内网安全乱世安邦之体验篇

　　(联合电讯/北京)--内网安全大有乾坤，乱世中危机四伏，安邦定势免不得与黑客斗、与威胁斗、与市场斗、与困难斗，无不图尽其谋，奇招百出。作为用户信息中心的技术主管，在种种考验面前经历了怎样的凶险、困扰，又如何走出思维陷阱，成功解决形形色色的难题呢?在此若干企业的CIO与您分享五个用户应用天珣内网安全风险管理与审计系统的故事，一同领略其中“斗智斗勇”的精彩片段。

　　体验：暗度陈仓 万人“守法”

　　受访者：Z航空公司信息中心技术主管

　　作为国内最大的航空公司之一，在2001年，正值全球病毒肆虐的高峰，虽然我们很早就购买和部署了防病毒软件，但在“红色代码”爆发的时候，也未能在冲击中幸免。作为信息中心的技术主管，我心中一直有个巨大的困惑，就是安全制度的落实问题：IT部门一直以来权限有限，没有行政手段，又缺乏技术手段，在组织中推进终端管理真是难上加难，为此，IT部门的领导不知道用了多少办法，都无济于事。而且我们Z航有过万的计算机终端，而且这些终端分布在全国各地多个省市，不仅数量众多而分散，并且终端用户的计算机应用水平和安全意识更是千差万别，从哪里入手管理才好呢?

　　我们迫切需要通过技术手段，能够自动对终端进行管理，而不是依靠行政命令去强制终端用户执行企业安全管理策略。一个偶然的机会，我们接触到了天珣产品……

　　天珣的安全厂商对计算机终端的用户行为做了仔细的研究，发现，虽然终端无法直接管理，但是我司内部的终端因为业务的需要，都必须连入企业内网，每天都必须使用Exchange收发邮件，如果上Internet，都需要通过ISA代理服务器才能访问。对这些终端用户来说，如果要求他们安装防病毒软件，他们找各种理由逃避，但是如果出现系统故障不能使用Exchange邮件系统，或者出现网络故障，令他们无法上Internet，他们就会立即跳起来投诉、抱怨，强烈要求计算机中心尽快恢复。

　　发现了这个“秘密”之后，天珣厂商为我们设计了一套非常巧妙的终端访问认证协议，分别在Exchange邮件服务器和ISA服务器安装了一个专用插件软件——即天珣策略网关，然后通过管理服务器组件给这个插件软件下发策略，由插件代替人对来访终端执行身份认证和安全检查，如果终端不能满足相应的安全条件，该插件将禁止终端收发邮件和连接Internet，同时充分考虑到系统的人机交互的友好性，还通过邮件系统和浏览器页面，推送提示页面给终端用户，让其在被禁止访问相关资源同时，清楚了解自己的违规行为和需要做的修复工作。

　　系统一经上线，效果立显，短短1年半时间，天珣就完成了我们Z航内部近2万台终端的部署，意味着这万台终端都已经完全按照我们的要求接受管理，并确保终端满足安全基线，终端威胁抵御能力和管理水平一下子提高了几个数量级。厂商给我们打比方：准入控制就像“机场安检系统”一样，“机场安检系统”是对机场安全和飞机飞行安全的关键作用，而准入控制则是对内网的终端和业务系统安全运行发挥着关键作用，准入控制对企业的价值，就如“安检系统”对航空安全一样，非常形象、准确。

　　没有想到，我们单位是第一个吃螃蟹的，竟然创下了全球首个最早大规模实际应用准入控制产品的典范：在我们航进行大规模应用准入控制的时候，远在地球另一边的Cisco，在2002年才提出了NAC概念(Network Access Control)，也就是后来大家熟知的网络准入，直到2004年才推出NAC解决方案，而Microsoft 2006年底才推出自己的NAP(Network Access Protection，在域管理基础上，实现部分准入控制功能)。我们选择了国内厂商，有幸成为了创新应用的先驱。

　　点评： 对于网络终端安全而言，“个体行为”乱象丛生，向来是管理的难点，靠“人治”往往难以实施。而以技术手段制“乱“与“暴”，虽躲在后台却能强制管理并规范终端操作行为，过万名用户在不知不觉中乖乖缴械受控“守法”。