目前的网络对于IT系统来说是无知的,正如Gartner等市场研究公司指出的那样,IT确实不能知道哪一个用户在网络上,同样对于局域网上的应用程序通讯也知之甚少。
事实上,最终IT依靠加密工具替代用户数据和应用程序数据。但是,这些工具很少用来把信息与实时的通讯联系在一起。
但是,如果网络很长时间一直不知道用户和应用程序的情况的话,那么这个黑洞现在就存在一个问题,那就是业务行为的变化将显著改变风险等级。一方面,企业机构现在要托管更多的用户,其中许多用户还都是企业外部的人员,而这些用户总是会使用越来越多的应用程序。另一方面,为了提高生产率,企业需要这些变化,企业需要与合作伙伴和承包商合作来有效地完成项目,新的应用通常将推动员工之间更高水平的协作。因此,这里的关键是IT部门要在允许采用这些有成果的做法的同时,不破坏机构数字资产的安全或者不影响员工的生产率。
通过增加身份识别和应用程序可见性以及增加对网络的控制,IT部门能够避免什么样的风险呢?下面就是这些安全风险的所在:
一、应用程序(或者人员)的行为不当:银行给人的印象往往是,柜员机交易是通过使用SSH(安全外壳)的加密通道中进行的——在获得网络中的应用程序、智能观察应用程序的流动之后,他们注意到有大量的Telnet(远程登陆)进程并且跟踪这些进程到柜员机。他们了解到,这些包含客户金融和个人数据的敏感的交易是在Telnet上透明地进行的,而不是在SSH的加密情况下进行的。
二、谁在访问哪一个网站:对客户计费的任何业务都需要保证正确地计费。一个根据时间计费的呼叫中心需要为打入的电话服务。计费周期从电话打入呼叫中心的队列的时刻算起,尽管这个客户必须要等待。一项对一个呼叫中心所有主要的应用程序进行的研究显示,有大量的访问游戏网站的情况。这表明,玩游戏是某些员工推迟回答用户电话的一个原因,从而不当地增加了客户的费用。如果把网站访问与客户名联系起来,对应的企业机构就可以消除这种浪费用户时间的因素,从而恢复准确地为用户计费。
三、80端口的问题:人们一般使用这个词汇解释许多在端口80运行的应用程序。虽然这些通讯流量与网络浏览的通讯流量相当,但是,更多的应用程序目前使用L4端口。考虑一下甲骨文通过网络浏览器提供的应用程序服务或者SalesForce.com等使用云计算的CRM应用程序。端口80现在什么事情都不会告诉你。事实上,在L4端口上运行的应用程序实际上可能会给机构带来风险。一些软件厂商认为他们通过关闭周边防火墙上的已知端口成功地关闭了eDonkey(点对点数据交换程序)。一旦他们能够对局域网上的应用程序进行详细的检查,他们就会看到eDonkey仍在广泛地应用,从而使他们的源代码面临风险。
四、IP地址不等于用户:查找可能是用户代理的IP地址同样会使企业面临风险。IT部门通常依靠表单跟踪地址并且把地址与用户名关联起来。在一种情况下,一个企业的表单表明某个IP地址属于一个交换机端口,而且那个端口有许多其它管理设备,并且制定一项政策规定那个端口只能使用相关的管理应用程序。想象一下当发生违反政策的情况时会出现什么情况。通过查看详细的通讯流,他们能够把“发送者”当作一个用户,而不是一个交换机。这种情况很容易产生重复的IP地址和网络回路,或者不正确地对用户进行分组并且意外地提供访问敏感金融数据的权限。只有IP地址受到严密的监视的情况下,一个机构才能真正知道谁在网络上做什么。
五、非法下载:把流媒体下载与单个人联系起来不仅对于保持生产率(和服务器空间)是关键的,而且对于满足遵守法规的要求也是非常关键的。有非法下载行为的任何机构最终都将承担法律责任。MPAA(美国电影协会)和RIAA(美国唱片行业协会)坚持对侵犯版权的行为采取严厉行动。通过把下载通讯与具体的用户联系起来,IT部门能够找到那个用户并且重申互联网使用政策。
总的来说,商业行为的变化是非常快的。IT部门必须要把通讯流量与用户名联系在一起。这对于强制执行接入政策、实现强制管理、满足遵守法规的要求、满足行业审计要求和保证员工的生产率都是非常重要的。局域网中的可见性对于IT部门控制用户能够在局域网上干什么是非常重要的,因为你不能控制你看不到的东西。
因此,为了数据保护、员工生产率、简化IT运营和某个人的工作岗位等许多原因,IT部门应该找到一些方法更准确地知道在局域网中的用户的身份并且知道正在使用的全部应用程序。无论采用哪一种机制,IT部门都能够从基于身份识别的用户和应用程序控制中获得好处。