当前,企业局域网网络安全事件层出不穷,最近出现的勒索软件“想哭”病毒在短短几天内感染了全球100多个国家的数十万台电脑,给各行业企事业单位带来了重大损失。而勒索软件猖獗的原因,一方面是来自于互联网的黑客主动的攻击行为;而另一方面,则是企业局域网的网络滥用、非法接入、非法访问等行为。
当前局域网涉及内网非法接入的行为主要有以下几种:
1. 移动设备(笔记本电脑等)和新增设备未经过安全过滤和检查违规接入内部网络。未经允许擅自接入电脑设备会给网络带来病毒传播、黑客入侵等不安全因素;
2. 内部网络用户通过调制解调器、双网卡、无线网卡等网络设备进行在线违规拨号上网、违规离线上网等行为;
3. 大规模病毒(安全)事件发生后,网管无法确定病毒黑客事件源头、无法找到网络中的薄弱环节,无法做到事后分析、加强安全预警;
4. 静态IP地址的网络由于用户原因造成使用管理混乱、网管人员无法知道IP地址的使用、IP同MAC地址的绑定情况以及网络中IP分配情况;
5. 网络中计算机设备硬件设备繁多,不能做到精确统计。
由于对这些非法接入行为缺乏管理,由此引发的网络安全事件层出不穷,尤其是网络攻击行为、行业机密泄密等事件,给企业带来了重大损失。
那么,企事业单位如何防止网络非法接入、防止移动终端接入局域网呢?总结起来,企事业单位主要通过以下两种举措:
方法1、通过引入网关型的安全设备,包括防火墙、IPS、UTM等加强局域网网络安全管理。
目前,国内有很多网关型的网络安全设备,通常是将其部署在局域网网关出口处,通过内置的过滤规则,对进出互联网的报文进行实时的过滤,对于病毒、木马或者恶意代码、蠕虫病毒、勒索软件病毒程序进行一定的过滤,从而减少或杜绝此种危害。
此外,这些网络安全设备还具有一定的上网行为管理功能,可以一定程度上约束局域网用户随意上网的行为。如下图所示:
图:UTM设备
方法2、通过一些针对性的网络准入控制系统、局域网接入控制软件来实现。
虽然通过防火墙、UTM网关设备或者互联网网关设备,可以实现对一些病毒木马的隔离功能,但这种防护更主要是针对外网、来自外部的安全过滤和攻击防范,尤其是黑客的攻击行为。而对于内部局域网,比如移动设备接入、终端接入设备的控制,则功能就有些捉襟见肘了。这种情况下,可以借助于一些专门的网络准入控制软件来实现。
目前,国内有很多网络准入控制产品,有需要安装客户端的C/S架构的,也有基于B/S架构无需安装客户端的。C/S架构的网络安全管理软件虽然功能更为全面,但部署较为复杂,存在被卸载或破坏的风险;B/S架构的网络安全控制软件,可以实现企业局域网所需要的大部分网络安全管理功能,同时部署也更为快捷简单,只需要一台电脑就可以了。
例如有一款“大势至网络准入控制系统”(http://www.grablan.com/wailaidiannaokongzhi.html),只需要在局域网一台电脑安装部署,就可以实时扫描到局域网所有的接入设备,可以精准识别内网电脑还是外来终端设备,可以实行白名单和黑名单的管理机制,对于外来移动终端设备实时隔离,阻止其上网或访问局域网共享文件。同时,还可以对内网电脑进行IP和MAC地址绑定,禁止随意修改IP地址、防止ARP攻击行为等。此外,还可以禁止无线路由器接入局域网,防止网络随意扩展。如下图所示:
图:大势至局域网接入控制软件
此外,本系统还可以实时为主机增加备注,实时输出网络安全事件(比如修改IP地址、ARP攻击行为、外来设备接入行为、无线路由器接入、手机连接wifi以及代理服务器等),从而便于网管员实时掌握网络安全状况,精准定位局域网设备,并提前采取有效的防范举措。
总之,企业网络安全管理软件、企业网络安全方案的实现,一方面可以充分利用现有的网络硬件设备或专门的互联网网关设备,另一方面也可以借助于一些针对性更强、更精准的网络准入控制系统,具体采用哪种举措,企事业单位可以根据自己的需要进行抉择。
