2011：企业应优先考虑的六大网络技术

Almer称，当涉及到第三方安全应用程序时，企业应该寻找这样的功能，即允许他们专门指定什么数据可以在公司的iPad上使用，什么数据不可以在iPad上使用。这将降低iPad丢失之后企业丢失敏感数据的风险，因为在删除丢失设备上的数据之前其他人会有机会看到关键的企业数据。Almer还指出，企业应该考虑仅允许企业发放的iPad进入工作场所，因为这将为这些iPad制定更多的执行什么安全政策的规定。

Almer表示，如果你把iPad作为机构的配备提供给员工，你就有权管理它和远程删除它的数据。如果它不是你拥有的设备，你就不能这样做。因此，如果你有许多人使用iPad，向他们提供机构的iPad而不允许他们使用自己的iPad是一个好主意。

Murphy赞同这个观点。她表示，企业需要投资第三方应用程序，如果他们将在自己的网络上使用iPad的话。她说，Wells Fargo有一个逐个步骤搞清楚哪一个应用程序最适合需求的方法。

Murphy称，我们必须支持一系列的第三方工具，这样，我们就能够有一套完整的设备。我把这个方法称作“作法自毙”的方法。

Murphy表示，这种补救方法是缓慢和小心翼翼的。这是Wells Fargo一直谨慎地对待扩大iPad在员工中应用的原因，也是她认为平板电脑不能很快在企业中取代更安全的笔记本电脑或者智能手机的原因。

同样，Getchell称，企业在确保覆盖自己全部的安全用户群之前应该认真考虑在整个员工队伍中部署iPad的问题。

Getchell称，他们应该担心iPad如何迅速地变得非常流行。如果iPad不足以取代笔记本电脑成为你的主要企业设备，你就不要广泛地使用它。

做好向私有云迁移的准备

在企业进入云之前必须完全掌握虚拟化，获得公司高层的支持，最好能有成功的商业案例。

云计算不容置疑的经济利益促使很多企业在考虑构建他们自己的私有云，但是企业在进入云之前必须确保企业已经准备就绪。

ING美国公司是云安全联盟的创始人之一、云技术的用户之一，该公司负责IT战略和企业架构的副总裁Alan Boehme认为，人员、公司治理、价格和技术必须协调行动才行。

此外，组织在准备接受私有云的挑战之前，还需要攀爬一段虚拟化成熟曲线，Forrester副总裁兼首席分析师James Staten说。

攀爬这段曲线是要经历4部曲，首先是要向不太情愿采纳虚拟化的业务部门推销虚拟化，然后是郑重其事地部署，再就是优化服务器池的使用率，最后是在全企业创造鼓励共享虚拟基础设施的激励措施，他说。

在第一阶段，IT部门得在自己的组织内部寻找开发人员来尝试云技术。第二阶段，IT部门需要获得批准，以便在需要时可将虚拟机迁移出物理机之外。

Staten称此阶段为英雄阶段，因为IT部门在此阶段可以有效地减少增加新资源的时间和成本。在此阶段中，需要虚拟和不需要虚拟的物理服务器之间的比例会加大，成为衡量虚拟化是否成功的一个指标。

而在第三阶段，随着企业试图最大化物理服务器资源池的使用率，上述比例会逐渐变得不重要，这一阶段的关键指标就是使用率。在此阶段中，工具和程序必须及时部署到位，务必使虚拟机的蔓延降至最低程度，确保闲置的虚拟机能够关闭，服务器资源可重复使用，Staten说。

最后一个阶段就是向各业务部门积极推广虚拟化，要让他们相信整个组织共享资源才是最好的资源配置。这一阶段最有效的手段就是要随时向用户比较新增和开通一台物理服务器(一般需要数周时间)、在数据中心开通一个新的虚拟机(一般需要一天到一周)以及在云中利用标准模板打开一个虚拟机(即刻)这三者之间巨大的时间差异。当集中的服务器仓库可以在各业务部门间共享时，可以说企业就为采纳私有云做好了准备。

对于还未能在这条虚拟化成熟曲线上攀爬到太高阶段的企业来说，也有一些更快捷的方法可以采用。Boehme说，比如IT部门的一个小组可以与云服务提供商建立一种关系，在提供商的云基础设施内为企业客户创建一个专用云。这种做法可以卸掉创建企业所有和维护的私有云的很多沉重负担。

但是要向私有云迁移，其准备过程要比只是虚拟化复杂得多，Boehme说，这其中培训是个关键。企业的IT人员必须要打破以前狭隘的以任务为中心的观念，要变成通才和多面手。比如说，代替一个存储专家，现在是一个能够采用存储技能的、由多方面人员组成的小组。“让人们摆脱专业束缚，只要有适当的管理手段，你手下的人是会很快转变过来的，”而这些人就会去激励变化，并使变化的痛苦减弱。

