企业内网管理技术发展趋势.docVIP

企业内网管理技术的发展趋势 　　摘 要：新型网络应用的不断普及给企业内网管理带来了一系列挑战，从目前企业内网管理的难点问题出发，分析对比各类解决方案，归纳出内网管理技术的三个发展趋势。?? 　　关键词：内网管理;主动管理;行为监测;统一平台?? 　　中图分类号：TP393.09 文献标识码：A 文章编号：1672-7800（2011）04-0130-02?お? 　　?? 　　作者简介：徐鹏(1981-),男,江苏海安人,博士,中国石油信息技术服务中心工程师,研究方向为计算机应用技术;魏骞(1983-),男,江西九江人,硕士,中国石油信息技术服务中心助理工程师,研究方向为计算机网络；李健(1981-),女,河北保定人,中国石油信息技术服务中心工程师,研究方向为计算机应用技术。 　　 　　0 引言?? 　　近年来，伴随着3G 、P2P (Peer to Peer)等新兴技术的广泛应用，网络已经逐渐融入了人们日常工作和生活。这些新型网络技术在给人们带来便利的同时，也给企业内网管理人员带来了一系列新的挑战：?? 　　(1)以迅雷、BT（Bittorrent）为代表的P2P应用大量消耗企业互联网出口带宽，影响关键业务运行。?? 　　(2)3G等无线接入方式为内网计算机的非法外联提供了方便，企业互联网出口的安全防护措施成为“马其诺防线”被轻易绕开。?? 　　(3)内网用户接入缺乏有效的身份认证机制，笔记本电脑等移动设备的非法接入成为了企业内网安全的一大隐患。?? 　　(4)内网用户主机安全防护水平参差不齐，部分主机被木马攻破，成为黑客发起攻击的工具。?? 　　(5)企业内网设备种类日益增多，缺乏统一的网管监测平台，无法全面、实时地掌握网络运行状况。?? 　　以上这些是近年来企业网络管理问题中最为常见、最为典型的案例。为了应对这些问题，相应的网络安全管理技术也不断提高，国内、外各大厂商都提出了各自的解决方案。通过对这些方案的分析，本文从中总结出企业内网管理技术的3个发展趋势。?? 　　1 从被动监测走向主动管理?? 　　随着ERP（Enterprise Resource Planning，企业资源计划）、视频会议系等专业应用系统逐步推广和应用，企业内网等基础信息设施的业务可持续要求日益提高，基于事件响应机制的网络监测体系已经无法满足现有的内网管理需求。以移动设备的非法接入为例，仅依靠对网络设备的被动监测，根本无法及时发现并阻断非法主机的接入。为了摆脱这样的被动局面，网络和安全厂商们纷纷提出了各自的终端安全解决方案，其中包括：Cisco公司的NAC (Network Access Control，网络接入控制)系统,Juniper公司的UAC (Unified Access Control，统一接入控制)系统，Symantec公司的SEP (Symantec Endpoint Protection，端点保护)系统，H3C公司的EAD（End user Admission Domination，终端准入控制）系统，北信源公司的内网安全管理系统等，这些方案的主要特点包括：?? 　　(1)通常采用客户端/服务器（Client/Server）模式，需要在用户的内网主机上安装客户端。?? 　　(2)可以对意图接入内网的主机进行身份认证，拒绝账户或口令不符的非法主机连入内网。?? 　　(3)可以对意图接入内网主机的安全配置进行检查，检查的内容主要包括防病毒软件、操作系统补丁的安装和更新情况等；对于安全配置不符合要求的主机进行访问控制，仅允许它们访问特定的隔离区。?? 　　(4)可以对用户主机上应用软件的使用进行限制，防止内网用户安装MSN、QQ等与工作无关的应用软件。?? 　　(5)部分解决方案还可以即时发现内网计算机通过3G、Modem、ADSL、双网卡等技术进行非法外联并及时告警。?? 　　终端安全防护措施的不断强化体现了内网管理方式正在由被动监测走向主动管理；内网管理工作的重心也正逐步由核心设备的监控走向边缘主机的控管。?? 　　2 从性能监测走向行为监测?? 　　网络设备的自身性能和技术成熟度不断提高，单台设备的故障率已经显著降低。企业为了进一步提高内网的健壮性和稳定性，对关键网络设备通常都采用了冗余备份的策略。由此，因设备自身故障而导致网络系统瘫痪的概率已微乎其微。然而，网络设备自身处理能力的增强和系统稳定性的提高，并不能完全保证网络系统可用性。以某公司2009年2月的一次互联网访问中断事故为例：内网的一台主机在恶意软件控制下，向互联网上的特定地址发起大量的TCP握手连接，造成互联网出口处NAT（Network Address Transfer，网络地址转换）设备的端口资源耗尽，进而导致互联网访