網(wǎng)絡(luò)安全實(shí)際上一個(gè)相當(dāng)廣義的話題，并不時(shí)所有的網(wǎng)絡(luò)安全威脅都是如同黑客進(jìn)攻一般明目張膽。有很多網(wǎng)絡(luò)安全隱患是很容易被忽略的。一方面，企業(yè)機(jī)構(gòu)現(xiàn)在要托管更多的用戶，其中許多用戶還都是企業(yè)外部的人員，而這些用戶總是會(huì)使用越來(lái)越多的應(yīng)用程序。另一方面，為了提高生產(chǎn)率，企業(yè)需要這些變化，企業(yè)需要與合作伙伴和承包商合作來(lái)有效地完成項(xiàng)目，新的應(yīng)用通常將推動(dòng)員工之間更高水平的協(xié)作。因此，這里的關(guān)鍵是IT部門要在允許采用這些有成果的做法的同時(shí)，不破壞機(jī)構(gòu)數(shù)字資產(chǎn)的安全或者不影響員工的生產(chǎn)率。

通過(guò)增加身份識(shí)別和應(yīng)用程序可見(jiàn)性以及增加對(duì)網(wǎng)絡(luò)的控制，IT部門能夠避免什么樣的風(fēng)險(xiǎn)呢?下面就是這些安全風(fēng)險(xiǎn)的所在：

安全隱患一、應(yīng)用程序(或者人員)的行為不當(dāng)：

銀行給人的印象往往是，柜員機(jī)交易是通過(guò)使用SSH(安全外殼)的加密通道中進(jìn)行的——在獲得網(wǎng)絡(luò)中的應(yīng)用程序、智能觀察應(yīng)用程序的流動(dòng)之后，他們注意到有大量的Telnet(遠(yuǎn)程登陸)進(jìn)程并且跟蹤這些進(jìn)程到柜員機(jī)。他們了解到，這些包含客戶金融和個(gè)人數(shù)據(jù)的敏感的交易是在Telnet上透明地進(jìn)行的，而不是在SSH的加密情況下進(jìn)行的。

安全隱患二、誰(shuí)在訪問(wèn)哪一個(gè)網(wǎng)站：

對(duì)客戶計(jì)費(fèi)的任何業(yè)務(wù)都需要保證正確地計(jì)費(fèi)。一個(gè)根據(jù)時(shí)間計(jì)費(fèi)的呼叫中心需要為打入的電話服務(wù)。計(jì)費(fèi)周期從電話打入呼叫中心的隊(duì)列的時(shí)刻算起，盡管這個(gè)客戶必須要等待。一項(xiàng)對(duì)一個(gè)呼叫中心所有主要的應(yīng)用程序進(jìn)行的研究顯示，有大量的訪問(wèn)游戲網(wǎng)站的情況。這表明，玩游戲是某些員工推遲回答用戶電話的一個(gè)原因，從而不當(dāng)?shù)卦黾恿丝蛻舻馁M(fèi)用。如果把網(wǎng)站訪問(wèn)與客戶名聯(lián)系起來(lái)，對(duì)應(yīng)的企業(yè)機(jī)構(gòu)就可以消除這種浪費(fèi)用戶時(shí)間的因素，從而恢復(fù)準(zhǔn)確地為用戶計(jì)費(fèi)。

安全隱患三、80端口的問(wèn)題：

人們一般使用這個(gè)詞匯解釋許多在端口80運(yùn)行的應(yīng)用程序。雖然這些通訊流量與網(wǎng)絡(luò)瀏覽的通訊流量相當(dāng)，但是，更多的應(yīng)用程序目前使用L4端口。考慮一下甲骨文通過(guò)網(wǎng)絡(luò)瀏覽器提供的應(yīng)用程序服務(wù)或者SalesForce.com等使用云計(jì)算的CRM應(yīng)用程序。端口80現(xiàn)在什么事情都不會(huì)告訴你。事實(shí)上，在L4端口上運(yùn)行的應(yīng)用程序?qū)嶋H上可能會(huì)給機(jī)構(gòu)帶來(lái)風(fēng)險(xiǎn)。一些軟件廠商認(rèn)為他們通過(guò)關(guān)閉周邊防火墻上的已知端口成功地關(guān)閉了eDonkey(點(diǎn)對(duì)點(diǎn)數(shù)據(jù)交換程序)。一旦他們能夠?qū)钟蚓W(wǎng)上的應(yīng)用程序進(jìn)行詳細(xì)的檢查，他們就會(huì)看到eDonkey仍在廣泛地應(yīng)用，從而使他們的源代碼面臨風(fēng)險(xiǎn)。

