文章內(nèi)容

企業(yè)虛擬化設(shè)備以及安全問題

發(fā)布時間: 2012/5/25 19:39:22

公司員工安裝使用合法但未經(jīng)授權(quán)的應(yīng)用程序（如即時消息、VoIP、游戲、虛擬化軟件和未經(jīng)允許的瀏覽器等），將會對企業(yè)安全和生產(chǎn)力造成了極大的影響。另外，可移動存儲截至和無線協(xié)議也讓企業(yè)的數(shù)據(jù)保護工作變得更加復(fù)雜。本文將討論企業(yè)控制未經(jīng)授權(quán)應(yīng)用程序和設(shè)備的使用的重要性，以及不同的方法，并將重點探討如何將這些功能整合到惡意軟件保護程序中以實現(xiàn)最簡單和最具成本效益的解決方案。
　　不斷改變的觀點
　　在Web 2.0技術(shù)的熏陶下，大家對企業(yè)內(nèi)計算機的使用方式持有不同的觀點。大家對于共享信息和應(yīng)用程序、發(fā)送電子郵件和即時消息的態(tài)度都發(fā)生了巨大的變化，新的 “員工2.0”時代重新定義了個人與互聯(lián)網(wǎng)以及與IT環(huán)境作為整體的關(guān)系。雖然這些新型網(wǎng)絡(luò)技術(shù)能夠幫助企業(yè)員工增進溝通、共享文件和網(wǎng)上協(xié)同工作，但同時對企業(yè)造成新威脅。
　　互聯(lián)網(wǎng)應(yīng)用程序（如即時消息（IM）、P2P文件共享應(yīng)用軟件以及VoIP服務(wù)等）已經(jīng)引起人們的關(guān)注。一項Sophos網(wǎng)上民意調(diào)查，調(diào)查IT管理員希望阻止用戶使用哪些軟件程序，結(jié)果顯示早在2006年大家就意識到有必要對安裝和使用不必要應(yīng)用程序進行控制。
　　如今，問題更加嚴重了。雖然企業(yè)們都部署了抵御惡意軟件的系統(tǒng)和程序，但是這些抵御措施通常不能對用戶行為造成的威脅進行控制。員工們（大部分員工有相當多的IT知識和技術(shù)）繼續(xù)向其計算機安裝各種程序，以使電腦更加符合自己的工作方式，而他們卻很少考慮相關(guān)的潛在風(fēng)險。
　　互聯(lián)網(wǎng)瀏覽器
　　很多員工都拒絕使用公司推薦的Web瀏覽器，而支持其他瀏覽器。這將給企業(yè)帶來很大威脅，因為黑客們經(jīng)常利用瀏覽器的漏洞來感染用戶計算機，Sohpos調(diào)查中有三分之一的受訪者表示，他們不認為控制瀏覽器使用是重要的事情。
　　虛擬化
　　目前最令人關(guān)注的安全問題就是企業(yè)內(nèi)臺式機和筆記本電腦上的未經(jīng)授權(quán)的虛擬化軟件安裝。
　　虛擬化技術(shù)實現(xiàn)了邏輯（軟件）從物理（硬件）分離，允許同一硬件上運行多個系統(tǒng)，這在如今IT預(yù)算緊缺的時候確實很有意義，但是部署虛擬桌面的企業(yè)也面臨著很大的風(fēng)險。從另一方面看，不受管制的虛擬電腦其實已經(jīng)成為企業(yè)的安全系統(tǒng)上的“黑洞”，因為虛擬電腦運行的應(yīng)用程序完全不受IT管理員的控制。
　　虛擬電腦可以方便地下載圖像文件，這意味著那些運行未經(jīng)授權(quán)應(yīng)用程序的最終用戶為企業(yè)系統(tǒng)帶來巨大風(fēng)險。并且，在虛擬環(huán)境運行未經(jīng)授權(quán)軟件（游戲、瀏覽器和測試版軟件等）讓企業(yè)系統(tǒng)信息和數(shù)據(jù)處于危險的境地。
　　可移動存儲設(shè)備
　　另外，運行可移動存儲設(shè)備（如USB密鑰、CD和DVD）和無線網(wǎng)絡(luò)協(xié)議（如wifi、藍牙和紅外）上的未經(jīng)授權(quán)軟件會擴大企業(yè)安全漏洞，特別是當在虛擬環(huán)境運行這些應(yīng)用程序時。
　　使問題更加嚴重的就是，使用這些設(shè)備和協(xié)議傳輸企業(yè)內(nèi)外的商業(yè)數(shù)據(jù)，最近的調(diào)查顯示，無意泄漏公司機密信息成為企業(yè)安全的頭號威脅，略高于病毒、木馬和蠕蟲。
　　企業(yè)風(fēng)險
　　未經(jīng)授權(quán)使用和安裝應(yīng)用程序、設(shè)備和網(wǎng)絡(luò)協(xié)議可以在以下幾個方面對企業(yè)產(chǎn)生負面影響。
　　安全風(fēng)險
