准入控制防范网络中的恶意侵犯

　　从911事件发生到拉登被宣布击毙，已经过去了10个年头，全球军事力量最强的美国也花了如此长的时间才对其进行准确定位和最后解决，那么作为孤军奋战的担任网络管理者的您，如何防止网络中的恶意攻击并找到隐藏至深的攻击来源？换句话说，谁将是您网络中的下一个本拉登？什么技术能够帮助您定位和阻断网络中的恐怖威胁？

 

 

　　1、有口难言篇

 

 

　　“我们认为在巴内部有某种支持网络支撑拉登，尽管我们不知道这种支撑网络究竟是谁，我们不知道这一网络中是否有巴政府官员。”-------美总统奥巴马

 

 

　　您是否也会遇到这样的情况，明明已经做好了大量的安全工作，部署了各类设备，制订了各种安全规范，但是领导一检查就出漏子，甚至明明是员工的使用习惯问题，却往往摊到自己背黑锅。

 

 

　　这个处境就跟可怜的巴基斯坦一样，作为美国的反恐盟国，一定也是战战兢兢地配合做好反恐工作，可是拉登被击毙的地点就在距巴基斯坦首都伊斯兰堡仅60公里的阿伯塔巴德一座三层的建筑院落中，怎能不尴尬万分？

 

 

　　同理，当网络中的威胁点就潜藏在您的附近，却无法定位，无法阻断，导致最后被指责，受委屈，我们的网络管理者往往只能打落牙齿往肚里咽。在因为网络中的安全事故造成重大损失后，相信大部分人首先想到的一定是“之前能够提前定位到责任人就好了…”这样类似的话语。

 

 

　　2、费力不讨好篇

 

 

　　据《时代》杂志透露，美国中情局有大约1100名分析家和秘密特工在辅助搜捕恐怖分子的工作，此外还设有一个特别的本。拉登工作站，人员编制为50人。

 

 

　　对于国内大量的网络管理者而言，往往都购置了大量的网络安全设备，投入了大量的人力物力成本，而这些可能就是为了防范那只有万分之一概率出现的安全事件。俗话说，好钢用在刀刃上，如果在每年几百万的安全投入下，却依然出现一些低级的安全事故，那么这样的投入产出比肯定是无法让您的主管部门满意的。就像奥巴马先生，在这样1000多名人员编制的情况下，如果依然迟迟无法找到拉登，那么该如何向纳税人交待？

 

 

[page]

 

　　因此，不管我们如何投入，如何宣称花费了多大的功夫和代价，最终的结果只有一个，就是找到我们网络中的那些潜在威胁点，那位下一个本拉登先生。

 

 

　　3、管理篇

 

 

　　在911事件调查中，据媒体报道，失事飞机上的一名旅客用手机对他父亲说，劫机者用匕首威胁旅客。对此，一名资深登机安检员说，机场对美国国内航班的检查没有像国际航班那样认真和仔细，甚至存在很多漏洞，如果你认识一名安检人员，事情就好办多了。恐怖分子完全可以将武器带上飞机，事实就是如此。

 

 

　　是的，事实就是如此，当我们大多数的网络管理者将重点放在网际（通常是因特网到内网）安全时，内网中的安全漏洞已经在开始悄悄滋生。基于传统的安全理念，管理者对内网一般不会进行或较少进行有效的安全防范，导致内网门户洞开，而内网往往又是大部分重要业务资源和核心数据的存放地，一旦发生事故，整个业务就有像世贸大厦一样完全坍塌的危险。

 

 

　　因此，在内网安全事故发生时，我们的网络管理者难道可以站在一堆防火墙面前拍着胸脯说“我完全没有责任”吗？

 

 

　　4、执行力VS技术篇

 

 

　　“9.11”独立调查委员会曾向媒体公布了事发当天早晨，华盛顿杜勒斯机场内部监视系统的一盘录像带，其中记录的正是当时5名劫机者经过安检的全过程。 令人吃惊的是，这5名劫机者中有4人在金属探测器第一次检查下就没有通过，不过最终他们居然顺利登上飞机。而正是这架航班号为77次的飞机，不久以后就被劫持并撞向五角大楼。

 

 

　　对于某些意识到内网安全重要性的网络管理者而言，对入网计算机及人员的安全性验证已经逐步重视起来，但其所采用的准入架构的严谨性和科学性又让专业的安全咨询人员大跌眼镜。类似于10年前的“911”，我们现在还经常看到的现象是，即使能够在系统中成功获知接入者的安全状况，但低下的阻断和异常控制能力（911事件中就明显体现为机场安检人员的反恐执行力）也会成为整个准入系统中致命的缺陷。目前行业中仍然有客户或厂商在推行ARP干扰准入，这种基于传统ARP协议漏洞的欺骗式阻断自身就存在着大量准入实现漏洞（如可以被静态arp表绕过，被各类安全软件所抵御，或对服务器产生干扰等），而采用传统802.1x协议的准入网络，对于来宾的入网引导又不够友好，如果强制其安装客户端，则人工加强了执行准入的复杂度和工作量（来宾入网要申请安装客户端，出网后又需要向管理员申请卸载客户端）。那么，如何在执行力——技术严谨性——平台便捷性上找到平衡点？

 

 

　　做为内网管理与安全准入控制行业的领导厂商，杭州盈高科技能够根据用户内网的各种复杂环境，为身为网络管理者的您量身打造精确定位威胁点、有效阻断威胁、友好来宾管理的优秀NAC产品，并以丰富的内网安全服务经验协助您进行网络管理规范的整体化建设，以针对性的安全投入切中您所担忧的内网安全短板，助力您获得有效管理与优良的绩效评价等级。