安全隱患四、IP地址不等于用戶：

查找可能是用戶代理的IP地址同樣會(huì)使企業(yè)面臨風(fēng)險(xiǎn)。IT部門通常依靠表單跟蹤地址并且把地址與用戶名關(guān)聯(lián)起來(lái)。在一種情況下，一個(gè)企業(yè)的表單表明某個(gè)IP地址屬于一個(gè)交換機(jī)端口，而且那個(gè)端口有許多其它管理設(shè)備，并且制定一項(xiàng)政策規(guī)定那個(gè)端口只能使用相關(guān)的管理應(yīng)用程序。想象一下當(dāng)發(fā)生違反政策的情況時(shí)會(huì)出現(xiàn)什么情況。通過(guò)查看詳細(xì)的通訊流，他們能夠把“發(fā)送者”當(dāng)作一個(gè)用戶，而不是一個(gè)交換機(jī)。這種情況很容易產(chǎn)生重復(fù)的IP地址和網(wǎng)絡(luò)回路，或者不正確地對(duì)用戶進(jìn)行分組并且意外地提供訪問(wèn)敏感金融數(shù)據(jù)的權(quán)限。只有IP地址受到嚴(yán)密的監(jiān)視的情況下，一個(gè)機(jī)構(gòu)才能真正知道誰(shuí)在網(wǎng)絡(luò)上做什么。

安全隱患五、非法下載：

把流媒體下載與單個(gè)人聯(lián)系起來(lái)不僅對(duì)于保持生產(chǎn)率(和服務(wù)器空間)是關(guān)鍵的，而且對(duì)于滿足遵守法規(guī)的要求也是非常關(guān)鍵的。有非法下載行為的任何機(jī)構(gòu)最終都將承擔(dān)法律責(zé)任。MPAA(美國(guó)電影協(xié)會(huì))和RIAA(美國(guó)唱片行業(yè)協(xié)會(huì))堅(jiān)持對(duì)侵犯版權(quán)的行為采取嚴(yán)厲行動(dòng)。通過(guò)把下載通訊與具體的用戶聯(lián)系起來(lái)，IT部門能夠找到那個(gè)用戶并且重申互聯(lián)網(wǎng)使用政策。

總的來(lái)說(shuō)，商業(yè)行為的變化是非常快的。IT部門必須要把通訊流量與用戶名聯(lián)系在一起。這對(duì)于強(qiáng)制執(zhí)行接入政策、實(shí)現(xiàn)強(qiáng)制管理、滿足遵守法規(guī)的要求、滿足行業(yè)審計(jì)要求和保證員工的生產(chǎn)率都是非常重要的。局域網(wǎng)中的可見(jiàn)性對(duì)于IT部門控制用戶能夠在局域網(wǎng)上干什么是非常重要的，因?yàn)槟悴荒芸刂颇憧床坏降臇|西。

因此，為了數(shù)據(jù)保護(hù)、員工生產(chǎn)率、簡(jiǎn)化IT運(yùn)營(yíng)和某個(gè)人的工作崗位等許多原因，IT部門應(yīng)該找到一些方法更準(zhǔn)確地知道在局域網(wǎng)中的用戶的身份并且知道正在使用的全部應(yīng)用程序。無(wú)論采用哪一種機(jī)制，IT部門都能夠從基于身份識(shí)別的用戶和應(yīng)用程序控制中獲得好處
 

【編輯推薦】

1. Web專用網(wǎng)站服務(wù)器的安全設(shè)置
2. 怎樣進(jìn)行路由器的安全設(shè)置
3. 安全設(shè)置策略及自帶防火墻介紹
4. 企業(yè)如何對(duì)員工進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)
5. 企業(yè)如何在復(fù)雜環(huán)境中降低安全風(fēng)險(xiǎn)