　　未經(jīng)授權(quán)應(yīng)用軟件帶來的感染風(fēng)險是顯而易見的�；贗M（即時通訊）的惡意軟件攻擊正在顯著增長，P2P應(yīng)用程序的使用也正以同樣的速度增加，P2P應(yīng)用程序成為執(zhí)行惡意代碼（如遠程命令執(zhí)行、遠程文件系統(tǒng)搜查或者文件傳播病毒等）的最常用途徑。感染文件也可以通過無線連接感染電腦。
　　一旦被感染，計算機就可以被黑客用來發(fā)送垃圾郵件或者發(fā)動拒絕服務(wù)攻擊，或者監(jiān)控和獲取機密商業(yè)數(shù)據(jù)。如上文所述，數(shù)據(jù)也可以通過CD和USB密鑰等設(shè)備被帶出企業(yè)，最近報道的很多事件表明，這些設(shè)備能夠很輕易地帶出公司，然后意外丟失。
　　法律和合規(guī)問題
　　安裝未經(jīng)授權(quán)的應(yīng)用程序和設(shè)備不僅給企業(yè)帶來安全風(fēng)險，同時也可能構(gòu)成違法風(fēng)險。保護數(shù)據(jù)是很重要的。
　　我們知道目前有很多政府制定的數(shù)據(jù)保護相關(guān)法案，如美國的SOA法案和HIPAA法案，加拿大的PIPEDA（個人信息保護和電子文檔法案），英國的數(shù)據(jù)保護法案（DPA）等，這些法案明確指出IT管理員必須維持和保護網(wǎng)絡(luò)內(nèi)數(shù)據(jù)的完整性。
　　額外的IT支持負擔
　　正如上文所討論的，未經(jīng)授權(quán)的應(yīng)用程序和設(shè)備可能感染網(wǎng)絡(luò)，但是即使不會發(fā)生感染事件，也會對IT支持造成負擔。那些沒有經(jīng)過正確測試或者部署的應(yīng)用軟件也可能會影響整個網(wǎng)絡(luò)的穩(wěn)定性能。
　　網(wǎng)絡(luò)和系統(tǒng)開銷
　　未經(jīng)授權(quán)的應(yīng)用程序消耗的企業(yè)網(wǎng)絡(luò)帶寬和計算機處理器能耗也對網(wǎng)絡(luò)資源有著直接影響。
　　例如，分布式計算項目需要利用百萬臺計算機的“備用”處理能力來幫助建立模型或者模擬氣候變化情景，而網(wǎng)絡(luò)電話也能夠使用這種備用能力。
　　員工的工作效率問題
　　雖然VoIP和即時通訊有一定的商業(yè)價值，但是大多數(shù)情況下，并沒有用于商業(yè)用途，從而嚴重影響員工工作效率。在虛擬環(huán)境中，企業(yè)禁止使用的應(yīng)用程序能夠自由使用，或者用戶可以簡單利用虛擬環(huán)境來處理自己個人事務(wù)，這些都會嚴重影響員工工作效率。
　　解決方案
　　企業(yè)提高安全性和生產(chǎn)效率的基本方法就是創(chuàng)建和執(zhí)行可接受使用政策，明確規(guī)定那些應(yīng)用軟件和設(shè)備不能使用，并界定必須禁止的行為，同時提出解決方法。除此之外，從IT管理員的角度來看，還存在兩個直接挑戰(zhàn)：
　　·允許對授權(quán)應(yīng)用軟件、設(shè)備和網(wǎng)絡(luò)協(xié)議的控制性使用
　　·禁止使用未經(jīng)授權(quán)的應(yīng)用軟件、設(shè)備和網(wǎng)絡(luò)協(xié)議
　　在實際操作中，以上兩個都是很大的挑戰(zhàn)，首先因為很多用戶是本地管理員，可以執(zhí)行某些特權(quán)，例如下載輔助工作的應(yīng)用軟件（下載最新Adobe Acrobat軟件等）。然而，這意味著他們也可以下載其他想要安裝和使用的軟件，這使IT管理員的工作很難進行：惡意軟件可以使用反病毒軟件來阻止，但是像即時通訊軟件卻很難杜絕。
　　控制策略
　　為了應(yīng)對未經(jīng)授權(quán)應(yīng)用軟件和設(shè)備的使用所造成的廣泛威脅，IT管理員嘗試了很多不同的策略，不過每個策略都是有利有弊。
　　鎖定計算機
　　阻止未經(jīng)授權(quán)軟件安裝的最直截了當?shù)姆椒ㄖ痪褪菍λ须娔X實行全面鎖定，或者禁止他人擅自使用可移動存儲介質(zhì)，并只限定管理員權(quán)限。但是，這條策略并不好使。
　　有些部門（特別是IT和技術(shù)支持部門）對管理員權(quán)限有明顯的需求，答案似乎很簡單：只允許技術(shù)部門安裝軟件而阻止其他人使用軟件，但是實際操作中卻不那么簡單。
