安全的灵感

身为某国有大型制造企业的IT主管，谢冲（化名）发现和日趋频繁的安全事件作斗争，努力维护企业安全制度的遵从，已经成了他最近面临的主要挑战。

“各种应用滥用、错误配置、恶意访问关键企业系统渐臻盛行，”谢冲挠头地说，“即便我在办公室里面手脚不闲，但还是不得不优先保证高级经理们的需求，让他们即使是在星巴克喝咖啡，也可以通过移动设备轻松浏览电子邮件。”

谈起移动应用，谢冲脸上总是洋溢着一种又爱又恨的表情。无疑，近几年绝对是知识工作者的新宠，然而在带来便利的同时，这些外网移动用户在接入企业网络时也带来了新的安全问题。当然，企业的安全威胁并不只来自网络外部，它也可能来自企业网络内部。事实上，病毒、内部网络滥用、便携机、内部非授权访问是内网安全的四大威胁。

谢冲并不是唯一陷入这种困境的人。各种安全技术，边界防火墙，防病毒，入侵检测和验证等，都是针对开放式网络中的个别问题而开发的解决方案。但很多IT经理发现，在部署了这些技术以后，企业会发现因为安全技术无法强制落实，远达不到安全策略的需要。

谢冲认为，这种问题的根源来自于网络端点的保护和控制。例如，很多安全事件是由简单的桌面配置错误和安全补丁未及时升级造成的。

“我需要一种新的技术方案，可以确保企业的每个终端在接入网络前符合安全策略，阻止不安全和未授权的行为，从而保护企业网络的安全完整性。当然，通过系统的自动控制，可以在很大程度上减少制度落实上的麻烦”谢冲补充说。

在具体方案的配置上，谢冲花了不少心思。“我个人比较关注使用以应用程序为中心的防火墙技术，希望可以更好地阻止蠕虫、木马和黑客攻击，特别是防止针对系统漏洞的攻击。当然，这要求系统必须分析流入流出的通讯中有无恶意行为，并且阻止入侵的发生。而且，每当公司员工连接网络时，系统也要帮我们确认终端是否符合策略，并根据检查结果授予或者拒绝其接入权限。”

谢冲承认，他的很多灵感来自于时下热门的大学校园网改造方案。“很多技术已经在大学中试验过了，企业同样可以从中受益。毕竟IT经理精力有限，不可能对所有的企业访问密切关注，因此系统需要智能地甄别出来自于家庭、宾馆和无线区域的访问，并进行强制加密通讯，为了保证持久的安全性，系统也需要自动下载和安装任何缺失的病毒库、防火墙策略、IDS特征库、软件补丁和安全工具，将企业端点修复到可信状态。”

技术上的保证

作为项目的承建商，赛门铁克公司的工程师张晨认为，谢冲的想法在很多IT经理中带有普遍性，“IT技术总是随着市场和管理的需要而进步，企业企盼通过将端点安全状况信息和网络准入控制结合在一起，来显著提高网络计算架构的安全。”

据悉，到记者发稿时止，赛门铁克公司已经为谢冲的公司提供了全套SygateEnterpriseProtection5.0（SEP5.0）安全控制方案。张晨解释说，该系统的主要任务，就是在企业网络的所有端点设备安装安全代理，只要这些设备一启动，它的代理会向强制服务器验证，保护就会生效。

谢冲认为，这种技术有点类似大学校园网的全网安全解决方案，“企业的IT人员利用安全代理可以洞悉每个应用程序的网络通讯，并搜索其中的异常。而多层防火墙及主机入侵防御（HIPS）技术可以监视每个应用程序使用的文件，检查操作系统和程序的安全以及补丁级别，在未授权的流量发生时，可以在操作系统的最底层阻止流量。”

这种技术还有一点好处，那就是安全代理能够根据连接类型和网络处所来匹配策略，以确保用户在拥有最大灵活性的同时还具备最健壮的端点保护。连接类型包括无线、以太网、拨号和VPN接入。网络处所可能是住宅、星巴克、酒店、会场或者公司。这样，安全保护的解决方案以自动化的方式保证不同处所下最安全的策略得以执行，防止移动设备受到黑客攻击，也解决了谢冲最头疼的问题。

企业的“三原则”

谢冲认为，对于目前的大型企业来说，在部署终端安全系统的时候，仍旧需要评估相应的风险，同时尽可能与厂商一起合作，根据自身需求配置安全策略，以便减少应用上的风险，并且在整个网络中强制贯彻这个策略。

“当初我们决定更新系统的动因之一，就是由蠕虫和病毒引起的破坏，已经清晰地证明了企业防护措施的不完备。”谢冲回忆说，“我建议有类似需求的同行注意，在选择企业的终端安全解决方案时，企业应该考虑那些自设计之初就坚持三原则的系统。”

所谓“三原则”，其实是谢冲经过多年IT项目所总结的经验，对于大型企业来说，部署新系统，还真是不能少了这三点。

第一，先进性原则。

谢冲指出，追求先进性不是要追新潮，而是要求企业能够保证所采用的产品、技术属世界主流，最好是在相关领域占有较大的市场份额。这样的好处是，大型企业可以获得持续且完善的支持与服务，对于安全产品来说，没有哪个IT经理会希望经常被迫“尝鲜”的。

第二，灵活可靠原则。

所谓灵活性和可靠性，主要是说网络安全系统的性能指标，能够满足企业在相当长时间内全网综合系统发展所需的存储量和处理能力的要求。谢冲认为，这点在大学校园网中体现得特别明显，毕竟现在用千兆，谁能保证以后不上万兆，不上VoIP？另外，安全系统应切实满足企业业务的需要，在可靠的基础上要易于维护，因为往往企业的IT人员都是不充足的。

第三，兼容互操作原则。

对于兼容性和互操作性，谢冲的看法是：大型企业往往有很多分支系统，特别是历史的积累比较多。因此企业所采用的技术和产品，必须支持符合国际标准和工业标准的相关接口，可以与其他主流安全产品进行很好的融合，以便实现不同厂商安全产品的互相作用，从安全防护上做到1＋1>2，既保证企业以往安全投资的有效性和大量缩减新的投资，又能使企业网络的安全防护能力上升到一个新的高度。(ccw)