走出信息孤島 牢記廣域網(wǎng)安全三要素

申請(qǐng)免費(fèi)試用、咨詢(xún)電話(huà)：400-8352-114

想擺脫信息孤島現(xiàn)象，機(jī)構(gòu)用戶(hù)就要把一個(gè)個(gè)單獨(dú)的局域網(wǎng)連接起來(lái)，并且支持自己的員工遠(yuǎn)程通過(guò)互聯(lián)網(wǎng)安全可靠地接入公司局域網(wǎng)。如此沖破LAN限制、享受WAN服務(wù)的模式，在信息化建設(shè)角度來(lái)講只算是“邁出的一小步”，但從安全管理角度來(lái)看卻是危險(xiǎn)的“一大步”。

局域網(wǎng)是一個(gè)小世界，在小局域網(wǎng)內(nèi)做安全控制相對(duì)簡(jiǎn)單，終端是一個(gè)點(diǎn)，兩點(diǎn)對(duì)聯(lián)是一條線(xiàn)，多點(diǎn)交互是一個(gè)面。在點(diǎn)、線(xiàn)、面的三個(gè)維度，以病毒管理和防守好邊界為主，輔以?xún)?nèi)部網(wǎng)絡(luò)設(shè)備上的適當(dāng)控制，基本可以滿(mǎn)足局域網(wǎng)里的風(fēng)險(xiǎn)管理要求。但邁出局域網(wǎng)的圍墻與其他的局域網(wǎng)相連，甚至和互聯(lián)網(wǎng)上的人與設(shè)備相連接，必然要引來(lái)各式各樣的威脅。

我們的任務(wù)

安全建設(shè)任務(wù)可以分為兩大類(lèi)，共性的和個(gè)性的。共性的任務(wù)旨在解決所有子系統(tǒng)、子環(huán)節(jié)的安全隱患，比如加強(qiáng)審計(jì)、配足人力、塑造良好的安全文化等，做好這些工作有助于保護(hù)安全的方方面面；個(gè)性的任務(wù)旨在消除具體某個(gè)系統(tǒng)、某個(gè)環(huán)節(jié)的安全隱患，比如對(duì)于邊界有邊界控制的對(duì)策，對(duì)門(mén)戶(hù)網(wǎng)站有Web防御的方法。我們探討廣域網(wǎng)安全問(wèn)題，研究的正是個(gè)性化的安全任務(wù)。討論個(gè)性化安全任務(wù)時(shí)，要避免陷入產(chǎn)品導(dǎo)向型誤區(qū)，而應(yīng)該走目的導(dǎo)向型之路。追本溯源，廣域網(wǎng)安全的目的同樣可以從最基本的安全三要素——保密性（Confidentiality，簡(jiǎn)稱(chēng)C）、完整性（Integrity，簡(jiǎn)稱(chēng)I）、有效性（Availability，簡(jiǎn)稱(chēng)A）——加以考慮。于是，我們對(duì)廣域網(wǎng)安全的個(gè)性化對(duì)策也應(yīng)該從這三方面進(jìn)行設(shè)計(jì)，對(duì)廠家的方案也可以從這三方面評(píng)判。

保障保密性

LotFlow 方案中，應(yīng)對(duì)保密性問(wèn)題的方案包括數(shù)據(jù)流量有效性的驗(yàn)證和員工上網(wǎng)行為的管理，擋住DoS攻擊等威脅，管住即時(shí)聊天、P2P、Web聊天、在線(xiàn)游戲、非法隧道。不要小看普通人員的上網(wǎng)行為，這可是引狼入室的渠道，不良的上網(wǎng)行為更是誘發(fā)局域網(wǎng)信息外泄的重要原因。SonicWALL則應(yīng)用了VPN技術(shù)進(jìn)行與互聯(lián)網(wǎng)交互時(shí)的數(shù)據(jù)加密。VPN是依托別人的網(wǎng)絡(luò)資源 ，私密地傳輸自己的數(shù)據(jù)的行為。

SonicWALL使用的是SSL型VPN，高級(jí)質(zhì)詢(xún)、緩存控制、安全桌面、阻止可疑郵件附件、阻止對(duì)金融數(shù)據(jù)訪(fǎng)問(wèn)等等具體手段對(duì)我們邁出局域網(wǎng)時(shí)所要經(jīng)歷的風(fēng)險(xiǎn)進(jìn)行了防范。天融信使用的也是VPN技術(shù)，它的 “保密性”技術(shù)包括：綜合使用IPSec VPN和SSL VPN技術(shù)將加密工作覆蓋了各種遠(yuǎn)程接入，采用CLEAN VPN技術(shù)消除接入過(guò)程中引入病毒的可能，認(rèn)證加密技術(shù)做到了對(duì)來(lái)訪(fǎng)者身份的抗抵賴(lài)性等等。

保障完整性與有效性

LotFlow的方案整合不同于ISP及WAN鏈路，實(shí)現(xiàn)流量負(fù)載均衡及容錯(cuò)備份，確保互聯(lián)網(wǎng)/ 企業(yè)網(wǎng)的存取服務(wù)不會(huì)中斷，維持鏈路的平穩(wěn)、快速的傳輸品質(zhì)，同時(shí)用上QoS技術(shù)，使得不同類(lèi)型與特性的網(wǎng)絡(luò)流量能共存于同一個(gè)網(wǎng)絡(luò)，并彼此保持應(yīng)有的效率與穩(wěn)定。

SonicWALL 的方案是圍繞SSL VPN展開(kāi)的，“完整性”和“有效性”看似與VPN關(guān)系不大，但方案中多種終端設(shè)備的可用性、基于Web的無(wú)客戶(hù)端軟件訪(fǎng)問(wèn)、會(huì)話(huà)保持等技術(shù)都不是局限于 “保密性”的。VPN工作的質(zhì)量、對(duì)線(xiàn)路穩(wěn)定的支持力度都是不可缺少的環(huán)節(jié)，VPN產(chǎn)品的優(yōu)劣足以影響信息安全這兩個(gè)方面。

天融信的方案里也在“完整性”、“有效性”方面做了很多文章。比如，旁路接入的方式，旨在保證對(duì)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的影響減到最小，有效保障網(wǎng)絡(luò)結(jié)構(gòu)的穩(wěn)定性。

廠家們的方案從不同角度強(qiáng)化了廣域網(wǎng)的安全性，信息安全保障強(qiáng)調(diào)木桶原理，并不是要你面面俱到，有時(shí)從一兩個(gè)角度控制住足矣，用戶(hù)關(guān)鍵是要找出適合自己的角度。（中國(guó)信息安全）