|
公司員工安裝使用合法但未經(jīng)授權(quán)的應(yīng)用程序(如即時(shí)消息����、VoIP���、游戲����、虛擬化軟件和未經(jīng)允許的瀏覽器等)����,將會對企業(yè)安全和生產(chǎn)力造成了極大的影響��。另外����,可移動存儲截至和無線協(xié)議也讓企業(yè)的數(shù)據(jù)保護(hù)工作變得更加復(fù)雜���。本文將討論企業(yè)控制未經(jīng)授權(quán)應(yīng)用程序和設(shè)備的使用的重要性����,以及不同的方法�����,并將重點(diǎn)探討如何將這些功能整合到惡意軟件保護(hù)程序中以實(shí)現(xiàn)最簡單和最具成本效益的解決方案���。
不斷改變的觀點(diǎn)
在Web 2.0技術(shù)的熏陶下,大家對企業(yè)內(nèi)計(jì)算機(jī)的使用方式持有不同的觀點(diǎn)��。大家對于共享信息和應(yīng)用程序���、發(fā)送電子郵件和即時(shí)消息的態(tài)度都發(fā)生了巨大的變化�����,新的 “員工2.0”時(shí)代重新定義了個(gè)人與互聯(lián)網(wǎng)以及與IT環(huán)境作為整體的關(guān)系����。雖然這些新型網(wǎng)絡(luò)技術(shù)能夠幫助企業(yè)員工增進(jìn)溝通、共享文件和網(wǎng)上協(xié)同工作����,但同時(shí)對企業(yè)造成新威脅。
互聯(lián)網(wǎng)應(yīng)用程序(如即時(shí)消息(IM)�����、P2P文件共享應(yīng)用軟件以及VoIP服務(wù)等)已經(jīng)引起人們的關(guān)注�。一項(xiàng)Sophos網(wǎng)上民意調(diào)查,調(diào)查IT管理員希望阻止用戶使用哪些軟件程序���,結(jié)果顯示早在2006年大家就意識到有必要對安裝和使用不必要應(yīng)用程序進(jìn)行控制��。
如今����,問題更加嚴(yán)重了���。雖然企業(yè)們都部署了抵御惡意軟件的系統(tǒng)和程序����,但是這些抵御措施通常不能對用戶行為造成的威脅進(jìn)行控制。員工們(大部分員工有相當(dāng)多的IT知識和技術(shù))繼續(xù)向其計(jì)算機(jī)安裝各種程序�,以使電腦更加符合自己的工作方式,而他們卻很少考慮相關(guān)的潛在風(fēng)險(xiǎn)�。
互聯(lián)網(wǎng)瀏覽器
很多員工都拒絕使用公司推薦的Web瀏覽器,而支持其他瀏覽器�。這將給企業(yè)帶來很大威脅,因?yàn)楹诳蛡兘?jīng)常利用瀏覽器的漏洞來感染用戶計(jì)算機(jī)�����,Sohpos調(diào)查中有三分之一的受訪者表示�����,他們不認(rèn)為控制瀏覽器使用是重要的事情�。
虛擬化
目前最令人關(guān)注的安全問題就是企業(yè)內(nèi)臺式機(jī)和筆記本電腦上的未經(jīng)授權(quán)的虛擬化軟件安裝����。
虛擬化技術(shù)實(shí)現(xiàn)了邏輯(軟件)從物理(硬件)分離,允許同一硬件上運(yùn)行多個(gè)系統(tǒng)�,這在如今IT預(yù)算緊缺的時(shí)候確實(shí)很有意義����,但是部署虛擬桌面的企業(yè)也面臨著很大的風(fēng)險(xiǎn)��。從另一方面看���,不受管制的虛擬電腦其實(shí)已經(jīng)成為企業(yè)的安全系統(tǒng)上的“黑洞”�,因?yàn)樘摂M電腦運(yùn)行的應(yīng)用程序完全不受IT管理員的控制�。
虛擬電腦可以方便地下載圖像文件,這意味著那些運(yùn)行未經(jīng)授權(quán)應(yīng)用程序的最終用戶為企業(yè)系統(tǒng)帶來巨大風(fēng)險(xiǎn)�。并且,在虛擬環(huán)境運(yùn)行未經(jīng)授權(quán)軟件(游戲��、瀏覽器和測試版軟件等)讓企業(yè)系統(tǒng)信息和數(shù)據(jù)處于危險(xiǎn)的境地�����。
