Web:不能保護(hù)應(yīng)用可能導(dǎo)致整個(gè)公司毀于一旦
企業(yè)的員工通過(guò)安裝一些未經(jīng)IT管理部門審查的、控制或管理到的面向互聯(lián)網(wǎng)的應(yīng)用,不斷地繞過(guò)公司的網(wǎng)絡(luò)控制。其中最流行的應(yīng)用軟件有:即時(shí)通訊、基于Web的電子郵件、博客、播客、MP3文件、P2P、VoIP以及PCAnywhere 這樣的遠(yuǎn)程訪問(wèn)程序。
雖然這些應(yīng)用程序?qū)I(yè)務(wù)有好處,但同時(shí)也造成了技術(shù)和商業(yè)上的風(fēng)險(xiǎn)。比如,這些軟件信息量豐富的特性(chatty nature)很可能導(dǎo)致數(shù)據(jù)泄露。此外,正如Bank of America的Todd Inskeep所說(shuō),“這些軟件中的任何一個(gè)都有可能傳播惡意軟件的方法。”
金融巨頭美洲銀行的副總裁兼高級(jí)信息安全架構(gòu)師Inskeep說(shuō),這些應(yīng)用程序幾乎都支持80和443端口上的連接,特別是像即時(shí)通訊軟件這樣的“端口不固定”軟件,以及其他一些專有程序如AOL Instant Messenger可以頻繁地通網(wǎng)絡(luò)發(fā)送和接收信息。
Inskeep建議,首先教育員工哪些東西允許下載,然后再安裝多種軟件管理工具,檢測(cè)和移除桌面上不需要的應(yīng)用。為了檢查這些軟件的使用情況,并確定怎樣最有效的屏蔽它們,你可以考慮在隔離區(qū)(DMZ)里設(shè)置Internet連接來(lái)分析軟件的協(xié)議和端口是如何改變的,這樣就能避免反病毒或反間諜軟件的檢測(cè)。此外,還可以考慮擴(kuò)大隔離區(qū),從而同時(shí)利用內(nèi)部和外部的防火墻:一個(gè)用于鎖定端口,另一個(gè)用于分析數(shù)據(jù)包。
“如何作選擇取決于你的業(yè)務(wù)需求” Inskeep指出。美洲銀行在全球范圍內(nèi)擁有175,000名員工,已經(jīng)開發(fā)出了自己的企業(yè)即時(shí)通訊系統(tǒng),這樣既滿足了溝通需要,同時(shí)也達(dá)到了監(jiān)控的要求。為了提高生產(chǎn)效率并防止資產(chǎn)信息泄露,美洲銀行不鼓勵(lì)、也不禁止員工用這款軟件聯(lián)系朋友和家人。
想嘗試一些新鮮的產(chǎn)品嗎?Inskeep建議安裝Skype這款軟件。這款免費(fèi)的加密互聯(lián)網(wǎng)電話軟件會(huì)在內(nèi)部一臺(tái)獨(dú)立的主機(jī)上主動(dòng)掃描打開的連接。他說(shuō):“ Skype可以像穿過(guò)瑞士奶酪中的洞一樣穿過(guò)網(wǎng)絡(luò)。”。
其他可選的措施包括:
鎖定桌面,使用戶不具有下載Web應(yīng)用程序所需的管理員權(quán)限。
使用URL過(guò)濾,阻止那些可用于獲得通訊或文件共享程序的網(wǎng)站。
分析Web應(yīng)用程序所使用的協(xié)議,以確定哪些端口需要關(guān)閉。
啟用常見的和(或)應(yīng)用防火墻檢測(cè)流量。
采取更強(qiáng)的策略,明確規(guī)定應(yīng)該如何使用即時(shí)通訊、博客等服務(wù)。
對(duì)企業(yè)網(wǎng)絡(luò)以外的設(shè)備,強(qiáng)制使用遠(yuǎn)程訪問(wèn)控制,如VPN等。
加強(qiáng)員工安全意識(shí)的培訓(xùn),讓他們知道哪些程序是可以用的,以及在什么場(chǎng)合下才可以用。
每個(gè)應(yīng)用程序都需要進(jìn)行風(fēng)險(xiǎn)分析。Inskeep說(shuō):“大多數(shù)情況下,這樣做的費(fèi)用還是很低的。你的員工是免費(fèi)下載軟件的 。” 不過(guò),增設(shè)安全措施將會(huì)導(dǎo)致費(fèi)用增加。如果不能保護(hù)應(yīng)用可能導(dǎo)致整個(gè)公司毀于一旦。
【編輯推薦】
