用户简介
该用户是中外合资的大型轿车生产和经营企业,国家“八五”计划的重点建设项目之一。建设规模为年产30万辆轿车和40万台发动机。目前已形成年产15万辆整车和20万台发动机的生产能力。作为一家大型的轿车生产销售企业,该公司拥有众多的下属企业,分别负责不同零配件的生产;公司在全国各地都设立了办事处、分公司以及代理商负责产品的市场销售以及推广工作。这些下属企业和分支机构都需要访问公司总部的网络,获取经营活动所必须的数据。公司员工也需要经常出差,在差旅途中访问公司内部的数据。
如何保护这些远程用户和移动用户的安全已经成为公司整个网络安全体系的重要环节。
远程、移动办公带来的网络安全和管理挑战
远程用户和移动用户的计算机游离于企业核心网络安全边界之外,企业现有的关守型防火墙不能保护这些用户的安全。对于移动用户而言,通常是直接连接到Internet,问题更加严重,极易受到黑客的攻击,使数据遭到窃取或破坏。
确保远程用户的主机安全。现有远程主机的网络安全防护措施薄弱,当这些主机连接到Internet时,极易遭到黑客的攻击,从而导致数据被窃取、破坏或直接删除,致使远程用户无法正常工作;
保障远程用户通过VPN连接到企业内部网络时的安全。VPN能提供传输信道的安全性,但无法保证远程端点未被黑客植入木马程序,VPN反而成为黑客入侵的最佳途径。如果远程用户感染木马,蠕虫等网络病毒,当他们通过VPN连接到企业的内部网络时,极易将这些恶意程序带入内部网络,给企业整个网络的安全造成破坏。同时黑客也能够使用这些恶意程序,并直接连接到公司内部网络进行进一步的数据窃取和破坏活动;
无法控制远程用户使用的网络应用程序。远程用户很可能有意或无意的使用了一些带有严重安全漏洞的网络应用程序,从而给黑客以可乘之机;
其它安全投资的功效无法保证,价值无法体现。企业无法保证在其它网络安全措施上的投资(如防病毒软件、各种补丁程序及系统管理软件的客户端等)是否处于正常运行状态,病毒特征库有没有及时更新,终端员工是否私自卸载这些公司要求必须使用的安全软件;
无法控制远程用户对内部网络访问的行为。远程用户在访问企业内网资源时只能使用企业所允许的网络应用程序连接指定的内部服务器。其他任何应用程序和对其他任何内网主机的访问都必须被禁止,这样才能保证内部服务器的稳定运行并将敏感数据泄密的可能性减到最小;
缺乏有效的手段来追踪和审计发生在远程/移动用户机器上的安全事件,管理员无法知道远程客户机器的安全状况,也就不能采取有针对性的防护措施;
企业的网络管理员无法控制远程用户对带宽的使用。有限的网络带宽经常被一些和工作无关的网络应用(如FTP下载,流媒体播放等)占用,从而无法保证员工的工作效率。
用户要实现的目标
该用户最终要实现的是对远程/移动用户计算机的网络安全防护,同时保证远程用户的网络安全处于企业的统一监管之下。这包括以下目标:
提高远程主机的网络安全防护能力,包括:主机型防火墙、入侵检测与预防、阻止端口扫描、发现并阻止木马程序的运行、自动中断未授权及非法程序对网络的访问、在访问Internet时隐藏自身的操作系统及浏览器信息。同时在网络安全事件发生时,能够记录日志并发送到中央服务器以便管理员审核,采取相应对策;
保证只有合法的远程用户(如移动用户、分支机构及代理商)才能访问企业的内部网络,同时也要保证这些远程用户在进入企业内部网络之前自身的安全性得到了保障,防止其成为黑客攻击企业内部网络的跳板;
在所有的远程用户的计算机上落实并强制实施企业的网络安全策略,将企业网络的安全防护体系扩展到每一个远程主机之上:要求远程用户使用并及时地更新策略如主机型防火墙,防病毒、入侵检测工具以及其特征库,加装操作系统补丁等等;
当远程用户通过VPN连接到企业内部网络时,控制其使用的网络应用程序,只有企业安全策略所允许的程序才能在内部网络中使用;从而有效保证企业内部网络资源的安全和高可用性(HA)。
在解决问题中遇到的挑战
SYGATE要尽可能小地,最好是不改变该用户现有的网络拓朴结构;
SYGATE在实现以上目标的同时,必须保证不影响员工的正常工作,并尽可能做到对终端用户透明和友好;
SYGATE不能对企业网络造成可察觉的负担,不能影响网络的稳定性;
SYGATE必须保证系统实施和维护的简易性;
SYGATE必须保证系统具有高度的可扩充性,为将来把整个企业网络中所有端点(远程/移动用户、企业内部网络主机)都纳入统一的安全管理体系做好准备。