此外，如果企业想要雇人来实现向私有云的迁移，它们应该考虑较年轻的专业人士，因为这些人是跟着虚拟化一起成长起来的，不会被一些传统的IT服务配置思维所禁锢。

有了云架构中的虚拟化，用户便可配置自己的工作空间，并辅以治理手段确保个别人不会过度配置资源，这样一来，虚拟机的实时迁移便能平滑进行，也不会违背协作风险规则，Boehme说。

IT部门还必须为他们所提供的云服务建立财务透明制度，以便让客户能够方便地购买这些服务。客户们对于按使用计费的方式并不熟悉。在传统上，他们都是为物理服务器付费的，但是在云中，却可以按每分钟、每个核心、每个兆字节付费，Boehme说。在云中，服务的价格是变化的，取决于各种因素，例如资源部署的环境以及每天何时使用资源等。

企业一旦准备要采用私有云，还必须挑选正确的应用进行部署，美国高尔夫联合会(USGA)负责IT的执行董事Jessica Caroll说。举例来说，USGA正在规划一个可支持该组织社交媒体网站的应用，但是对于网站会有多大流量没有概念。于是他们决定利用一家公有云提供商的网络构造一个托管的私有云。如果云应用需要更多的处理能力或者存储容量，扩容也很方便很快捷。

在选择一家可在其公有云中创建私有云的提供商时，Caroll的建议是必须现场参观其服务能力——例如服务器、数据中心、发电机等——以便确保必要的服务等级。

采用下一代防火墙

下一代防火墙要求的是一种只和安全目标相关的传统防火墙完全不同的思维方式。

企业如果想从传统防火墙变换为下一代防火墙，会发生什么情况?企业必须清楚，下一代防火墙的安全思维方式和传统防火墙的安全目标已经完全不同了，它尤其需要建立应用感知控制，对员工们的上网、浏览Web内容以及上社交网站的行为进行监控。

“这里面有一个分歧需要解决，”SonicWall的产品管理副总裁Patrick Sweeney说。就传统基于端口的防火墙而言，系统管理员要讨论的是“协议语言”，这种老式的思维方式对新一代防火墙来说是不合适的。企业需要采用一种更加关注业务的语汇，一种和应用有关联的语汇，可以让CIO、CFO和CEO们更容易理解的语汇。“必须统一这几类人之间所讲的语言，”Sweeney说。

因为新一代快速、智能的防火墙是对应用感知的，所以它能让企业针对员工建立并强制执行基于身份的应用使用策略。所谓下一代防火墙(NGFW)还可以融合VPN功能，对流量执行入侵防御扫描，并且有智能可以利用一些技术进行声誉过滤，还能与Active Directory集成进行身份而和策略管理等。

这是研究公司Gartner和其他几家厂商(包括Palo Alto网络、McAfee、Check Point、Barracuda网络以及SonicWall等)给出的下一代防火墙的定义，以此来描绘他们的防火墙产品。

虽说NGFW浪潮至少已经持续了三年之久，但是Gartner也承认，其实际的使用到目前为止还是为数甚少，甚至还不到1%。至于未来，Gartner的乐观预计是到2014年，NGFW的采用率会增长到35%。

厂商们会继续研发NGFW产品及服务，NGFW“会成为企业的首选防火墙，”Gartner分析师Greg Young说。即便你的企业还没打算更新或者替换现有的防火墙，但IT经理仍然应该研究厂商的NGFW路线图，为下一次更新周期做好准备。

采用下一代防火墙的一个驱动力就是上网行为和带宽消耗会越来越多，SonicWall的Sweeney说。“所以你必须能够监控到每一个特定用户，看到他们是否在使用BitTorrent或者某个应用。”

借助NGFW，企业可根据带宽需求和优先级对应用加以控制。此外，有些NGFW产品，比如CheckPoint和SonicWall的产品还可以像防数据泄漏工具一样，基于关键词和其他规则定义限制应用的使用。

Check Point目前在其防火墙产品中通过应用控制软件刀片提供了NGFW控制，可覆盖近5000个应用和9万个社交网络器具，该公司的网络安全副总裁Oded Gonda说。Check Point的防火墙还采取了一种警告用户而不是一下子彻底禁止访问的做法，这种做法就是在用户要上Facebook的时候会插入一个“告知页面”，告诉你按照公司的政策，可能会限制共享某些与公司相关的信息。“有时候人们是不愿意被限制的，所以需要对他们进行教育和告知，”Gonda说。

Check Point的NGFW还可发挥这样一个作用，去寻找人们转向Web应用的原因。“IT部门要理解人们为何会使用谷歌文档的原因，”Gonda举例说。“有时候，这类信息是很难收集的。所以在用户首次使用谷歌文档的时候，插入一个问答页面你就能够他们使用该应用的原因。”Check Point称此功能为“用户检查”，从2011年开始启用。

