计算设备和网络跟随员工的行踪把企业网络的边际延伸到每一个可能的角落,使得企业网络客户端的范畴前所未有地扩大了,家用PC正在成为企业网络的重要安全隐患。
提及客户端的安全,人们首先会想到对分支机构的计算设备和移动计算设备采取安全措施,而员工家中的PC往往就被忽略了。其实,一部放在公司总部桌面上的PC与一台员工用来网上购物、玩游戏、偶尔也用于工作的个人PC之间的区别正在缩小,越来越多的企业安全经理认为两者之间没有区别。
权威机构调查发现,员工在家中处理工作的时间正在逐年增加。一些员工会在家中将个人PC、公司配备移动设备连接起来组建一个小型网络,通过ADSL或者拔号方式访问企业网络。可以说,与企业网络相连接的,既有员工个人的PC,也有公司的PC,企业用户需要对所有与企业网络相计算设备采取统一的安全措施,而不要让家用PC成为企业网络的薄弱点。
强制管理家用PC安全
保护客户端的产品通常包括防病毒软件客户端、个人防火墙、个人入侵检测以及用于加密远程通信的VPN客户端。除此之外,一些管理软件还能够锁定桌面应用程序、防止非授权使用,或者具有行为阻止功能。这类管理客户端操作行为的软件正在逐渐多起来。日前,Cisco收购了一家能够防止计算机蠕虫或其他病毒破坏本地注册表的Okena StormWatch公司,用于开发客户端安全管理产品。
全面的安全保护体系要求员工在家用计算机上必须使用由公司付费的个人防火墙和防病毒软件,并且接受防病毒软件的统一升级,并在员工使用最新病毒特征库升级防病毒软件之前阻止该员工访问企业网络。在用户升级网络系统时,远程控制系统会锁定员工的个人PC,使员工不能使用在线游戏等非授权软件,以防止特洛伊木马通过个人PC进入企业网络。目前市场上还有一种软件,能够推送安全模板设置以及强制使用桌面安全软件和进行病毒特征升级,使用这种软件时,员工必须运行安全应用程序后才能接入企业网络。这样,进行远程访问的员工就不能关闭防病毒功能,以加快计算机处理速度和使用企业网络资源。这种软件还可以进行远程审计和生成审计报告。
家用PC安全要与整体框架兼容
针对客户端的安全问题,目前市场上出现了集成了防病毒、防火墙、入侵检测、VPN等多种安全功能的一体化安全解决方案,许多单一安全功能的软件也加强了与其他安全软件的功能互补。例如,NAI公司与Symantec公司分别在各自的防病毒产品McAfee Active Client Security和Client Security产品中捆绑了桌面防火墙和入侵检测功能。而同样是防病毒厂商的Trend Micro公司则通过与其他安全厂商合作来为用户提供更强的安全功能,Trend Micro的桌面防病毒软件可以与Check Point VPN客户端软件配合使用,这样每当用户建立远程连接时,VPN就会强制使用防病毒软件和进行最新的病毒特征升级。
桌面防火墙对于保护客户端的安全具有重要意义。市场上有很多可以推送到家庭并仍能够集成到企业环境中的防火墙,通过锁定操作,这些桌面防火墙客户不能被客户端改动,以保障企业的安全政策的一致性和不允许非法接入企业网络。但是桌面防火墙在集成到企业网络中时,会出现一些问题。在将远程和家庭使用的防火墙置于企业网络管理控制之前,用户需要分析桌面防火墙与其他安全系统的兼容性和集成性问题。一些用户反映,一些小型SOHO防火墙与企业现有的安全架构并不能很好地配合。
多厂商战略
美国国防情报系统局分别与NAI和Symantec签订了为美国陆军提供防病毒软件的协议,后者为美国陆军的家庭提供防病毒保护。鉴于用户的多厂商战略,身为竞争对手关系的NAI和Symantec改造了各自防病毒产品的管理控制台,以使各自的产品可以监测和管理对方的桌面防病毒产品。与此类似,许多大型用户会在采用一个防病毒厂商的产品和服务的同时,也会与其他防病毒厂商保持联系,这样做可以保证用户总能在第一时间确定新病毒和准备病毒特征升级。对于防病毒产品之外的其他安全产品,建议用户也采用这种策略。
