Juniper中国区总经理：把脉企业分支网络安全

随着企业规模不断扩大，分支机构已成为现今企业决胜商场的重要利器。根据专业市场调查公司NemertesResearch研究显示，近年来有将近90%的企业员工在企业的分支机构工作，常需远程访问位于总部的计算机资源。此时，网络安全便成为重中之重。

　　三大指标检测您的分支机构

　　如何安全而有效率地远程访问总部的计算机数据，同时又能将部署成本降至最低?下面将提出三大安全检测指标。

　　分公司网络安全第一个指标是员工出差在外的频率与模式。若是分支机构有很多常需要带着笔记本电脑到处去拜访客户的业务员，由于笔记本电脑会随业务人员进入各式复杂的网络环境，遭到病毒或黑客入侵的机会也大增。分公司的网络系统若没有适当隔离或检测业务人员从外界带回来的资料，遭受威胁的机会便会大增。

　　第二个检验的指标是分公司是否出现互联网没有集中管理的现象。有时为了方便，分支机构会出现私接网络线的情况，如为了向访客提供免费上网，在某些特定区域装设ADSL或是无线局域网。遭受威胁的机会也会大增.

　　第三个检验指标是公司的网络环境开放程度。分公司若是属于类似网吧之类的全开放环境，或是如同保险、证券业需要特别划出特定的开放网络空间来提供客户上网服务，外在威胁程度也会因此而大大增加。

　　有了上述三项基本的检测指标，分支机构是否符合网络安全目标立即就可以获得解答。那么,又该如何消除上述安全隐患呢?

　　应对第一个检验指标所描述的情景，最好将防病毒软件以及个人防火墙安装于需常暴露在复杂网络环境的笔记本电脑上，经常更新病毒码，并使用网关设备来预防病毒发作前空窗期的威胁。企业可以使用身份认证的机制来加强防范员工可能带回的威胁；此外，也可利用UTM装置中防火墙、交换机、路由器等提供的功能来做动态策略检查。

　　面对像制造业这类工厂或分支机构分布在各地的分支机构直接连接到互联网，而无法集中到总部管理的网络安全情况，企业IT需要有基本的安全检测工具与机制。分支机构可使用两条独立的联机机制，分别用于连回总公司内部网络与连出互联网之用，此外还可利用UTM制定弹性的安全机制，适时开启如防病毒、网页过滤、入侵检测等功能。

　　开放式的网络环境往往较难去掌控使用者的计算机与网络使用情况，可利用UTM机制提供的无线网络功能，以SSID(服务组识别元)加上防火墙弹性策略机制的组合，以有效地掌握公共用户的上网行为与带来的安全威胁。将读取数据路径分开也是基本防护之道，加上频宽管理，让开放空间使用的频宽不要过大，并匹配防病毒与网页过滤功能，也可以有效降低此类开放环境的网络安全威胁。

　　UTM协助分支机构检测过关

　　基本上UTM的概念就是将防火墙、防病毒、入侵检测等林林总总的网络防护功能整合在一起，希望能达到减少花费、提高性能、降低部署难度、简便管理以及灵活应用的效益。应用得当的话，将可有效协助分支机构面对与解决上述各项难题。

　　对于分支机构的网络安全而言，UTM解决方案到底是将所有的安全功能有效而实际地整合为一，还是只是多种产品的单独组合，并严重影响到其是否能有效发挥作用还是个未知数。此外，分支机构人员的网络使用习惯与其他安全配套措施，也是UTM能否达到企业预期目标的关键。

　　便宜行事与人为疏忽

　　除了上述三项检测指标外，便宜行事这类的人为疏忽也常常成为分支机构网络安全的漏洞。分支机构缺乏足够的IT人员，企业员工对于网络安全的危机意识不足，往往只求方便而没有考虑到安全因素。

　　此外，分支机构与总部之间往往需要通过专线、MPLSVPN、IPVPN等方式与企业总部的计算机相连接，对于分支机构员工上网权限的规范，将可有效防止令企业相当头痛的恶意程序或钓鱼程序大肆入侵企业网络或恣意破坏企业的网络资源。这些规范可通过UTM解决方案配合UAC(UnifiedAccessControl)的架构来落实，对未经验证的使用者进行使用者验证及端点安全状态查证，通过后才核准使用者接入网络资源。

　　要做好企业网络安全防护的关键在哪？除了倚赖基本防护的软硬件设备外，其实根本的防制之道还是在于要有安全意识。

　　理想的解决方案

　　一个理想而完整的分支机构安全解决方案应该要能够提供快速而安全的站点到站点的VPN连结，提供直接而安全的互联网接入，改善内部网络与系统的安全防护程度，并且尽量能利用单一设备来整合多种防护功能以提升产品的易用性以及经济效益，但又兼顾其安全防护的性能。从产品面来说，支持了虚拟路由器，整合了防火墙、入侵检测、防间谍软件、防垃圾邮件功能，也拥有了网络分段的机制，还要让系统针对分支机构的必要功能将部署环境最佳化。

　　上面的叙述，似乎是要烘托UTM是分支机构网络安全解决之道这个结论。只是，日前IDCAsia也指出，UTM的市场在某些区域已面临瓶颈，原因是某些第一代设备厂商的UTM解决方案常被过度夸大，以至常常无法达到客户的预期效果。可以说,UTM系统的性能取决于使用的切合性,同时“人力资源”也始终是信息安全防护不可或缺的重要因素。除了良好的安全使用习惯外，能否配备足够的IT人员来支持分支机构防护方案的落实，自然影响防护成效，甚至可能是整体解决方案成败的关键。