善于利用安全解决方案附带功能

和其他负责企业网络安全的管理者一样，我的工作也是使用正确的工具去预防特定的攻击。但是有时候你会发现，针对某类防护目的的工具还会给其它方面的工作带来便利。

大约两年前，我们安装了一个Web过滤器，用来防止用户访问某些类型的网站。我们希望实现的效果是防止企业员工访问一些会对工作情绪造成影响的网站（比如色情网站或者暴力网站）以及那些可能含有恶意代码的网站。这个过滤器达到了我们所期待的效果。

最近，人力资源部门的人要求我们检查其他部门的上网行为。换句话说，他们希望了解其他部门是否有人经常访问非法站点。通过这种方式也可以有助于发现本部门是否有雇员访问这些网站。虽然大部分不良网站都已经被我们屏蔽，但是从网站发布到我们将其添加到过滤列表，还是有一定时间差的。

这个任务实现起来相当简单，因为我们之前应用的Web过滤器在阻挡站点的同时就可以记录下站点的URL，访问站点的计算机名字和IP地址，日期，时间以及其他基本信息。我只需要开发一个小脚本来提取日志内容并报告可能的滥用行为就可以了。当我们应用了这个新的脚本，发现它除了可以很好的完成我们所希望的工作，还给我们带来了一些新的信息。

我们发现企业网络中有一些工作站在一周的时间内对某些恶意网站的访问次数多大1000余次，有一台工作站对某个恶意网站的访问次数竟然达到了5000多次。对恶意网站分析后我们发现每个网站都含有恶意代码。而内部网络中的这些工作站都是定期发送连接请求的，没个请求的间隔时间为1.5秒。所有这些现象都告诉我们，这些工作站都已经被某种恶意软件或病毒入侵了。好在这种问题并不是大规模的，我们在2万多台工作站中只发现了不到10台工作站有这种问题。但是这个问题也让我们意识到了，任何防护措施都不是百分百有效的。

我们已经实施了自动化的主动修补程序，反病毒软件也是集中管理的，厂商提供的最新病毒库基本上是第一时间被发布到各个工作站上。同时我们应用了来自不同厂商的至少三套垃圾邮件过滤解决方案。最后，受感染的系统还可以通过本地服务防止恶意代码执行，包括间谍软件。我们有了以上这些安全措施，但是仍然有一小部分工作站被感染了，并且按照我们日常的安全检测方法无法及时发现这些问题系统。

我写本文的目的并不是要讨论如何部署安全解决方案，而是想说，我们经常会为了某一目的而实施一个安全项目，这看上去好像是一个独立的项目，但是如果你能够发现它在其它方面的应用，也许可以成为企业安全屏障中的一个有利工具。在我的例子里，一个本来是用来过滤恶意网站的工具最后却帮助我们发现了内部网络中受感染的系统，这不得不说是安全工具带来的额外功能。