网关还是终端 企业网络安全缺一不可

2009-07-29 Cbsi中国·PChome.net 类型: 原创 责编: 杨剑锋[评论1条]






如今的企业越来越依靠各种IT设备和网络技术，更多的IT设备以及网络应用被投入到企业环境中，而这也使得其IT系统结构越来越为复杂，而如何保证这个IT系统能够正常运行，也就是保障其网络安全，也显得越来越为重要。
为了保障企业网络安全，企业的IT安全人员可说是费劲了心思。一般而言，企业会从网关到终端步步设防，以图尽可能地保障企业网络安全运行。但是，让很多企业尤其是中小企业的IT人员为难的是，他们往往会面临网络安全预算不足的问题，尤其在当前金融危机的形势下，预算更是捉襟见肘，此时，他们必须考虑的一个问题就是，究竟应该把有限的经费投入到终端安全防护还是网关安全防护上去？
要弄清楚这个问题，我们首先来分析一下企业网络的结构。一般来说，企业网络由终端设备、内网和网关设备构成。终端设备包括办公计算机、服务器、存储设备等；内网则指由各种终端设备、交换机、路由器等构成的企业局域网络；网关则是企业局域网接入城域网的门户。而与之对应，企业网络安全可以分为内网安全和网络边界安全两个部分。其中，内网安全威胁主要来自企业网络内部，而边界安全威胁则来自企业网络外部，也就是外网。对于企业来说，这两种安全威胁都不容忽视。
首先从边界安全防护方面考虑，通过在网关位置设防，把好企业网络大门，可以在威胁进入企业网络之前就将其拦截在企业大门之外，这是一种很有效的方法，这也是目前安全技术最为集中、最为成熟的领域。目前在网关的安全产品，包括有防火墙、防毒墙、反垃圾邮件网关、IDS、IPS、VPN以及UTM等等，这些产品能有效的帮助企业抵御来自外网的病毒、垃圾邮件、黑客攻击等网络威胁，一般对于企业来说，在网关处设置安全防护就能把70%-80%的恶意攻击拦截在企业网络之外。
不过，网关防护也有其不足，它对来自网络内部的威胁无能为力，而根据调查表明，企业网络80%的安全问题是由内网尤其是用户终端引起。如今随着网络技术的发展，企业中的网络应用越来越为丰富，每一个终端正在成为新的网络边界。如随着新的网络接入技术的发展，新型的网络接口如WiFi、红外、蓝牙等都成为新的网络边界，移动办公方式的发展，使得内网边界动态化，但在这些新的边界上，却没有配置必要的安全防护。另外，USB等移动存储设备的大量应用，使得内部终端可能直接暴露在恶意软件面前。对于企业机密数据的泄露等，网关设备也无法防护。
这时，我们就必须考虑到终端防护上来。事实上，对于企业而言，网络安全就是要保证在企业网络环境中，信息数据的保密性、完整性及网络的可用性其根本目的是防止信息网络中储存、传输的信息被非法利用、破坏和篡改。而这些信息数据都是保存在终端上的，也就是说，企业网络安全的核心，最终是为了保护终端的网络安全。很多企业都能意识到这一点，他们在搭建企业网络时，也都会考虑到在终端进行网络安全防护。但是目前很多企业做得还远远不够，他们可能仅仅只是在终端上安装了基本的反病毒软件而已。而目前很多黑客已将目标瞄准了终端，据统计，一家拥有5,000个终端的企业，每年会三分之二的终端被病毒感染。
为何企业终端上的防病毒软件系统往往作用不大呢？首先，终端种类越来越多，PC、笔记本、手机以及U盘等可能随时接入企业网络，这就可能导致病毒在内网传播;另外，终端用户往往缺乏网络安全意识，在企业终端上不安装反病毒软件、不及时更新病毒库、不及时给系统打补丁、自行卸载反病毒软件的情况屡见不鲜，这使得防病毒软件形同虚设。
而事实上，终端面临的安全威胁，并不只有病毒一个方面。如何阻止已感染的终端在内网中散播恶意软件，如何防止终端中的数据泄露，如何规范和管理终端用户的网络行为等，这些都是需要考虑的问题。于是，与之相应，各种安全终端产品也纷纷问世，如数据加密系统、网络准入控制系统、补丁分发管理系统、桌面安全管理系统等，它们都是从安全或者管理的角度去解决终端可能遇到的安全问题，而这些是网关防护所无法做到的。
总体上来说，网关就如同企业网络的大门，必须有一个尽职的看门人，才能将心怀不轨之徒拒之门外;而终端作为企业网络服务的末梢，既是安全防护的核心也是网络中最薄弱、最需要保护的地方。网关防护和终端防护二者都是不可或缺也不可替代的，只有二者相互配合，形成统一的立体纵深防御体系，才能最有效地保障企业网络安全。