可移動存儲設(shè)備
另外���,運(yùn)行可移動存儲設(shè)備(如USB密鑰�、CD和DVD)和無線網(wǎng)絡(luò)協(xié)議(如wifi�����、藍(lán)牙和紅外)上的未經(jīng)授權(quán)軟件會擴(kuò)大企業(yè)安全漏洞,特別是當(dāng)在虛擬環(huán)境運(yùn)行這些應(yīng)用程序時(shí)�。
使問題更加嚴(yán)重的就是,使用這些設(shè)備和協(xié)議傳輸企業(yè)內(nèi)外的商業(yè)數(shù)據(jù)��,最近的調(diào)查顯示��,無意泄漏公司機(jī)密信息成為企業(yè)安全的頭號威脅�,略高于病毒、木馬和蠕蟲��。
企業(yè)風(fēng)險(xiǎn)
未經(jīng)授權(quán)使用和安裝應(yīng)用程序����、設(shè)備和網(wǎng)絡(luò)協(xié)議可以在以下幾個(gè)方面對企業(yè)產(chǎn)生負(fù)面影響。
安全風(fēng)險(xiǎn)
未經(jīng)授權(quán)應(yīng)用軟件帶來的感染風(fēng)險(xiǎn)是顯而易見的�������;贗M(即時(shí)通訊)的惡意軟件攻擊正在顯著增長���,P2P應(yīng)用程序的使用也正以同樣的速度增加,P2P應(yīng)用程序成為執(zhí)行惡意代碼(如遠(yuǎn)程命令執(zhí)行���、遠(yuǎn)程文件系統(tǒng)搜查或者文件傳播病毒等)的最常用途徑����。感染文件也可以通過無線連接感染電腦。
一旦被感染�,計(jì)算機(jī)就可以被黑客用來發(fā)送垃圾郵件或者發(fā)動拒絕服務(wù)攻擊,或者監(jiān)控和獲取機(jī)密商業(yè)數(shù)據(jù)�����。如上文所述��,數(shù)據(jù)也可以通過CD和USB密鑰等設(shè)備被帶出企業(yè)��,最近報(bào)道的很多事件表明�,這些設(shè)備能夠很輕易地帶出公司,然后意外丟失���。
法律和合規(guī)問題
安裝未經(jīng)授權(quán)的應(yīng)用程序和設(shè)備不僅給企業(yè)帶來安全風(fēng)險(xiǎn)����,同時(shí)也可能構(gòu)成違法風(fēng)險(xiǎn)���。保護(hù)數(shù)據(jù)是很重要的����。
我們知道目前有很多政府制定的數(shù)據(jù)保護(hù)相關(guān)法案,如美國的SOA法案和HIPAA法案�,加拿大的PIPEDA(個(gè)人信息保護(hù)和電子文檔法案),英國的數(shù)據(jù)保護(hù)法案(DPA)等����,這些法案明確指出IT管理員必須維持和保護(hù)網(wǎng)絡(luò)內(nèi)數(shù)據(jù)的完整性。
額外的IT支持負(fù)擔(dān)
正如上文所討論的���,未經(jīng)授權(quán)的應(yīng)用程序和設(shè)備可能感染網(wǎng)絡(luò)��,但是即使不會發(fā)生感染事件���,也會對IT支持造成負(fù)擔(dān)。那些沒有經(jīng)過正確測試或者部署的應(yīng)用軟件也可能會影響整個(gè)網(wǎng)絡(luò)的穩(wěn)定性能����。
網(wǎng)絡(luò)和系統(tǒng)開銷
未經(jīng)授權(quán)的應(yīng)用程序消耗的企業(yè)網(wǎng)絡(luò)帶寬和計(jì)算機(jī)處理器能耗也對網(wǎng)絡(luò)資源有著直接影響。
例如�,分布式計(jì)算項(xiàng)目需要利用百萬臺計(jì)算機(jī)的“備用”處理能力來幫助建立模型或者模擬氣候變化情景,而網(wǎng)絡(luò)電話也能夠使用這種備用能力��。
員工的工作效率問題
