走出信息孤島 牢記廣域網安全三要素

申請免費試用、咨詢電話：400-8352-114

想擺脫信息孤島現(xiàn)象，機構用戶就要把一個個單獨的局域網連接起來，并且支持自己的員工遠程通過互聯(lián)網安全可靠地接入公司局域網。如此沖破LAN限制、享受WAN服務的模式，在信息化建設角度來講只算是“邁出的一小步”，但從安全管理角度來看卻是危險的“一大步”。

局域網是一個小世界，在小局域網內做安全控制相對簡單，終端是一個點，兩點對聯(lián)是一條線，多點交互是一個面。在點、線、面的三個維度，以病毒管理和防守好邊界為主，輔以內部網絡設備上的適當控制，基本可以滿足局域網里的風險管理要求。但邁出局域網的圍墻與其他的局域網相連，甚至和互聯(lián)網上的人與設備相連接，必然要引來各式各樣的威脅。

我們的任務

安全建設任務可以分為兩大類，共性的和個性的。共性的任務旨在解決所有子系統(tǒng)、子環(huán)節(jié)的安全隱患，比如加強審計、配足人力、塑造良好的安全文化等，做好這些工作有助于保護安全的方方面面；個性的任務旨在消除具體某個系統(tǒng)、某個環(huán)節(jié)的安全隱患，比如對于邊界有邊界控制的對策，對門戶網站有Web防御的方法。我們探討廣域網安全問題，研究的正是個性化的安全任務。討論個性化安全任務時，要避免陷入產品導向型誤區(qū)，而應該走目的導向型之路。追本溯源，廣域網安全的目的同樣可以從最基本的安全三要素——保密性（Confidentiality，簡稱C）、完整性（Integrity，簡稱I）、有效性（Availability，簡稱A）——加以考慮。于是，我們對廣域網安全的個性化對策也應該從這三方面進行設計，對廠家的方案也可以從這三方面評判。

保障保密性

LotFlow 方案中，應對保密性問題的方案包括數(shù)據流量有效性的驗證和員工上網行為的管理，擋住DoS攻擊等威脅，管住即時聊天、P2P、Web聊天、在線游戲、非法隧道。不要小看普通人員的上網行為，這可是引狼入室的渠道，不良的上網行為更是誘發(fā)局域網信息外泄的重要原因。SonicWALL則應用了VPN技術進行與互聯(lián)網交互時的數(shù)據加密。VPN是依托別人的網絡資源 ，私密地傳輸自己的數(shù)據的行為。

SonicWALL使用的是SSL型VPN，高級質詢、緩存控制、安全桌面、阻止可疑郵件附件、阻止對金融數(shù)據訪問等等具體手段對我們邁出局域網時所要經歷的風險進行了防范。天融信使用的也是VPN技術，它的 “保密性”技術包括：綜合使用IPSec VPN和SSL VPN技術將加密工作覆蓋了各種遠程接入，采用CLEAN VPN技術消除接入過程中引入病毒的可能，認證加密技術做到了對來訪者身份的抗抵賴性等等。

保障完整性與有效性

LotFlow的方案整合不同于ISP及WAN鏈路，實現(xiàn)流量負載均衡及容錯備份，確保互聯(lián)網/ 企業(yè)網的存取服務不會中斷，維持鏈路的平穩(wěn)、快速的傳輸品質，同時用上QoS技術，使得不同類型與特性的網絡流量能共存于同一個網絡，并彼此保持應有的效率與穩(wěn)定。

SonicWALL 的方案是圍繞SSL VPN展開的，“完整性”和“有效性”看似與VPN關系不大，但方案中多種終端設備的可用性、基于Web的無客戶端軟件訪問、會話保持等技術都不是局限于 “保密性”的。VPN工作的質量、對線路穩(wěn)定的支持力度都是不可缺少的環(huán)節(jié)，VPN產品的優(yōu)劣足以影響信息安全這兩個方面。

天融信的方案里也在“完整性”、“有效性”方面做了很多文章。比如，旁路接入的方式，旨在保證對現(xiàn)有網絡結構的影響減到最小，有效保障網絡結構的穩(wěn)定性。

廠家們的方案從不同角度強化了廣域網的安全性，信息安全保障強調木桶原理，并不是要你面面俱到，有時從一兩個角度控制住足矣，用戶關鍵是要找出適合自己的角度。（中國信息安全）