单点，内网安全的最后一块短板

就像我们熟知的水桶原理，一个水桶能装多少水，取决于它 短， 差的那块板。企业的内网安全就好像水桶。不要让终端计算机的上网管理行为成为企业安全管理的软肋……
　　尽管目前多数企业都意识到网络安全的重要性，在网络安全建设上的投入上也是逐年增加，动辄几万、几十万的防火墙，杀毒设备。以及各种安全厂商追捧的网络内部信息安全管理设备，但是在蠕虫，病毒以及危害企业的间谍软件的攻击下依然显得如此脆弱。那么安全投资增多，企业损失依然增加的情形什么时候能够中止呢?依照目前的状况来看，一定是某个环节出现了问题，我们应该不遗余力地把它揪出来。

　　网络安全问题究竟出现在什么地方

　　越来越多的管理者都已经发现解决内网的安全问题，是企业网络安全防护的重中之重。

　　那在整个内网中，终端计算机占了网络节点的90%以上，这又充分说明了单点计算机的上网行为管理是整个内网安全管理的重点和难点。在 近一段时间终端计算机上网行为管理成为热点，相应的产品和技术如雨后春笋般的涌出。面对这些五花八门的产品，管理者又将如何选择呢?

　　正如国内某制造企业的CIO说：“我们企业采用了国际上知名的防火墙，以及杀毒设备。并且在内网的管理上，也采用邮件监控，端口封堵，URL过滤等技术。虽然这些对企业的安全性起到了很好的作用，可是面对上千台内网计算机的上网安全管理问题我真的是无从下手。我已经告诉了员工，要安装防火墙，禁止使用代理，等等，可是真正能够按照要求做的员工少之又少，真是心有余而力不足呀!”

　　目前解决终端计算机上网行为安全的普遍方法

　　1， 企业多数是停留在出现问题，解决问题这个层面上。无法进行预先的防范管理，主动权掌握在终端用户上。比如：管理者发现某台计算机中了病毒，马上勒令他进行断开网络进行杀毒，如果病毒已经传播开了，就会告诉所有人员进行查杀。这样无疑浪费了大量的企业资源，导致企业工作的停滞，影响工作效率。那么如果其他人又中了其他的病毒、木马呢?显然这种管理十分被动，效果也不好。

　　2， 还有一些企业意识到这个问题，采用了一些桌面安全设备，进行主动管理。可是在实施的过程中发现每台终端计算机都需要进行手动配置安全策略。十分繁琐。如果企业有几百甚至上千台机器呢?如果安全策略进行改变又如何处理?这样只能使企业白白投入了大量的资金， 后不了了之。

　　综上所述，好的技术方法必须能够简单、快捷、灵活的解决以下出现的安全防护问题。

　　需要解决的问题分为3个方面

　　首先，仅靠网络边缘的外围设备已经无法保证安全性。提供边界防御的安全网关无法保护内部网络段，也无法替代内容安全防护措施。即便组织的网络出口处运行着防火墙等网络周边安全设备，病毒和蠕虫、特洛伊木马等基于内容的恶意行为仍频繁渗入组织内网。

　　其次，边缘网关设备无法防止来自局域网内部的滥用、攻击和破坏。同时，日益提高的安全过滤和控制要求，以及不断增加的带宽需要，也给网关性能带来很大压力。

　　 后，客户端的安全级别往往难以保证，这对于内网用户数量众多的组织更为如此。使用版本陈旧的操作系统、长时间不更新个人防火墙和杀毒软件、应用具有潜在安全漏洞的软件，这些都将成为局域网安全中的“短板”。



　　具体如何实现对终端计算机的上网行为进行控制

　　只有采用主动的，统一的安全管理策略才能更好的管理终端计算机上网行为。如何才能实现呢?

　　当启用了安全设备后，内网用户第一次发起互联网连接请求时，设备将动态分发准入代理至客户端主机。准入代理是轻量级软件代理，用于确定端点是否遵从管理员设定的安全策略，准入代理中可配置用于检查预定义的和可定制的标准，包括操作系统、运行程序、系统进程、注册表的存在/版本/补丁等。当准入代理将搜集到的客户端信息传回管理设备后，当内网用户的端点安全状态不符合准入代理的规则设置时，管理设备将对相应用户执行预定义的策略，放行或强制关闭某项程序或进程，并根据预先的设置进行人性化的提示，使用户心中有数。

　　如果你的一位内网用户矢志不渝地使用某些具有安全隐患的程序，而这一程序可能将病毒、蠕虫和恶意程序从主机的桌面传播至整个网络。这时我们就可以通过建立的规则将此程序禁用，当用户一旦启用此程序后，用户的PC将同互联网“隔离”，只有关闭掉恶意程序才能正常访问互联网，这会使内网用户的网络行为更规范。

　　而这种技术提供的可定制的网络行为标准可以给网关管理者更多的权限和扩展性，通过对程序、注册表、进程的自定义，管理人员通过管理设备可以管理几乎所有的终端在线状态，使安全策略更有效地同整体安全防御体系结为一体。

　　目前很多安全领域的厂商都在推广相应的解决方案，而微软也在Vista中尝试提供相应的技术，以对桌面安全进行进一步的控制。国内提供这种主动安全策略有深信服科技的准入规则技术(NAR)，通过定期下载中心端准入策略，内网的客户机将被根据安全等级来得到相应的互联网访问权限。另外，深信服的SSL VPN产品也在试图融入其NAR技术，以便对远程客户端的接入进行全程扫描，避免不安全的远程终端接入内网。SSL VPN可以使局域网的应用在互联网上扩展，但其安全性也受到过一定程度上的质疑，把NAR技术结合到SSL VPN的登录认证中无疑是一种好的思路。

　　就像我们熟知的水桶原理，一个水桶能装多少水，取决于它 短， 差的那块板。企业的内网安全就好像水桶。不要让终端计算机的上网管理行为成为企业安全管理的软肋。