雖然VoIP和即時(shí)通訊有一定的商業(yè)價(jià)值,但是大多數(shù)情況下����,并沒有用于商業(yè)用途��,從而嚴(yán)重影響員工工作效率��。在虛擬環(huán)境中���,企業(yè)禁止使用的應(yīng)用程序能夠自由使用���,或者用戶可以簡單利用虛擬環(huán)境來處理自己個(gè)人事務(wù),這些都會嚴(yán)重影響員工工作效率����。
解決方案
企業(yè)提高安全性和生產(chǎn)效率的基本方法就是創(chuàng)建和執(zhí)行可接受使用政策,明確規(guī)定那些應(yīng)用軟件和設(shè)備不能使用��,并界定必須禁止的行為�,同時(shí)提出解決方法。除此之外�,從IT管理員的角度來看,還存在兩個(gè)直接挑戰(zhàn):
·允許對授權(quán)應(yīng)用軟件��、設(shè)備和網(wǎng)絡(luò)協(xié)議的控制性使用
·禁止使用未經(jīng)授權(quán)的應(yīng)用軟件、設(shè)備和網(wǎng)絡(luò)協(xié)議
在實(shí)際操作中�����,以上兩個(gè)都是很大的挑戰(zhàn)����,首先因?yàn)楹芏嘤脩羰潜镜毓芾韱T,可以執(zhí)行某些特權(quán)��,例如下載輔助工作的應(yīng)用軟件(下載最新Adobe Acrobat軟件等)���。然而��,這意味著他們也可以下載其他想要安裝和使用的軟件��,這使IT管理員的工作很難進(jìn)行:惡意軟件可以使用反病毒軟件來阻止�,但是像即時(shí)通訊軟件卻很難杜絕���。
控制策略
為了應(yīng)對未經(jīng)授權(quán)應(yīng)用軟件和設(shè)備的使用所造成的廣泛威脅�����,IT管理員嘗試了很多不同的策略�����,不過每個(gè)策略都是有利有弊���。
鎖定計(jì)算機(jī)
阻止未經(jīng)授權(quán)軟件安裝的最直截了當(dāng)?shù)姆椒ㄖ痪褪菍λ须娔X實(shí)行全面鎖定��,或者禁止他人擅自使用可移動存儲介質(zhì),并只限定管理員權(quán)限��。但是���,這條策略并不好使���。
有些部門(特別是IT和技術(shù)支持部門)對管理員權(quán)限有明顯的需求,答案似乎很簡單:只允許技術(shù)部門安裝軟件而阻止其他人使用軟件���,但是實(shí)際操作中卻不那么簡單����。
很多企業(yè)發(fā)現(xiàn)鎖定所有非技術(shù)最終用戶的計(jì)算機(jī)將為公司帶來很大開銷����,并且必須建立無數(shù)條相應(yīng)的策略來執(zhí)行該策略�����。例如�,很多簡單的windows功能 (如添加打印機(jī)驅(qū)動器��、改變時(shí)區(qū)和調(diào)整電影管理設(shè)置)都不能通過標(biāo)準(zhǔn)用戶帳號來執(zhí)行����,要求管理員分配權(quán)利才能執(zhí)行。這樣的話�,簡單的功能更改都會為公司增加成本。
安裝專家控制產(chǎn)品
市面上有很多相關(guān)產(chǎn)品可以控制哪些程序可以或者不可以在計(jì)算機(jī)上運(yùn)行���,這些產(chǎn)品一般都涉及驗(yàn)證過程以及允許和阻止應(yīng)用軟件的大型數(shù)據(jù)庫要求��。
而對于IT管理員而言��,他們又多了一個(gè)需要加以評估�、購置����、安裝和管理的產(chǎn)品。雖然對這些解決方案的管理并不是重要任務(wù)����,但是由于任務(wù)繁重和允許阻止列表的復(fù)雜性�,使管理員無從下手�。此外,應(yīng)用軟件控制產(chǎn)品能夠有效阻止應(yīng)用程序的執(zhí)行����,但卻很難阻止初始安裝、
最后����,專家應(yīng)用軟件控制產(chǎn)品并不能提供全面保護(hù)���,企業(yè)仍然需要購置其他安全產(chǎn)品以抵御病毒�����、間諜軟件和其他威脅����。
部署企業(yè)防火墻規(guī)則和HIPS
