如果你是一名企业IT维护人员,并有着3年左右的从业经历,相信你会对本文的题目有几分感触。随着3G时代的到来,一般企业的网络安全架构正面临着前所未有的考验。旧有的架构正面临崩塌,而新的架构似乎尚未成形。
当前,一般企业的网络架构其实很简单,PC、交换机、路由器、VPN线路,基本就构成了企业网络的主要结点(Node)。在公司总部的防火墙及用于INTERNET访问的代理服务器,基本构成了守卫企业网络安全的两道大门。总的网络出口在总部,并且总部会通过行政策略禁止公司其它结点私自安装上网线路,例如ADSL。在这种情况下,企业网络其实是一个相对封闭的环境。对于客户端安全,客户端上基本上会部署企业版的防病毒软件,通过病毒服务器每日更新病毒特征信息,这一种安全体系被应用了数年之久,简单且十分有效。
这一安全体系架构最早暴露出问题应该是在2004年左右,唯一的原因是U盘被广泛使用,加之WINDOWS XP系统那“成事不足,败事有余”的自动运行功能,各式各样的AUTORUN病毒着实风光了一把。随后的一系列病毒事件,大大小小,奇招尽出,但始终是在围绕着AUTORUN这一备受诟病的WINDOWS功能来施行破坏。这期间各防病毒软件厂商也加入战斗,与不断涌现的病毒打得不亦乐乎,而我们的电脑几乎无一例外的成了战场或沦为炮灰。
不过,想解决AUTORUN病毒并非没有办法,这要从WINDOWS XP本身下手,禁用掉Shell Hardware Detection服务就可以使系统的自动运行机制失效;当然,各防病毒软件厂商也有自己的解决方案,总之,AUTORUN病毒是可以被控制住的。面对U盘的普及,虽然传统的企业安全体系已显现出疲态,但还不至于全线崩塌,而是由最初的安全可靠转变为努力地维持一种平衡。
终于,在2009年这一平衡将被打破,此次的直接原因是3G全面商用,这将导致原先的企业安全体系面临全线崩塌的威胁。您可能认为笔者的观点过于偏激,是否真的有那么严重?让我们先来看一下3G会为用户带来些什么变化。
通过移动通信网络(手机网络)上网早已不是什么新鲜之事。早在2.5G年代,CDMA1X,EDGE就已经是经常出差用户的必备上网设备,但那时的应用还很“受限”,主要是用来收发邮件,偶尔上网一般也是做一些比较简单的事情,例如看看股市行情。原因很简单,慢得难以忍受的网速,让你没有任何心情做其它的事情。
除了收发邮件之外,2.5G上网卡还有另外一个用处——突破企业网络的封锁。笔者曾在一家企业的北京分公司实习,不知出于何种考虑,总部IT封锁了MSN和QQ,公司使用ISA为用户提供代理上网服务,这种情况下使用MSN和QQ变得非常困难。这时2.5G上网卡就派上了用场,公司的老板们在笔记本上通过2.5G网络使用MSN,另外一端接入公司内网用来办公或访问INTERNET。
相信您一眼就能看出,这种行为存在很高风险性。如果在一台笔记本上同时连接着两个网络,一边是公司内网,另一边直接暴露的INTERNET上,此时架设在总部的防火墙和代理服务器将完全失去对当前笔记本的保护能力,而只有反病毒软件独自保护终端,反病毒软件在关键时刻往往是不顶用的,再加上其它一些因素,例如当前用户权限,系统是否及时更新了安全补丁等。
此时的笔记本就像是一颗放置在企业网络中的定时炸弹,被员工从外网带入内网。要知道INTERNET上的各种风险想侵入企业内部网络还是比较困难的,但它们最想做的就是想方设法进入企业内网,因为只有“进来了”,接下来的所有行动才会成为可能。而此时的公司职员正好扮演了“引狼入室”的角色。
3G区别于2.5G的一个最大变化就是3G极大的改善了使用体验,上网速度甚至要优于一般的宽带线路,仅这一点就足以改变我们以往的很多认识。几年前,降价使移动存储设备得到了极大的普及,从而导致AUTORUN病毒活跃数年,那这此的3G普及大潮又将带给企业网络什么安全挑战呢?
有一点可以肯定,升级为3G的用户肯定不会仅仅只使用MSN,或许他们会干脆放弃使用公司提供的上网方式,全部INTERNET访问都通过3G网络来实现。但有些情况是不会发生变化的,例如他们依然需要通过公司内网收发邮件,访问文件服务器,查询业务报表等等。如果说2.5G建立起的上网通道只是个针孔,不足为虑,那3G建立起的上网通道就已经是平坦大道了,各种安全威胁会像洪水一样涌入用户的笔记本,而此时的笔记本就像是个跳板,使安全威胁从企业内部直接进入内部网络,并且很可能不会受到任何阻拦,随后在极短的时间内扩散开来。
这种安全威胁方式绕过了位于企业网络边界的防火墙和代理服务器被员工直接带入了公司内部网络,不要再指望现有的企业安全体系可以防御这种安全威胁。反病毒软件作为仅有的一道屏障,但由于其固有的“后知后觉”特性,在与病毒的斗争中往往也会败下阵来。这种方式的安全威胁现在已经发生,并且会越来越普遍,我们应该如何应对?
像禁用U盘一样禁用3G上网卡,在当前看来,这种“封杀一切不安定因素”的方法似乎已经变得不太可行,而且这种手法其实是在原有的网络体系架构上“打补丁”,要知道打补丁虽可解决小问题,但如果新的风险在对原有网络架构本身提出挑战时,打补丁就变得毫无意义了。
时值年中,各大反病毒软件厂商都相继推出了新版本的杀毒软件,像赛门铁克的诺顿360 3.0和趋势科技的OfficeScan 10,前一款面向家庭用户,后一款面向企业用户,不过这两款产品都使用了一种相似的INTERNET安全防护机制——互联网资源信誉评级机制。简单的说,就是厂商会对互联网上的各种资源进行安全评估,并使用评估结果建立起数据库,客户端在访问互联网时会向厂商数据库申请验证目标资源的安全性,对于存在风险的资源安全软件将给出提醒或直接禁止访问。
互联网资源信誉评级机制已经不是什么新技术了,但这种机制相对于传统的客户端特征码防毒有一个比较明显的优势,传统的防病毒方法是病毒被下载到电脑中以后,杀毒软件再对文件进行扫描,而应用信誉评级机制后,已知的存在风险的资源会被禁止访问,也就是说安全风险并不会到达用户的电脑中。这种方式似乎给我们提供了一种思路。
正如本文标题中所讲的,企业网络与个人网络之间的界限正变得越来越模糊不清。3G时代传统的企业安全体系架构正在与高风险的个人网络相融合,导致原先的企业安全机制渐渐失控。这种挑战是我们以往没有经历过的,陌生而又充满未知。造成这一局面的原因其实非常简单,但也非常有效,3G用户非常轻易的绕过了企业的安全边界,将风险点直接带到了企业内部。旧有的架构正面临崩塌,而新的架构似乎尚未成形。
