【IT168 专稿】身为某大型企业IT主管的谢冲，发现与日趋频繁的安全事件做斗争，努力维护企业安全制度的遵从已经成了他最近面临的关键挑战。滥用、错误配置、恶意访问关键企业系统渐臻盛行，仿佛阵阵不停息的火焰，向他袭来。

    想想吧，即使他在办公室里面马不停蹄，他还不得不优先保证高级经理们的需求，让他们即使是躺在沙滩上，也可以通过移动设备轻松浏览电子邮件。

    移动办公是知识工作者的新宠；然而在带来便利的同时，这些外网移动用户在接入企业网络时带了新的安全问题。而且，企业的安全威胁并不只来自网络外部。它也可能来自企业网络内部。事实上，病毒、内部网络滥用、便携机、内部非授权访问是内网安全的四大威胁。

    谢冲并不是唯一陷入这种困境的人。安全技术、边界防火墙、防病毒、入侵检测和验证等，都是针对开放式网络中的个别问题而开发的解决方案。在部署了这些技术以后，企业会发现因为安全技术无法强制落实，实践远达不到安全策略的需要。

    挑战的根源来自于网络端点的保护和控制。例如，很多安全事件是由简单的桌面配置错误和安全补丁未及时升级造成的。值得庆幸的是，新的解决方案通过确保每个终端在接入网络前符合企业安全策略，阻止不安全和未授权的行为，从而保护企业网络的安全完整性。

    以赛门铁克公司去年发布的Sygate  Enterprise Protection 5.0 （SEP 5.0）为例。SEP 5.0通过使用以应用程序为中心的防火墙来阻止蠕虫、木马和黑客，防止其利用漏洞，非法访问敏感信息或者发起攻击；分析流入流出的通讯中有无恶意行为，并且阻止入侵（HIPD）。

    而且，每当用户连接网络时，SEP 5.0可以确认企业管理终端是否符合企业策略，根据检查结果授予或者拒绝其接入权限；对于那些来自于家庭、宾馆和无线区域的访问，对加密的通讯进行强制；系统也可以自动下载和安装任何缺失的病毒特征库，防火墙策略，入侵检测特征库，软件补丁和安全工具，将企业端点修复到可信状态。

    这也印证了一个简单的真理：IT技术总是随着市场和管理的需要而进步。企业企盼通过将端点安全状况信息和网络准入控制结合在一起，来显著提高网络计算机构的安全，于是就出现了这样的产品。SEP 5.0会在网络的所有端点设备都装有安全代理，通过安装有代理的设备一启动，保护就会生效。

    另外，当设备连接到企业网络时，它的代理会向强制服务器验证。如果设备没有代理，它将不被任何运行网络容许。安全代理可以洞悉每个应用程序的网络通讯，并搜索其中的异常。其多层防火墙及主机入侵防御（ HIPS ）技术可以监视每个应用程序使用的文件，检查操作系统和程序的安全以及补丁级别，在未授权的流量发生时，可以在操作系统的最底层阻止流量。

    主机完整性强制包括在系统每次连接企业网络时检查其是否遵循策略，根据检查结果容许或拒绝其访问，并自动修复不达标的主机系统。另外安全代理能够根据连接类型和网络处所来调节策略，以确保用户在拥有最大灵活性的同时还具备最健壮的端点保护。连接类型包括无线，以太网，拨号和VPN。网络处所可能是家里、星巴克、酒店、会场还是公司。这样，安全保护的解决方案以自动化的方式保证不同处所下最安全的策略得以执行，防止移动设备受到黑客攻击，以防范最广泛的威胁。

    当前，仅靠单一、简单的防护技术已经难以保证企业的网络安全。企业需要多管齐下，实施多层次的安全防护策略。

                                    图1：多层次终端防护体系图

全面的网络准入控制（Network Access Control, NAC ）

  “网络准入控制（NAC）”是一个新定义的类别。为了解决传统的外网用户接入企业网络带来的安全隐患，以及企业网络安全管理人员无法控制内部员工网络行为所带来的安全问题，需要通过边界和接入层准入控制，来强制每一台接入企业网络的终端都符合企业安全策略的要求，从而保证企业网络的安全稳定运行。

    这些强制策略涵盖补丁级别，系统配置，防病毒、个人防火墙、入侵预防系统带的特征库版本是否正确和及时更新等。不符合企业安全策略的设备会为管理员隔离出来，阻止访问网络，或者仅授予访问修复资源的权限以便自动修复。

    在NAC方面，赛门铁克旗下的Sygate可谓当仁不让的先驱和领导者。其于2002年发布首个具备NAC功能的产品。第一款基于局域网的网络准入控制技术也是在2004年由其发布。该技术增强利用了IEEE 的802.1x准入控制协议，几乎所有的有线和无线以太交换机制造商都支持该协议。今天，赛门铁克通过率先实现VPN（IPSec及SSL）、局域网 (802.1x) 和代理自我强制技术，为网络准入控制指明了方向。

    NAC解决方案需要多种强制方法和高度的策略灵活性才能覆盖整个企业网络。客户应该仔细评估他们的环境和需求，权衡各种可行方案。当前已出现多个联盟和标准，旨在为网络基础架构、验证、端点安全和策略管理供应商建立可满足集成要求的 NAC 标准。

