【51CTO.com独家特稿】说到企业内部网络的恶意网址过滤和上网行为管理,CIO和CTO们一定都不陌生,很多单位都有购买的设备或自己搭建的服务器来执行相关的工作。
通常带有Web Filter功能的网络会如图所示。
|
图1 |
这样的架构非常经典,长期以来也有效缓解了恶意代码入侵内网的问题。但是随着近年来智能手机、平板电脑等BYOD设备不断的进入企业网络,管理员们突然发现有点力不从心了。
有的单位推出了MDM的解决方案,但大多要在BYOD设备上安装插件,如果是公司发的那还好说,装了就装了。但如果是员工自己买了自己用的,凭什么让人安装插件呢?
不让装插件,好。没关系,我们的Web Filter是网关处的,只要你链接恶意网址或其他非法网站,我当你是PC一样的拦截即可。
可是有一天,管理员们突然发现,虽然已经在Web Filter上加入了过滤策略,很多员工的智能手机和平板依然饱受恶意代码威胁,色情网站和非法网址等依然能够在员工的手机和平板上访问,还有那些不被允许的炒股软件和联网游戏……
难道是这些员工用了什么奇怪的方法?
一查之后,发现大家什么都没改过,都是很普通的用户。
很多手机App等移动互联网开发商为了让智能设备享受更便捷的通道,往往给予了它们和PC不同的访问路径和网址。我们拿最简单的新浪网为例子。
你在PC上访问www.sina.com.cn时。网址不会改变,但你在手机上访问时,系统会自动跳转到sina.cn,如果你的Web Filter里只设定过滤www.sina.com.cn,而没有设定sina.cn ,那使用手机的用户便可以不受约束的突破拦截了。
|
图2 |
当然,以上的举例子还都是危害比较小的,如果企业内网用户访问的是含有恶意代码的网址和色情网站的话,网络管理员估计就会头疼了。
BlueCoat中国区产品市场经理申强说过这么一个事情:“我们去年(2012年)抓到一个假冒的skype的网站,本身他是透过一个合法的下载网络去下载,但是这个合法的下载网站链接被动了手脚,被黑客攻进去了。以后你去下载的时候这个页面上就有一个恶意代码把你扫入一个俄罗斯网站里面去。
当时BlueCoat发现,一个用户在合法的网站上下载skype的时候,界面跳转到之前给PC注入过恶意代码的俄罗斯服务器里面。
经过我们的引擎分析后发现,恶意代码会随着skype下载到你的系统里。然后这个系统一周之内大概换了52个新的域名,不断的改变,防止别人发现他们攻击的行为,传统的拦截方式根本就拦不住”。
以下这张图可以给大家做个参考,图中显示,在社交网络、新闻/媒体、休闲方面,移动使用已经全面超过了桌面使用。我们之前在桌面端设定的静态过滤、拦截策略,很可能在这个移动的时代毫无用处。
|
图3 |
IBM 的预测报告显示,鉴于智能手机和平板电脑在企业中的广泛使用,预计 2011 年与 2010年相比,将有多达两倍的移动设备受到攻击,其中包括“要求员工使用自己的移动设备”(BYOD) 的做法,因其允许个人设备访问公司网络。除了恶意攻击的威胁,公司还面临着盗窃和用户疏忽造成数据遗失的巨大风险。近期一项针对移动设备安全的调查显示,超过 70 % 专业人员表示使用网络不谨慎的员工对安全的威胁性比黑客的更大。
在不了解用户最容易遭受何种内容类别攻击的情况下,保护最容易受操纵或遭受行为攻击的用户是一件极具挑战的事情。
BYOD时代,人们需要怎样的内网安全过滤方案
移动用户代表了目前企业内复杂且不断成长的群体。那些能够以更安全的方式来管理移动设备的企业可以帮助员工提高工作效率,从而使他们获得竞争优势。
将企业级网络安全解决方案扩展到移动设备是企业朝着保护其员工安全性迈出的良好第一步。通过消除移动安全漏洞和对企业资产访问权限实施相关的策略控制,企业可以主动保护其资产免受移动环境中各种层出不穷的威胁的侵扰,同时充分利用移动员工的创新提高工作效率。
以BlueCoat的移动设备安全 (MDS) 服务为例,该方案可将 Blue Coat设备上的威胁保护和策略控制扩展至位于任何位置的移动设备用户。MDS服务是Blue Coat云服务的一部分,后者是无缝保护员工从任意设备或网络访问 Web 或企业内容,并提供一种基于网络的方法以保护和控制企业网络内外的移动设备的全局基础设施。
与只阻止个人设备上的全部应用程序的设备级解决方案不同,MDS 服务使您能够通过跨本地移动和移动浏览器 (m.) 应用程序应用应用程序和操作控制启用移动设备。借助基于网络的细化应用程序控制和 Web 过滤,MDS 服务使您能够为用户提供所需的访问并确保企业所需的安全。因此,采用一种更加灵活、低接触的方法确保移动设备安全。
MDS 服务可将全局威胁保护、通用策略和统一报告扩展至具有以下功能的移动设备,如:
◆ 准确的 Web 过滤和恶意软件保护
◆ 内联反病毒扫描
◆ 细化的应用程序和操作控制
◆ 实时统一报告
◆ 企业级加密连接方法
【编辑推荐】