　　很多企業(yè)發(fā)現(xiàn)鎖定所有非技術(shù)最終用戶的計算機將為公司帶來很大開銷，并且必須建立無數(shù)條相應(yīng)的策略來執(zhí)行該策略。例如，很多簡單的windows功能（如添加打印機驅(qū)動器、改變時區(qū)和調(diào)整電影管理設(shè)置）都不能通過標準用戶帳號來執(zhí)行，要求管理員分配權(quán)利才能執(zhí)行。這樣的話，簡單的功能更改都會為公司增加成本。
　　安裝專家控制產(chǎn)品
　　市面上有很多相關(guān)產(chǎn)品可以控制哪些程序可以或者不可以在計算機上運行，這些產(chǎn)品一般都涉及驗證過程以及允許和阻止應(yīng)用軟件的大型數(shù)據(jù)庫要求。
　　而對于IT管理員而言，他們又多了一個需要加以評估、購置、安裝和管理的產(chǎn)品。雖然對這些解決方案的管理并不是重要任務(wù)，但是由于任務(wù)繁重和允許阻止列表的復(fù)雜性，使管理員無從下手。此外，應(yīng)用軟件控制產(chǎn)品能夠有效阻止應(yīng)用程序的執(zhí)行，但卻很難阻止初始安裝、
　　最后，專家應(yīng)用軟件控制產(chǎn)品并不能提供全面保護，企業(yè)仍然需要購置其他安全產(chǎn)品以抵御病毒、間諜軟件和其他威脅。
　　部署企業(yè)防火墻規(guī)則和HIPS
　　防火墻和HIPS（主機入侵防御系統(tǒng)）主要側(cè)重于阻止?jié)撛趷阂饩W(wǎng)絡(luò)流量并試圖執(zhí)行代碼，而不是控制用戶可以或者不可以安裝或運行某些應(yīng)用程序。它們可以用于限制未經(jīng)授權(quán)應(yīng)用程序的使用，通過控制對網(wǎng)絡(luò)或者互聯(lián)網(wǎng)資源的訪問（如通過找尋并阻止VoIP流量），但是不能解決這里的根本問題。
　　反病毒解決方案
　　大多數(shù)防病毒和反間諜解決方案不提供應(yīng)用軟件或者設(shè)備控制功能，但是，如果反病毒解決方案能夠使用相同的掃描和管理基礎(chǔ)設(shè)施來攔截和管理合法應(yīng)用軟件和設(shè)備的使用，那么企業(yè)能夠更加省事，既抵御惡意軟件又保護系統(tǒng)和管理資源。
　　僅部署一個客戶端
　　防惡意軟件是IT管理員必須購買、安全和管理的必要投資項，部署集成防病毒、防間諜軟件、反廣告插件以及控制未經(jīng)授權(quán)的應(yīng)用軟件和設(shè)備的單一客戶端不僅可以節(jié)省時間，還能夠節(jié)省資金、系統(tǒng)資源，并且提高安全性。
　　簡化控制和策略設(shè)置
　　防惡意軟件解決方案允許為不同用戶組設(shè)置不同策略，能夠同時設(shè)置移除未經(jīng)授權(quán)的應(yīng)用軟件和設(shè)備的策略以及防惡意軟件策略，可以提高效率，并能夠滿足特定用戶的特殊要求，例如，可以阻止辦公室電腦使用VoIP和USB密鑰，但是授權(quán)遠程計算機使用。
　　減少管理開銷
　　使用與防惡意軟件相同的管理和更新機制來控制應(yīng)用軟件和設(shè)備，具有明顯的基礎(chǔ)設(shè)施和成本優(yōu)勢，但是，從效率角度來看。這種整合式功能能否成功取決于實際監(jiān)測應(yīng)用程序的方式。
　　有些解決方案需要管理員創(chuàng)建自己的應(yīng)用軟件簽名（使用應(yīng)用軟件中出現(xiàn)的文件名）來維護允許或阻止列表，這種方法很費時并且浪費IT資源。它將更新的負擔施予在管理員身上，并且用戶可以改變文件名以避免應(yīng)用軟件被檢測出。
　　一個更好的做法就是，讓供應(yīng)商采用與惡意軟件檢測自動更新相同的方式來創(chuàng)建和更新應(yīng)用軟件檢測簽名，從而簡化管理、更新和檢測過程。
　　減輕支持負擔
　　通過使用簽名檢測不僅能夠阻止應(yīng)用軟件的運行，同時也能阻止它們的下載和安裝，這樣就為企業(yè)的IT部門減輕了支持負擔，不再需要花費大量勞動力篩選出安裝了未經(jīng)授權(quán)的應(yīng)用軟件計算機。
　　結(jié)語
　　對未經(jīng)授權(quán)應(yīng)用軟件和設(shè)備的安裝和使用所帶來的風(fēng)險是巨大的，不過也存在很多有效的解決方案能夠幫助IT管理員管理這些問題，有些解決方案需要額外的投資，并且價格昂貴，難以維護。最好的解決方案就是將對對未經(jīng)授權(quán)應(yīng)用軟件和設(shè)備的阻止整合到現(xiàn)有的惡意軟件檢測和管理基礎(chǔ)設(shè)施中，而惡意軟件檢測和管理設(shè)施通常是企業(yè)必備解決方案，這就為IT管理員提供了最簡單的解決方案，并節(jié)省了很多資金。