云oa安全管理策略：如何保護(hù)好云oa流量

云oa安全管理策略：如何保護(hù)好云oa流量？DDoS攻擊是近年來導(dǎo)致云oa癱瘓和斷網(wǎng)事件的主要罪魁禍?zhǔn)?，甚至在百度貼吧上還存在“流量吧”，經(jīng)常有人在上面交易“DDoS木馬”，企圖控制云oa流量。

云oa安全管理策略高端云oa的精髓

某工作人員說，在如今P2P、IM盛行的時(shí)代，對(duì)于局域網(wǎng)的流量管理、抑制、監(jiān)測(cè)、溯源可謂八字箴言；而對(duì)于骨干云oa流量的管理，其精髓在于監(jiān)測(cè)和溯源。

而如何追本溯源、應(yīng)對(duì)和管理云oa異常流量呢？該內(nèi)部人士介紹，對(duì)于異常流量管理這場(chǎng)遭遇戰(zhàn)，可以說在電信行業(yè)早已打響，這可以追溯到2004年前后。經(jīng)過近5年的發(fā)展，攻防的招術(shù)也幾經(jīng)變化，對(duì)于我們來說，從最初的串接式設(shè)備，諸如防火墻、DDoS過濾器；到云oa設(shè)備管理手段，如ACL列表、手動(dòng)調(diào)整QoS流量整形策略，都不能很好的對(duì)云oa流量以及異常流量進(jìn)行抑制、監(jiān)測(cè)和溯源。

實(shí)際上，高端云oa和用戶經(jīng)常關(guān)注的普通企業(yè)云oa，在安全方面有很大區(qū)別，決不能照葫蘆畫瓢。東軟云oa安全產(chǎn)品營(yíng)銷中心副總經(jīng)理李青山說，用戶通常所談到的高端云oa，主要是指運(yùn)營(yíng)商業(yè)務(wù)承載類云oa和行業(yè)客戶骨干鏈路系統(tǒng)。當(dāng)然，隨著業(yè)務(wù)系統(tǒng)的逐年擴(kuò)大，部分企業(yè)云OA系統(tǒng)也越來越多的體現(xiàn)出高端云oa的特征，包括電信運(yùn)營(yíng)商圍繞承載網(wǎng)而建設(shè)的支撐類云oa也逐步加入到高端云oa陣營(yíng)。

由于高端云oa最根本的運(yùn)維要點(diǎn)在于，如何向接入用戶云oa提供滿足要求的服務(wù)質(zhì)量承諾，尤其是帶寬和響應(yīng)延遲指標(biāo)。但是，接入用戶云oa是作為一個(gè)完全的云oa對(duì)等體出現(xiàn)的，高端云oa無法確定該部分云oa區(qū)域究竟需要什么樣的訪問控制策略，因此在接入鏈路近端(高端云oa側(cè))無法設(shè)置訪問控制點(diǎn)。

而另一方面，傳統(tǒng)的安全建設(shè)都是在遠(yuǎn)端的接入云oa內(nèi)部進(jìn)行的，通常由接入單位出資建設(shè)并管理。其根本宗旨也僅局限于如何保障該接入云oa不受來自其他云oa的攻擊，而從未考慮過。

如何防范該接入端云oa侵害高端云oa所連接的其他云oa部分，這就導(dǎo)致了接入用戶云oa除了發(fā)起正常業(yè)務(wù)流量之外，各類桌面系統(tǒng)也同時(shí)發(fā)出大量隨機(jī)流量，如僅用作個(gè)人通信的P2P流量、易感蠕蟲病毒的傳播流量、吞噬帶寬的BT類文件傳輸流量等，這些流量通常與接入用戶云oa應(yīng)用業(yè)務(wù)無關(guān)。

在這種情況下，接入用戶云oa發(fā)出的云oa流量圖式是非常不確定的。高端云oa難以獲知哪些流量是正常流量、哪些流量是不受歡迎的垃圾流量。

至此，我們也就明白了高端云oa運(yùn)營(yíng)維護(hù)時(shí)，需要應(yīng)對(duì)的主要安全問題：那就是，當(dāng)接入用戶云oa鏈路充斥著大量垃圾流量的時(shí)候，高端云oa的交換能力將受到直接挑戰(zhàn)，這種情況對(duì)接入客戶比較關(guān)注的正常業(yè)務(wù)服務(wù)質(zhì)量將造成嚴(yán)重影響。而DDoS等攻擊行為更在這一基礎(chǔ)上雪上加霜，最終導(dǎo)致了斷網(wǎng)和服務(wù)癱瘓的問題。

云oa安全管理策略安全管理+云oa系統(tǒng)

由于高端云oa強(qiáng)調(diào)的是向接入用戶云oa提供高度穩(wěn)定的云oa帶寬可用性，在高端云oa區(qū)域邊界點(diǎn)上進(jìn)行訪問控制設(shè)備、流量限制設(shè)備部署（如防火墻、流量管理設(shè)備）將直接造成兩個(gè)負(fù)面影響：一是人為增加了單一故障點(diǎn)，二是把高端云oa整體穩(wěn)定性直接拉低為防火墻或者DDoS過濾器等設(shè)備本身的穩(wěn)定性。因此，在高端云oa上部署串聯(lián)式控制設(shè)備顯然是非常不明智的，為保證高端云oa有限的帶寬資源能夠被合理使用，高端云oa運(yùn)維人員迫切需要一種旁路式的流量檢測(cè)分析系統(tǒng)來提供較為直觀的帶寬占用情況監(jiān)控能力。

不過需要注意的是，現(xiàn)有很多旁路監(jiān)測(cè)系統(tǒng)根本無法滿足高端云oa的流量分析需求，如IDS系統(tǒng)無法提供高速鏈路流量實(shí)時(shí)分析處理能力和云oa系統(tǒng)維護(hù)概念，云oa系統(tǒng)系統(tǒng)缺乏應(yīng)用層分析能力和異常行為檢測(cè)能力等，都不能滿足實(shí)際的應(yīng)用需求。

如果我們關(guān)注目前在該領(lǐng)域已經(jīng)獲得一定經(jīng)驗(yàn)的廠商，，對(duì)于高端云oa的防護(hù)運(yùn)維監(jiān)控，用戶在選擇時(shí)的重點(diǎn)，除了要注意大流量時(shí)的處理性能，與此同時(shí)，還應(yīng)該注意系統(tǒng)能夠?qū)⒘髁糠治?、?yīng)用檢測(cè)、行為判定等特征與云oa運(yùn)行管理傳統(tǒng)功能高度關(guān)聯(lián)。

從安全管理與云oa系統(tǒng)兩個(gè)層面雙管齊下，以全局性的骨干云oa運(yùn)行維護(hù)視角為實(shí)現(xiàn)大范圍的用戶服務(wù)質(zhì)量保證提供基礎(chǔ)支撐。這有這樣，才能找到高端云oa安全防護(hù)真正的解決之道。

【推薦閱讀】

◆云oa系統(tǒng)管理專區(qū)

◆解析云oa系統(tǒng)管理與BSM：IT部門的ERP

◆云oa系統(tǒng)管理系統(tǒng)是云oa系統(tǒng)部門績(jī)效考核的關(guān)鍵

◆BTIM運(yùn)維管理核心思想淺析

◆網(wǎng)管軟件專區(qū)