防火墻和HIPS(主機(jī)入侵防御系統(tǒng))主要側(cè)重于阻止?jié)撛趷阂饩W(wǎng)絡(luò)流量并試圖執(zhí)行代碼��,而不是控制用戶可以或者不可以安裝或運(yùn)行某些應(yīng)用程序�����。它們可以用于限制未經(jīng)授權(quán)應(yīng)用程序的使用,通過控制對網(wǎng)絡(luò)或者互聯(lián)網(wǎng)資源的訪問(如通過找尋并阻止VoIP流量)�����,但是不能解決這里的根本問題����。
反病毒解決方案
大多數(shù)防病毒和反間諜解決方案不提供應(yīng)用軟件或者設(shè)備控制功能,但是���,如果反病毒解決方案能夠使用相同的掃描和管理基礎(chǔ)設(shè)施來攔截和管理合法應(yīng)用軟件和設(shè)備的使用����,那么企業(yè)能夠更加省事��,既抵御惡意軟件又保護(hù)系統(tǒng)和管理資源��。
僅部署一個(gè)客戶端
防惡意軟件是IT管理員必須購買�、安全和管理的必要投資項(xiàng),部署集成防病毒����、防間諜軟件���、反廣告插件以及控制未經(jīng)授權(quán)的應(yīng)用軟件和設(shè)備的單一客戶端不僅可以節(jié)省時(shí)間,還能夠節(jié)省資金����、系統(tǒng)資源,并且提高安全性�。
簡化控制和策略設(shè)置
防惡意軟件解決方案允許為不同用戶組設(shè)置不同策略,能夠同時(shí)設(shè)置移除未經(jīng)授權(quán)的應(yīng)用軟件和設(shè)備的策略以及防惡意軟件策略����,可以提高效率,并能夠滿足特定用戶的特殊要求�,例如,可以阻止辦公室電腦使用VoIP和USB密鑰����,但是授權(quán)遠(yuǎn)程計(jì)算機(jī)使用�。
減少管理開銷
使用與防惡意軟件相同的管理和更新機(jī)制來控制應(yīng)用軟件和設(shè)備,具有明顯的基礎(chǔ)設(shè)施和成本優(yōu)勢�,但是,從效率角度來看����。這種整合式功能能否成功取決于實(shí)際監(jiān)測應(yīng)用程序的方式���。
有些解決方案需要管理員創(chuàng)建自己的應(yīng)用軟件簽名(使用應(yīng)用軟件中出現(xiàn)的文件名)來維護(hù)允許或阻止列表,這種方法很費(fèi)時(shí)并且浪費(fèi)IT資源���。它將更新的負(fù)擔(dān)施予在管理員身上��,并且用戶可以改變文件名以避免應(yīng)用軟件被檢測出�。
一個(gè)更好的做法就是��,讓供應(yīng)商采用與惡意軟件檢測自動更新相同的方式來創(chuàng)建和更新應(yīng)用軟件檢測簽名�����,從而簡化管理�����、更新和檢測過程����。
減輕支持負(fù)擔(dān)
通過使用簽名檢測不僅能夠阻止應(yīng)用軟件的運(yùn)行,同時(shí)也能阻止它們的下載和安裝�,這樣就為企業(yè)的IT部門減輕了支持負(fù)擔(dān),不再需要花費(fèi)大量勞動力篩選出安裝了未經(jīng)授權(quán)的應(yīng)用軟件計(jì)算機(jī)。
結(jié)語
對未經(jīng)授權(quán)應(yīng)用軟件和設(shè)備的安裝和使用所帶來的風(fēng)險(xiǎn)是巨大的���,不過也存在很多有效的解決方案能夠幫助IT管理員管理這些問題�,有些解決方案需要額外的投資�,并且價(jià)格昂貴,難以維護(hù)����。最好的解決方案就是將對對未經(jīng)授權(quán)應(yīng)用軟件和設(shè)備的阻止整合到現(xiàn)有的惡意軟件檢測和管理基礎(chǔ)設(shè)施中,而惡意軟件檢測和管理設(shè)施通常是企業(yè)必備解決方案���,這就為IT管理員提供了最簡單的解決方案��,并節(jié)省了很多資金�����。
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊頂級提供商����!15年品質(zhì)保障�!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
