企業(yè)網絡及其資產經常遭到入侵者的攻擊。完全可穿透的企業(yè)網絡外圍使這一問題雪上加霜。多數(shù)企業(yè)在構建安全 IT 基礎結構時，都將保持不間斷的業(yè)務連續(xù)性作為主要目標。然而，由于攻擊者的攻擊力可損及用戶的計算機、移動設備、服務器或者應用程序，企業(yè)環(huán)境中存在頻繁停機的情況。

分布式拒絕服務 (DDoS) 是一種可導致帶寬耗盡的攻擊。值得注意的是，許多其他情況也會導致網絡負載過重。例如，對等文件共享、對流式視頻的大量使用以及內部或外部服務器的峰值用量（例如，零售行業(yè)的黑色星期五），都可導致內部用戶和外部客戶訪問網絡時網絡運行緩慢。

流式視頻是又一個很好的高耗帶寬應用程序的例子，很多不同類型的企業(yè)都日漸高度依賴流式視頻進行核心業(yè)務操作。異地分布式公司使用它進行辦公室間通信，品牌管理公司使用它進行媒體活動，軍方使用它發(fā)布命令和進行控制。

下述情況導致了不穩(wěn)定狀況。發(fā)起 DDoS 攻擊容易；流式視頻對帶寬可用性高度敏感；即使在最優(yōu)情況下，網絡負載也已過重；企業(yè)越來越依賴這些技術。

IT 管理人員必須有所準備。他們需要改變長期以來對資源用量、對保護網絡上的設備以及對保護關鍵網絡帶寬的想法和規(guī)劃。此端點安全模型有助于他們結合當前現(xiàn)實考慮這些問題。

四大支柱

四大支柱的基本前提是允許網絡執(zhí)行，即使在遭到攻擊時也是如此。第一步是識別端點。什么是端點？在此模型中，端點是實際完成工作時所在的下列任何位置：桌面、服務器和移動設備。

記住這些端點后，制定策略保護這些端點很重要。此策略 — 端點安全的四大支柱 — 的目標如下：

防止端點遭到攻擊

使端點自動恢復

監(jiān)視網絡帶寬

使網絡自動恢復

記住上述目標。有效的端點安全的四大支柱如下：

端點強硬化

端點恢復力

網絡優(yōu)先順序

網絡恢復力

對于每個支柱，還需要考慮幾個其他目標。首先，建議盡可能使此過程實現(xiàn)自動化。畢竟一天只有那么多小時，而 IT 管理人員的時間已安排得滿滿的。

第二，應該對網絡進行集中監(jiān)控，以便了解實時情況。雖然兩大恢復力支柱的目標之一就是盡可能減輕此監(jiān)控負擔，但有時您必須實施手動防御和防范措施。另外，即使在正常情況下，設備有時也會出現(xiàn)故障。

第三，建立反饋循環(huán)。攻擊變得越來越復雜，我們必須承認我們的防御并非時時刻刻都能跟上，除非是以不斷地進行正確防御投資為支撐。同時我們又必須意識到，根據(jù)以往的情形，很難證明有充足的理由將網絡安全投資作為重要的業(yè)務支出。

這就是持續(xù)監(jiān)控和反饋之所以重要的原因。我們越是了解（而且可以演示）發(fā)生在外圍和網絡內的實際威脅與攻擊，越能找出充足理由證明為保護那些企業(yè)資產所投入的注意力以及進行的支出是合理的。

端點強硬化

第一個支柱 — 端點強硬化 — 的目標是確保網絡資產使用最新技術阻止威脅。典型的威脅包括不安全電子郵件附件、蠕蟲之類通過網絡傳播的病毒、任何與威脅到您的 Web 瀏覽器有關的東西。

攻擊防御措施的一個示例是使用防病毒/反惡意軟件這樣的軟件。另一示例是通過 OS 強制執(zhí)行的強制完整性級別將計算機應用程序進程與潛在惡意軟件隔離或對潛在惡意軟件進行沙箱處理。此防護類型適用于 Windows Vista 和 Windows 7 上的 Internet Explorer 版本 7 和版本 8。

