云oa安全管理策略：如何保护好云oa流量

云oa安全管理策略：如何保护好云oa流量？DDoS攻击是近年来导致云oa瘫痪和断网事件的主要罪魁祸首，甚至在百度贴吧上还存在“流量吧”，经常有人在上面交易“DDoS木马”，企图控制云oa流量。

云oa安全管理策略高端云oa的精髓

某工作人员说，在如今P2P、IM盛行的时代，对于局域网的流量管理、抑制、监测、溯源可谓八字箴言；而对于骨干云oa流量的管理，其精髓在于监测和溯源。

而如何追本溯源、应对和管理云oa异常流量呢？该内部人士介绍，对于异常流量管理这场遭遇战，可以说在电信行业早已打响，这可以追溯到2004年前后。经过近5年的发展，攻防的招术也几经变化，对于我们来说，从最初的串接式设备，诸如防火墙、DDoS过滤器；到云oa设备管理手段，如ACL列表、手动调整QoS流量整形策略，都不能很好的对云oa流量以及异常流量进行抑制、监测和溯源。

实际上，高端云oa和用户经常关注的普通企业云oa，在安全方面有很大区别，决不能照葫芦画瓢。东软云oa安全产品营销中心副总经理李青山说，用户通常所谈到的高端云oa，主要是指运营商业务承载类云oa和行业客户骨干链路系统。当然，随着业务系统的逐年扩大，部分企业云OA系统也越来越多的体现出高端云oa的特征，包括电信运营商围绕承载网而建设的支撑类云oa也逐步加入到高端云oa阵营。

由于高端云oa最根本的运维要点在于，如何向接入用户云oa提供满足要求的服务质量承诺，尤其是带宽和响应延迟指标。但是，接入用户云oa是作为一个完全的云oa对等体出现的，高端云oa无法确定该部分云oa区域究竟需要什么样的访问控制策略，因此在接入链路近端(高端云oa侧)无法设置访问控制点。

而另一方面，传统的安全建设都是在远端的接入云oa内部进行的，通常由接入单位出资建设并管理。其根本宗旨也仅局限于如何保障该接入云oa不受来自其他云oa的攻击，而从未考虑过。

如何防范该接入端云oa侵害高端云oa所连接的其他云oa部分，这就导致了接入用户云oa除了发起正常业务流量之外，各类桌面系统也同时发出大量随机流量，如仅用作个人通信的P2P流量、易感蠕虫病毒的传播流量、吞噬带宽的BT类文件传输流量等，这些流量通常与接入用户云oa应用业务无关。

在这种情况下，接入用户云oa发出的云oa流量图式是非常不确定的。高端云oa难以获知哪些流量是正常流量、哪些流量是不受欢迎的垃圾流量。

至此，我们也就明白了高端云oa运营维护时，需要应对的主要安全问题：那就是，当接入用户云oa链路充斥着大量垃圾流量的时候，高端云oa的交换能力将受到直接挑战，这种情况对接入客户比较关注的正常业务服务质量将造成严重影响。而DDoS等攻击行为更在这一基础上雪上加霜，最终导致了断网和服务瘫痪的问题。

云oa安全管理策略安全管理+云oa系统

由于高端云oa强调的是向接入用户云oa提供高度稳定的云oa带宽可用性，在高端云oa区域边界点上进行访问控制设备、流量限制设备部署（如防火墙、流量管理设备）将直接造成两个负面影响：一是人为增加了单一故障点，二是把高端云oa整体稳定性直接拉低为防火墙或者DDoS过滤器等设备本身的稳定性。因此，在高端云oa上部署串联式控制设备显然是非常不明智的，为保证高端云oa有限的带宽资源能够被合理使用，高端云oa运维人员迫切需要一种旁路式的流量检测分析系统来提供较为直观的带宽占用情况监控能力。

不过需要注意的是，现有很多旁路监测系统根本无法满足高端云oa的流量分析需求，如IDS系统无法提供高速链路流量实时分析处理能力和云oa系统维护概念，云oa系统系统缺乏应用层分析能力和异常行为检测能力等，都不能满足实际的应用需求。

如果我们关注目前在该领域已经获得一定经验的厂商，，对于高端云oa的防护运维监控，用户在选择时的重点，除了要注意大流量时的处理性能，与此同时，还应该注意系统能够将流量分析、应用检测、行为判定等特征与云oa运行管理传统功能高度关联。

从安全管理与云oa系统两个层面双管齐下，以全局性的骨干云oa运行维护视角为实现大范围的用户服务质量保证提供基础支撑。这有这样，才能找到高端云oa安全防护真正的解决之道。

【推荐阅读】

◆云oa系统管理专区

◆解析云oa系统管理与BSM：IT部门的ERP

◆云oa系统管理系统是云oa系统部门绩效考核的关键

◆BTIM运维管理核心思想浅析

◆网管软件专区