    赛门铁克已经与Cisco建立合作伙伴关系，这使客户在部署NAC技术时能够有更多的选择。由于赛门铁克的NAC解决方案包含所有连接点，并且与Cisco基础架构完全兼容，因此客户现在无需Cisco的NAC基础架构即可部署赛门铁克技术。采用这种方法无需在每个系统上都部署额外的代理 (Cisco Trust Agent)，并且降低了服务器后端基础架构的复杂性。

全面的入侵防护

    Gartner在2005 年，从行为、应用和网络三个层面，描绘了 9 种不同的主机入侵防御类型，以帮助企业决定哪种类型或类型组合能够最好服务于他们的需求。诸如赛门铁克这样的产品已经能使企业延伸其 NAC 保护：一种确保符合企业安全策略的可信设备才能访问网络的能力，胜任于每种类型的网络访问（ VPN、无线、路由器、DHCP 等），胜任于所有的端点（包括笔记本电脑、台式机、服务器、访客系统以及嵌入式设备）。其解决方案可以无缝的集成多层防火墙和主机入侵防护为终端提供保护，提供黑名单、白名单，以及行为方式去保护设备远离那些针对网络、应用及计算机操作系统层面的威胁。   

    SEP5.0 包含专为服务器设计的强劲主机入侵防护系统，自带增强的特定服务器类型保护模板。以及经 Determina 许可的内存防火墙技术。它保护关键业务的服务器应用免遭零日的缓冲溢出攻击。这一能力也反映出一个现实，就是自从 2003 年以来，缓冲溢出攻击 100 ％盘踞在微软服务器关键弱点之中。

终端设备安全完整性保证

    主机完整性强制应被视为企业保护系统的关键组件。信息安全业界已经开发出了多种基于主机的安全产品，以确保企业网络和信息的安全，阻止利用网络连接技术、应用程序和操作系统的弱点和漏洞所发起的攻击。并已充分采用了在个人防火墙、入侵检测、防病毒、文件完整性、文件加密和安全补丁程序等方面的技术进步，来有效地保护企业设备。

    然而，只有在充分保证这些安全技术的应用状态、更新级别和策略完整性之后，才能享受这些安全技术给企业网络安全带来的益处。如果企业端点设备不能保证主机安全措施完整性，也就不能将该设备看成企业网络受信设备。

企业选择终端安全解决方案时应考虑的设计原则

    今天企业需要有能力了解终端网络通讯的行为，评估相应的风险，轻松配置安全策略来减少风险，并且在整个网络中强制贯彻这个策略。由蠕虫和病毒引起的破坏已经清晰地证明了当前防护措施的不完备。在选择企业的终端安全解决方案时，企业应该考虑那些自设计之始就坚持以下原则的产品。

    • 先进性：保证所采用的产品和技术属世界主流产品，在网络安全领域占有较大的用户市场，在该领域处于领导地位。

    • 实用性和可靠性：网络安全系统的性能指标，能够满足相当长时间内全网综合系统发展所需的存储量和处理能力的要求。该系统应切实满足业务的需要，性能可靠，易于维护并且网络及系统各方面指标切合实际需要。

    • 兼容性和互操作性：所采用技术和产品可以支持兼容符合国际标准和工业标准的相关接口，可以与其它主流安全产品进行很好的融合，实现不同厂商安全产品的互相作用，从安全防护上做到1＋1>2安全防护性能，既保证企业以往安全投资的有效性和大量缩减企业安全投资，又能使企业网络的安全防护能力上升到一个新的高度。

    较之于那些综合的软件开发商或者软硬件都提供的厂商，独立的软件开发商无疑在这方面具有更多优势。因为其独立的性质决定了与其他综合厂商相比，对网络接入方式的支持覆盖面最广，对设备与软件的支持最多，开放的接口给第三方的软件开放上的支持最多。这种在兼容性，强制面、以及生态系统群方面的优势，将会让企业在复杂的网络环境中部署并实施解决方案时变得更加轻松高效。

    • 可扩充和灵活性：可以根据不断增长的业务发展需要很容易地进行系统作用范围扩充，在扩充网络防护范围时做到对企业非安全管理人员的透明，保证系统灵活有效的实施。

    谢冲或许要重现检讨一下他目前的系统。现有的技术，例如补丁和漏洞管理系统，属于被动的方式来保持系统主机的更新，它们没有强调一个真正的解决方案应该具备的要素：将那些没有升级到最新或是不符合企业安全策略的系统与网络断开，并建立一种方法在不需要IT支持人员介入的情况下修复。

    诸如网络准入控制技术为解决这一问题提供了新思路：在端点连接到网络之前对它们的安全状态进行审计，并在连接到标准企业网络之前进行适当的更新。这样既可以保证蠕虫和病毒远离网络，又允许强制执行应用程序级别的安全策略。

    今天， 已经有很多实施了完整NAC解决方案和企业安全保护的大型企业客户，或许明天，当谢冲的企业也实施了这样的解决方案后，他终于也可以轮到去海滩上躺着休假，享受海水，而不是火焰。