一個有用的改進是能夠在中央為整個主機部署和管理隔離設置。為實現(xiàn)有用性，執(zhí)行此任務的方式要使第三方應用程序能不間斷工作（同時受到保護）。

那么如何對此支柱進行監(jiān)控？您應采用可伸縮的方式監(jiān)控域中的網絡資產，防止其遭到入侵。您還應監(jiān)視意外的行為模式。

端點恢復力

端點恢復力的目標是確保不斷地收集并監(jiān)控設備和應用程序的運行狀況信息。這樣出現(xiàn)故障的設備或應用程序可以自動修復，因而使操作得以繼續(xù)。

下列技術是可以使端點更有恢復力的示例：網絡訪問保護、配置“基線”和管理工具（例如 Microsoft System Center）。這方面的一項改進將與上述技術結合，生成以易于擴展的標準化基線為基礎的自動恢復行為。

如何對此支柱進行監(jiān)控？請考慮以下任意方面的趨勢：哪些特定計算機不符合規(guī)定；它們具體是怎么不符合規(guī)定的；這種不符合狀態(tài)是何時出現(xiàn)的？無論是內部威脅、外部威脅、配置錯誤、用戶錯誤等，都可以根據(jù)所有這些趨勢進行關于潛在威脅的推定。另外，用這種方式識別威脅時，您可以不斷地使端點在面對越來越復雜的分布式攻擊面前更為強健。#p#

網絡優(yōu)先順序

網絡優(yōu)先順序的目標是確保您的基礎結構可以始終滿足應用程序帶寬需要。不僅會在眾所周知的峰值需求時間應用此考慮因素，而且，當出現(xiàn)意外的網絡負載浪涌以及分布式外部和內部攻擊時，也會應用它。

可以管理應用程序帶寬的技術包括 DiffServ 和 QoS。然而，此支柱當前代表了所需和商業(yè)供給之間的最大技術空白。將來，它將幫助解決方案集成用戶標識、應用程序標識和企業(yè)優(yōu)先級。然后網絡路由器可以根據(jù)該信息自動劃分帶寬。

如何對此支柱進行監(jiān)控？網絡路由器應執(zhí)行流量記錄來分析趨勢。今日流量與昨日流量有何不同？負載增加了嗎？涉及哪些新地址？它們是否來自國外？有效的綜合監(jiān)控有助于回答這些問題。

網絡恢復力

網絡恢復力的目標是允許無縫的資產故障轉移。利用這方面的技術，能理想地在性能下降時實時重新配置網絡。此支柱與端點恢復力類似之處在于，其目標是促進網絡自恢復性能，最小化管理負擔。

然而，此支柱也提醒大家注意，必須考慮故障轉移和冗余，既要考慮大規(guī)模的情況，也要考慮小規(guī)模的情況。例如，您可以使用群集技術提供數(shù)據(jù)中心內單一節(jié)點的故障轉移，但我們如何故障轉移整個數(shù)據(jù)中心或區(qū)域？無可否認，因為我們還必須考慮辦公室空間、基本服務以及員工（這個最重要），所以災難恢復計劃這項挑戰(zhàn)的范圍仍在加大。

除群集之外，此支柱麾下的其他相關技術包括復制和虛擬化。如何對此支柱進行監(jiān)控？故障轉移技術通常依靠監(jiān)控。另外，當企業(yè)需要發(fā)展時，您可以使用加載數(shù)據(jù)執(zhí)行資源和采購計劃。

實現(xiàn)各支柱

端點安全的這四大支柱中的每個支柱，都可能是大多數(shù)組織未充分利用或尚未部署的商業(yè)供給安全、網絡和業(yè)務連續(xù)性技術。因此，IT 管理人員有下列商機：

使用四大支柱（或某些其他框架）識別網絡防御中的威脅和縫隙

在自動化和監(jiān)控方面進行額外投資

更緊密地參與企業(yè)決策者就這些努力的成本和好處做出決定的過程

一些企業(yè)可能已發(fā)現(xiàn)自己在一個或多個支柱領域處于現(xiàn)有技術的最前沿。因此，相應的企業(yè)家有大量商機。關鍵是要調整想法考慮這四大支柱中的每一個，因為每個都重要。

本文地址

本文來源：微軟TechNet中文站

【編輯推薦】

1. 入侵檢測蜜罐簡化網絡安全
2. 銀行裝備防DDoS系統(tǒng) 可防范十萬臺肉雞同時攻擊
3. 企業(yè)網絡安全應該從細節(jié)抓起
4. ICTC2010關注三網融合下的信息和網絡安全