内网安全乱世安邦之体验一
发布时间:2011-11-23   作者:启明星辰

内网安全大有乾坤,乱世中危机四伏,安邦定势免不得与黑客斗、与威胁斗、与市场斗、与困难斗,无不图尽其谋,奇招百出。作为用户信息中心的技术主管,在种种考验面前经历了怎样的凶险、困扰,又如何走出思维陷阱,成功解决形形色色的难题呢?小编访谈了若干企业的CIO, 在此与你分享五个用户应用天珣内网安全风险管理与审计系统的故事,一同领略其中“斗智斗勇”的精彩片段。


体验一:暗度陈仓 万人“伏法”

 

受访者:Z航空公司信息中心技术主管


作为国内最大的航空公司之一,在2001年,正值全球病毒肆虐的高峰,虽然我们很早就购买和部署了防病毒软件,但在“红色代码”爆发的时候,也未能在冲击中幸免。作为信息中心的技术主管,我心中一直有个巨大的困惑,就是安全制度的落实问题:IT部门一直以来权限有限,没有行政手段,又缺乏技术手段,在组织中推进终端管理真是难上加难,为此,IT部门的领导不知道用了多少办法,都无济于事。而且我们Z航有过万的计算机终端,而且这些终端分布在全国各地多个省市,不仅数量众多而分散,并且终端用户的计算机应用水平和安全意识更是千差万别,从哪里入手管理才好呢?


我们迫切需要通过技术手段,能够自动对终端进行管理,而不是依靠行政命令去强制终端用户执行企业安全管理策略。一个偶然的机会,我们接触到了天珣产品……


天珣的安全厂商对计算机终端的用户行为做了仔细的研究,发现,虽然终端无法直接管理,但是我司内部的终端因为业务的需要,都必须连入企业内网,每天都必须使用Exchange收发邮件,如果上Internet,都需要通过ISA代理服务器才能访问。对这些终端用户来说,如果要求他们安装防病毒软件,他们找各种理由逃避,但是如果出现系统故障不能使用Exchange邮件系统,或者出现网络故障,令他们无法上Internet,他们就会立即跳起来投诉、抱怨,强烈要求计算机中心尽快恢复。


发现了这个“秘密”之后,天珣厂商为我们设计了一套非常巧妙的终端访问认证协议,分别在Exchange邮件服务器和ISA服务器安装了一个专用插件软件——即天珣策略网关,然后通过管理服务器组件给这个插件软件下发策略,由插件代替人对来访终端执行身份认证和安全检查,如果终端不能满足相应的安全条件,该插件将禁止终端收发邮件和连接Internet,同时充分考虑到系统的人机交互的友好性,还通过邮件系统和浏览器页面,推送提示页面给终端用户,让其在被禁止访问相关资源同时,清楚了解自己的违规行为和需要做的修复工作。


系统一经上线,效果立显,短短1年半时间,天珣就完成了我们Z航内部近2万台终端的部署,意味着这万台终端都已经完全按照我们的要求接受管理,并确保终端满足安全基线,终端威胁抵御能力和管理水平一下子提高了几个数量级。厂商给我们打比方:准入控制就像“机场安检系统”一样,“机场安检系统”是对机场安全和飞机飞行安全的关键作用,而准入控制则是对内网的终端和业务系统安全运行发挥着关键作用,准入控制对企业的价值,就如“安检系统”对航空安全一样,非常形象、准确。


没有想到,我们单位是第一个吃螃蟹的,竟然创下了全球首个最早大规模实际应用准入控制产品的典范:在我们航进行大规模应用准入控制的时候,远在地球另一边的Cisco,在2002年才提出了NAC概念(Network Access Control),也就是后来大家熟知的网络准入,直到2004年才推出NAC解决方案,而Microsoft 2006年底才推出自己的NAP(Network Access Protection,在域管理基础上,实现部分准入控制功能)。我们选择了国内厂商,有幸成为了创新应用的先驱。


点评:对于网络终端安全而言,“个体行为”乱象丛生,向来是管理的难点,靠“人治”往往难以实施。而以技术手段制“乱“与“暴”,虽躲在后台却能强制管理并规范终端操作行为,过万名用户在不知不觉中乖乖缴械受控“伏法”。

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号