一. 现有网络风险分析
目前网络存在的主要风险来自与以下三个方面.
1. 整个内部网络处于一个平行网络.没有划分子网,所有客户端和服务器均在同一个冲突域和广播域,相对于内部网络的任何一个节点来说,都可以任意访问网络的任何部分和任何应用.这样的拓扑结构的安全风险非常的高,一旦有某个节点甚至某个节点的某个网络应用出现安全性问题,在内部网络这种高带宽的环境中就会迅速蔓延.波及并且影响整个网络.
比如.某个客户端因为操作系统没有及时更新补丁,导致有漏洞存在,并且感染了蠕虫病毒,我们知道,蠕虫病毒会自动扫描网络中的设备并且发现漏洞,通过漏洞复制自身并且传播,在传播的时候发送大量的数据包和网络连接,严重侵蚀网络的整体性能和可用性,并且如今的混合型威胁更可能携带木马,恶意脚本来收集和窃取用户重要信息,修改用户的数据和文件等等.
2. 网络边界分别有一条Internet出口和VPN行业网络接口.缺乏边界安全的保护.网络边界的主要功能是实现内外网数据的交换.并且目前的环境中还涉及到通过VPN远程连接进入的行业网络.包括其他分支机构的客户端和其他网络节点以及共享资源.如果不做好整体的安全部署.很难保证在共享的同时杜绝病毒.攻击的产生和蔓延.病毒在公共资源和网络中传播速度是惊人的.也是非常难彻底查杀的.一旦网络中存在威胁.想要在复杂的综合应用中彻底清除所有威胁.将耗费大量的人力物力以及时间.并且会严重影响正常的企业运行和发展.
网络的边界安全致关重要,因为通过外部链路的所有访问和交换都是通过边界出口完成的,在如今这个复杂高速的公共网络环境中,充斥着大量的网络攻击和恶意威胁,包括黑客的扫描,嗅探,病毒和蠕虫的传播,间谍软件,木马的横行等等.如何保护企业内部网络安全的门户.成为了如今网络安全的重要部分.
3. 客户端没有完备的综合安全防御能力和响应与修补方案.内部客户端在日常使用的过程中,有很大可能会在已知和未知的情况下.被动的下载和安装未授权的软件和程序.其中会包括很多病毒,键盘记录木马,间谍软件,甚至沦为黑客的跳板和攻击的掩护肉鸡.在用户根本察觉不到的情况下窃取信息.资料.并且也成为病毒传播的媒介.给网络和其他节点造成安全隐患.
绝大部分致命的网络攻击和蠕虫爆发,都是因为没有及时的修补操作系统漏洞,蠕虫通过自动的扫描网络中大量存在漏洞的客户端,发送大量的攻击数据包和溢出程序,破坏或者感染其他机器,给网络设备造成巨大负担,甚至引发广播风暴,核心交换崩溃,服务器拒绝服务等严重后果.随着操作系统的不断升级.网络中会存在各种各样的操作系统类型,每一种类型都有若干个重要的漏洞补丁需要及时修补与安装.如何在第一时间合理正确的给每个客户端打上漏洞补丁,从根本上解决蠕虫传播的途径和攻击的源头.就显得尤为重要了.
二. 综合安全解决方案
通过分析和列举现有网络存在的种种安全风险,结合我们的安全集成经验,全球各大安全厂商的产品技术,和业内安全标准,给予网络如下的优化和部署建议:
1. 客户端的综合安全与全面防护.增加整体防御混合性威胁的能力.
2. 建立完备可靠的漏洞检查与补丁修补的主动防御能力.
3. 保护整个网络边界与多个链路出口.提高网络整体的可靠性.
4. 合理规划网络资源与设备.保护各个功能子网与关键应用.