从传统防火墙向NGFW转移是意义重大的。Young称，“企业必须制定转移规则和策略，”并对人员进行相应的培训。

有些企业选择逐步向NGFW过渡，串联使用传统的和下一代的防火墙。大约一半的SonicWall客户已经开始在使用带有应用感知的NGFW，Sweeney说，这些客户通常都会维持其传统防火墙的使用，同时随着时间的推移逐步加入了基于应用的控制。

根据Young的观点，从积极的方面看，向整合的多功能NGFW的转移将会降低企业的成本。

接受社交媒体

企业不能简单地把上社交网站视为员工的个人消遣行为，而完全在工作环境中禁止社交网站。

由于很有诱惑力，因此有些企业可能会禁止其员工访问社交网站和社交媒体网站，但这绝非长久之计。如今，很多行业企业的IT部门都会遭遇到来自员工的压力，要求放宽限制，能够让他们访问像Facebook、LinkedIn和YouTube等网站。

这种压力来自多个方面。销售和营销团队希望通过社交媒体吸引客户，并向客户销售产品。企业内部员工希望有更多的自由能够在工作场所访问个人的社交网络账户。人力资源部门也希望能够招聘、雇佣和留住精通社交媒体的员工，但是他们都因为企业过于严格的限制使用策略而感到不满。

“有很多企业，无论大小，都在避免使用非常严厉的禁止社交媒体的做法，而改用一种更为宽松的访问模式，”Forrester的副总裁兼首席分析师Chenxi Wang说。

这里的挑战就在于，要找出既能让企业利用社交媒体发挥自身优势，又能保证员工的生产效率，确保网络安全的平衡之道。

专家们建议从制定一个好的计划开始。虽然很多企业已经采用了可接受的使用策略，恰当地解决了e-mail和互联网的使用问题，但却很少有企业制定过既能在工作期间使用社交媒体，又能保障企业网络正常运转的相关流程。

“组织需要做的第一件事就是要扩展现有的可接受的使用策略，以便覆盖所有类型的互联网沟通方式，”M86安全公司的技术战略副总裁Bradley Anstis说。

可接受的使用策略能够解决诸如允许访问的级别等问题。举例来说，并非所有员工都需要在YouTube上发布视频，或者下载Facebook的应用。对于某些群组的员工来说，只读访问就足够了。要教育员工知悉和社交媒体相关的安全风险，并提供相关的内容共享指南，都是可接受使用策略的关键内容。

2010年初，FaceTime通信公司曾经调查过1654位IT经理和终端用户，结果出现了很大的分歧。在这份调查中，62%的IT专业人士估计在他们的网络上存在着社交网络应用，而来自已部署了FaceTime设备的实际数据显示，社交网络应用在所调查的样本中为100%。所发现的文件共享工具也有74%，而只有32%的IT专业人士估计有人在用这类工具。发现Web聊天工具也有95%，但却只有31%的IT专业人士估计有人在用。

未来，IT的挑战就在于要解决因此带来的安全风险，例如通过员工的社交媒体活动而带进来的恶意软件，或者由于员工疏忽大意导致的商业敏感信息的泄露等。

除了纯粹的Web威胁外(恶意软件、僵尸网络、网络钓鱼、有目标攻击)，还有治理结构、风险和法规遵从(总称GRC)等问题需要考虑，Check Point的产品营销经理John Vecchi说。“Web 2.0给IT部门的GRC努力带来了新的挑战，尤其是在数据保护方面。Web 2.0让企业信息有了更多的泄密渠道。”

为了监管社交媒体活动，IT部门必须能够在应用层有强制用户或特定群组的策略(比较典型的做法是与企业目录集成)。能够探测并禁止基于脚本的恶意软件也是重要的，因为这样做不仅可以分析下载的内容，而且还能发布内容，确保不会有人违背数据保护策略。

以美国的杜瓦尔县学区为例，该学区就定义了好几个互联网访问级别作为其可接受使用策略的组成部分。各校的校长和管理资源的官员拥有最全面的访问权，包括对社交网站的访问权，该学区的信息安全经理Jim Cullbert说。

而访问控制在该学区的其他群组中间则更为严格。例如学区的职员可允许使用园区网之外的e-mail应用，但是教师不允许，因为该学区希望所有教师与学生及学生家长间的通信只能通过内部的邮件系统来进行。学区的内容过滤策略与其Active Directory的部署紧密相连，并通过M86安全公司的Web过滤和报表技术强制执行。

虽然采取防范社交媒体安全的额措施是重要的，但是IT部门还是需要留意员工对于像Facebook、Twitter和LinkedIn等网站的使用，可能也会像企业基础设施中的其他方面一样是无法完全控制或者无法锁定的。因为员工的行为准则和价值判断是不可能自动千篇一律的。

因此Forrester的Wang建议，“对于员工们在网上做些什么一定要有开放的心态。我会让员工意识到风险的存在，并为他们提供工具自己去评估和社交媒体相关的风险，但是我也会让他们自己作出决断。”

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友