在现实中,企业用户往往会遇到这样的情况,一台设备用于网络防火墙,一台设备用于反间谍软件,另一台设备用于防御恶意软件,再用一台设备进行网络内容过滤。所有这些设备的物理连接、许可证、服务和技术支持等错综复杂的组合在一起,势必会造成混乱。
为了解决这种窘况对于很多企业来说,统一威胁管理(UTM)成为一种必然的趋势。UTM中可以同时运行多种安全服务,如入侵防御、杀毒软件、反垃圾邮件和网络内容过滤等。这种设备对于企业而言,特别是中小企业是非常有意义的,它能提供一个单一的管理界面。采用这种解决方案意味着只有一台设备连接到网络,网络管理员只需要与一家厂商打交道。
虽然设备之间都存在一些差别,但是,专家提出了配制统一威胁管理设备的一些一般性的原则。
1.采取限制措施。系统管理员经常允许所有的通讯进入网络而不愿意花时间找出他们真正需要的协议从而使非常好的防火墙失去了作用。正确的方法是首先禁止一些通讯,然后建立一套规则仅允许你需要的通讯进入网络。
2.准确细分。允许具体类型的通讯仅进入处理那个通讯的设备。例如,如果你有一台网络服务器,那就仅向目的地是那台网络服务器的通讯打开入网的80端口,而不是打开整个网络的端口。
3.保持对网络事件的控制。虽然许多统一威胁管理能够一次性设置系统,但管理员可以深入地进行一次性设置。设置这台统一威胁管理设备每一天或者每周用电子邮件向你发通知,这样你就可以看到哪一种类型的通讯进出你的网络。如果你发现异常的通讯或者异常的使用方式,你就要评估这种状况并且立即采取行动。简单的一次性设置能够让新的安全威胁突破你的防御并且在内部传播。
4.保持警惕。如果你的统一威胁管理设备能够在发生某些错误(如用户使用P2P通讯增加带宽或者访问未经批准的网站)的时候通知你,你要利用这种功能。管理员有必要在用户的错误足以中断网络通讯之前解决这些问题的时候。
5.定期更新。应该设置统一威胁管理设备每天更新病毒特征以便用于入侵防御、杀毒、反间谍软件和反垃圾邮件。如果能够更频繁地更新就更好,实时更新已经成为网络安全技术的一种趋势。
6.维护服务策略。网络中断故障是每个企业网络管理者必须高度警惕的,相应的服务策略的制定必须保证应急事件的响应处理。如果你的企业依靠网络,你需要一个在几小时之内恢复服务的政策,而且不能发生太多的服务中断。
7.监控即时通讯。监控即时通讯通常管理员应该封锁即时消息,但现实中大部分情况是,管理员认为即时消息没有安全风险,或需要即时通讯。公平地说,即时消息可能成为一种安全风险。如果你仅允许即时消息通讯并且不记录这些通讯,你就会遭到攻击。记录能够为你提供一种在不给用户带来不便的情况下掌握网络安全通讯的方法。
8.虚拟专用网(VPN)。远程接入能够提高移动或者远程用户的生产率。但用户不能忽略一点,VPN实际可以理解为在你的防御措施中开辟了一条畅通的捷径。设置不同的VPN连接,限制内部服务通过VPN暴露给远程用户。尽可能严格地设置应用程序,同时让远程工作者能够工作。例如,让这些远程工作者连接到电子邮件或者CRM服务器,不允许他们连接到财务服务器(除非他们是财务人员)。
9.实现成产率和安全保护平衡。安全从本质上说是限制性的。通过向人们提供能够让他们完成工作的自由来实现保护每一个人和每一件东西的平衡。这在网络和信息安全方面实际上是有冲突的。最安全的系统是锁在柜子里的没有任何网络连接的设备。但是,这种设备不会有更多的生产效率。向用户提供足够的权限使他们能够完成任务而又不影响用户和公司的安全是一种艺术。