說到企業(yè)內(nèi)部網(wǎng)絡(luò)的惡意網(wǎng)址過濾和上網(wǎng)行為管理，CIO和CTO們一定都不陌生，很多單位都有購買的設(shè)備或自己搭建的服務(wù)器來執(zhí)行相關(guān)的工作。

　　通常帶有Web Filter功能的網(wǎng)絡(luò)會如圖所示。

圖1

　　這樣的架構(gòu)非常經(jīng)典，長期以來也有效緩解了惡意代碼入侵內(nèi)網(wǎng)的問題。但是隨著近年來智能手機、平板電腦等BYOD設(shè)備不斷的進入企業(yè)網(wǎng)絡(luò)，管理員們突然發(fā)現(xiàn)有點力不從心了。

　　有的單位推出了MDM的解決方案，但大多要在BYOD設(shè)備上安裝插件，如果是公司發(fā)的那還好說，裝了就裝了。但如果是員工自己買了自己用的，憑什么讓人安裝插件呢？

　　不讓裝插件，好。沒關(guān)系，我們的Web Filter是網(wǎng)關(guān)處的，只要你鏈接惡意網(wǎng)址或其他非法網(wǎng)站，我當(dāng)你是PC一樣的攔截即可。

　　可是有一天，管理員們突然發(fā)現(xiàn)，雖然已經(jīng)在Web Filter上加入了過濾策略，很多員工的智能手機和平板依然飽受惡意代碼威脅，色情網(wǎng)站和非法網(wǎng)址等依然能夠在員工的手機和平板上訪問，還有那些不被允許的炒股軟件和聯(lián)網(wǎng)游戲……

　　難道是這些員工用了什么奇怪的方法？

　　一查之后，發(fā)現(xiàn)大家什么都沒改過，都是很普通的用戶。

　　很多手機App等移動互聯(lián)網(wǎng)開發(fā)商為了讓智能設(shè)備享受更便捷的通道，往往給予了它們和PC不同的訪問路徑和網(wǎng)址。我們拿最簡單的新浪網(wǎng)為例子。

　　你在PC上訪問www.sina.com.cn時。網(wǎng)址不會改變，但你在手機上訪問時，系統(tǒng)會自動跳轉(zhuǎn)到sina.cn，如果你的Web Filter里只設(shè)定過濾www.sina.com.cn，而沒有設(shè)定sina.cn ，那使用手機的用戶便可以不受約束的突破攔截了。

圖2

　　當(dāng)然，以上的舉例子還都是危害比較小的，如果企業(yè)內(nèi)網(wǎng)用戶訪問的是含有惡意代碼的網(wǎng)址和色情網(wǎng)站的話，網(wǎng)絡(luò)管理員估計就會頭疼了。

　　BlueCoat中國區(qū)產(chǎn)品市場經(jīng)理申強說過這么一個事情：“我們?nèi)ツ?2012年)抓到一個假冒的skype的網(wǎng)站，本身他是透過一個合法的下載網(wǎng)絡(luò)去下載，但是這個合法的下載網(wǎng)站鏈接被動了手腳，被黑客攻進去了。以后你去下載的時候這個頁面上就有一個惡意代碼把你掃入一個俄羅斯網(wǎng)站里面去。

　　當(dāng)時BlueCoat發(fā)現(xiàn)，一個用戶在合法的網(wǎng)站上下載skype的時候，界面跳轉(zhuǎn)到之前給PC注入過惡意代碼的俄羅斯服務(wù)器里面。

　　經(jīng)過我們的引擎分析后發(fā)現(xiàn)，惡意代碼會隨著skype下載到你的系統(tǒng)里。然后這個系統(tǒng)一周之內(nèi)大概換了52個新的域名，不斷的改變，防止別人發(fā)現(xiàn)他們攻擊的行為，傳統(tǒng)的攔截方式根本就攔不住”。

　　以下這張圖可以給大家做個參考，圖中顯示，在社交網(wǎng)絡(luò)、新聞/媒體、休閑方面，移動使用已經(jīng)全面超過了桌面使用。我們之前在桌面端設(shè)定的靜態(tài)過濾、攔截策略，很可能在這個移動的時代毫無用處。

圖3

　　IBM 的預(yù)測報告顯示，鑒于智能手機和平板電腦在企業(yè)中的廣泛使用，預(yù)計 2011 年與 2010年相比，將有多達(dá)兩倍的移動設(shè)備受到攻擊，其中包括“要求員工使用自己的移動設(shè)備”(BYOD) 的做法，因其允許個人設(shè)備訪問公司網(wǎng)絡(luò)。除了惡意攻擊的威脅，公司還面臨著盜竊和用戶疏忽造成數(shù)據(jù)遺失的巨大風(fēng)險。近期一項針對移動設(shè)備安全的調(diào)查顯示，超過 70 % 專業(yè)人員表示使用網(wǎng)絡(luò)不謹(jǐn)慎的員工對安全的威脅性比黑客的更大。

　　在不了解用戶最容易遭受何種內(nèi)容類別攻擊的情況下，保護最容易受操縱或遭受行為攻擊的用戶是一件極具挑戰(zhàn)的事情。

　　BYOD時代，人們需要怎樣的內(nèi)網(wǎng)安全過濾方案

　　移動用戶代表了目前企業(yè)內(nèi)復(fù)雜且不斷成長的群體。那些能夠以更安全的方式來管理移動設(shè)備的企業(yè)可以幫助員工提高工作效率，從而使他們獲得競爭優(yōu)勢。

　　將企業(yè)級網(wǎng)絡(luò)安全解決方案擴展到移動設(shè)備是企業(yè)朝著保護其員工安全性邁出的良好第一步。通過消除移動安全漏洞和對企業(yè)資產(chǎn)訪問權(quán)限實施相關(guān)的策略控制，企業(yè)可以主動保護其資產(chǎn)免受移動環(huán)境中各種層出不窮的威脅的侵?jǐn)_，同時充分利用移動員工的創(chuàng)新提高工作效率。

　　以BlueCoat的移動設(shè)備安全 (MDS) 服務(wù)為例，該方案可將 Blue Coat設(shè)備上的威脅保護和策略控制擴展至位于任何位置的移動設(shè)備用戶。MDS服務(wù)是Blue Coat云服務(wù)的一部分，后者是無縫保護員工從任意設(shè)備或網(wǎng)絡(luò)訪問 Web 或企業(yè)內(nèi)容，并提供一種基于網(wǎng)絡(luò)的方法以保護和控制企業(yè)網(wǎng)絡(luò)內(nèi)外的移動設(shè)備的全局基礎(chǔ)設(shè)施。

　　與只阻止個人設(shè)備上的全部應(yīng)用程序的設(shè)備級解決方案不同，MDS 服務(wù)使您能夠通過跨本地移動和移動瀏覽器 (m.) 應(yīng)用程序應(yīng)用應(yīng)用程序和操作控制啟用移動設(shè)備。借助基于網(wǎng)絡(luò)的細(xì)化應(yīng)用程序控制和 Web 過濾，MDS 服務(wù)使您能夠為用戶提供所需的訪問并確保企業(yè)所需的安全。因此，采用一種更加靈活、低接觸的方法確保移動設(shè)備安全。

　　MDS 服務(wù)可將全局威脅保護、通用策略和統(tǒng)一報告擴展至具有以下功能的移動設(shè)備，如：

• 準(zhǔn)確的 Web 過濾和惡意軟件保護
• 內(nèi)聯(lián)反病毒掃描
• 細(xì)化的應(yīng)用程序和操作控制
• 實時統(tǒng)一報告
• 企業(yè)級加密連接方法