了。

例如有一款“大勢至網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)”（http://www.grablan.com/wailaidiannaokongzhi.html），只需要在局域網(wǎng)一臺電腦安裝部署，就可以實(shí)時(shí)掃描到局域網(wǎng)所有的接入設(shè)備，可以精準(zhǔn)識別內(nèi)網(wǎng)電腦還是外來終端設(shè)備，可以實(shí)行白名單和黑名單的管理機(jī)制，對于外來移動終端設(shè)備實(shí)時(shí)隔離，阻止其上網(wǎng)或訪問局域網(wǎng)共享文件。同時(shí)，還可以對內(nèi)網(wǎng)電腦進(jìn)行IP和MAC地址綁定，禁止隨意修改IP地址、防止ARP攻擊行為等。此外，還可以禁止無線路由器接入局域網(wǎng)，防止網(wǎng)絡(luò)隨意擴(kuò)展。如下圖所示：

圖：大勢至局域網(wǎng)接入控制軟件

此外，本系統(tǒng)還可以實(shí)時(shí)為主機(jī)增加備注，實(shí)時(shí)輸出網(wǎng)絡(luò)安全事件（比如修改IP地址、ARP攻擊行為、外來設(shè)備接入行為、無線路由器接入、手機(jī)連接wifi以及代理服務(wù)器等），從而便于網(wǎng)管員實(shí)時(shí)掌握網(wǎng)絡(luò)安全狀況，精準(zhǔn)定位局域網(wǎng)設(shè)備，并提前采取有效的防范舉措。

總之，企業(yè)網(wǎng)絡(luò)安全管理軟件、企業(yè)網(wǎng)絡(luò)安全方案的實(shí)現(xiàn)，一方面可以充分利用現(xiàn)有的網(wǎng)絡(luò)硬件設(shè)備或?qū)ｉT的互聯(lián)網(wǎng)網(wǎng)關(guān)設(shè)備，另一方面也可以借助于一些針對性更強(qiáng)、更精準(zhǔn)的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，具體采用哪種舉措，企事業(yè)單位可以根據(jù)自己的需要進(jìn)行抉擇。
 

最新評論