內(nèi)網(wǎng)安全大有乾坤，亂世中危機四伏，安邦定勢免不得與黑客斗、與威脅斗、與市場斗、與困難斗，無不圖盡其謀，奇招百出。作為用戶信息中心的技術主管，在種種考驗面前經(jīng)歷了怎樣的兇險、困擾，又如何走出思維陷阱，成功解決形形色色的難題呢?在此若干企業(yè)的CIO與您分享五個用戶應用天珣內(nèi)網(wǎng)安全風險管理與審計系統(tǒng)的故事，一同領略其中“斗智斗勇”的精彩片段。

體驗：暗度陳倉 萬人“守法”

受訪者：Z航空公司信息中心技術主管

作為國內(nèi)最大的航空公司之一，在2001年，正值全球病毒肆虐的高峰，雖然我們很早就購買和部署了防病毒軟件，但在“紅色代碼”爆發(fā)的時候，也未能在沖擊中幸免。作為信息中心的技術主管，我心中一直有個巨大的困惑，就是安全制度的落實問題：IT部門一直以來權限有限，沒有行政手段，又缺乏技術手段，在組織中推進終端管理真是難上加難，為此，IT部門的領導不知道用了多少辦法，都無濟于事。而且我們Z航有過萬的計算機終端，而且這些終端分布在全國各地多個省市，不僅數(shù)量眾多而分散，并且終端用戶的計算機應用水平和安全意識更是千差萬別，從哪里入手管理才好呢?

我們迫切需要通過技術手段，能夠自動對終端進行管理，而不是依靠行政命令去強制終端用戶執(zhí)行企業(yè)安全管理策略。一個偶然的機會，我們接觸到了天珣產(chǎn)品……

天珣的安全廠商對計算機終端的用戶行為做了仔細的研究，發(fā)現(xiàn)，雖然終端無法直接管理，但是我司內(nèi)部的終端因為業(yè)務的需要，都必須連入企業(yè)內(nèi)網(wǎng)，每天都必須使用Exchange收發(fā)郵件，如果上Internet，都需要通過ISA代理服務器才能訪問。對這些終端用戶來說，如果要求他們安裝防病毒軟件，他們找各種理由逃避，但是如果出現(xiàn)系統(tǒng)故障不能使用Exchange郵件系統(tǒng)，或者出現(xiàn)網(wǎng)絡故障，令他們無法上Internet，他們就會立即跳起來投訴、抱怨，強烈要求計算機中心盡快恢復。

發(fā)現(xiàn)了這個“秘密”之后，天珣廠商為我們設計了一套非常巧妙的終端訪問認證協(xié)議，分別在Exchange郵件服務器和ISA服務器安裝了一個專用插件軟件即天珣策略網(wǎng)關，然后通過管理服務器組件給這個插件軟件下發(fā)策略，由插件代替人對來訪終端執(zhí)行身份認證和安全檢查，如果終端不能滿足相應的安全條件，該插件將禁止終端收發(fā)郵件和連接Internet，同時充分考慮到系統(tǒng)的人機交互的友好性，還通過郵件系統(tǒng)和瀏覽器頁面，推送提示頁面給終端用戶，讓其在被禁止訪問相關資源同時，清楚了解自己的違規(guī)行為和需要做的修復工作。

系統(tǒng)一經(jīng)上線，效果立顯，短短1年半時間，天珣就完成了我們Z航內(nèi)部近2萬臺終端的部署，意味著這萬臺終端都已經(jīng)完全按照我們的要求接受管理，并確保終端滿足安全基線，終端威脅抵御能力和管理水平一下子提高了幾個數(shù)量級。廠商給我們打比方：準入控制就像“機場安檢系統(tǒng)”一樣，“機場安檢系統(tǒng)”是對機場安全和飛機飛行安全的關鍵作用，而準入控制則是對內(nèi)網(wǎng)的終端和業(yè)務系統(tǒng)安全運行發(fā)揮著關鍵作用，準入控制對企業(yè)的價值，就如“安檢系統(tǒng)”對航空安全一樣，非常形象、準確。

沒有想到，我們單位是第一個吃螃蟹的，竟然創(chuàng)下了全球首個最早大規(guī)模實際應用準入控制產(chǎn)品的典范：在我們航進行大規(guī)模應用準入控制的時候，遠在地球另一邊的Cisco，在2002年才提出了NAC概念(Network Access Control)，也就是后來大家熟知的網(wǎng)絡準入，直到2004年才推出NAC解決方案，而Microsoft 2006年底才推出自己的NAP(Network Access Protection，在域管理基礎上，實現(xiàn)部分準入控制功能)。我們選擇了國內(nèi)廠商，有幸成為了創(chuàng)新應用的先驅。

點評： 對于網(wǎng)絡終端安全而言，“個體行為”亂象叢生，向來是管理的難點，靠“人治”往往難以實施。而以技術手段制“亂“與“暴”，雖躲在后臺卻能強制管理并規(guī)范終端操作行為，過萬名用戶在不知不覺中乖乖繳械受控“守法”。