|
曾幾何時,IT經(jīng)理們可以把心放寬���,因為他們的用戶��、計算機�����、數(shù)據(jù)和應用程序都位于穩(wěn)健的局域網(wǎng)后面�。在一個完美的世界里,IT部門寧愿簡單地阻止所有來自傳統(tǒng)網(wǎng)絡(luò)邊界外的資源訪問���。然而�����,現(xiàn)代企業(yè)的做法已經(jīng)遠遠超越了傳統(tǒng)的網(wǎng)絡(luò)邊界����。超越邊界的網(wǎng)絡(luò)所帶來的商業(yè)利益�,以及企業(yè)員工對移動技術(shù)的快速接受,使得傳統(tǒng)的硬化網(wǎng)絡(luò)模型功能顯得過時�。如今,IT部門解決網(wǎng)絡(luò)安全的方式必須能夠超越網(wǎng)絡(luò)邊界來促成和擴展業(yè)務���。顯而易見,移動員工數(shù)量的迅速增長也反映了人們使用移動設(shè)備數(shù)量的增加����。提高生產(chǎn)率和節(jié)約成本是推動智能設(shè)備增長的最終動力。隨著移動員工數(shù)量的快速增長��,企業(yè)將要面臨的一個主要挑戰(zhàn)就是管理這些移動設(shè)備���,尤其是當這些移動設(shè)備用來訪問企業(yè)網(wǎng)絡(luò)的時候�����。
網(wǎng)絡(luò)數(shù)據(jù)流不再只包含如電子郵件和網(wǎng)頁這樣只需存儲轉(zhuǎn)移和基于會話的應用程序��,或者傳統(tǒng)的客戶端/服務器應用程序�,而是已擴展到包括實時協(xié)作工具、Web 2.0應用程序�、即時通訊、端到端應用���、網(wǎng)絡(luò)電話�����、流媒體和遠程視訊會議����。目前����,大部分商業(yè)網(wǎng)絡(luò)數(shù)據(jù)流或源于或穿越位于企業(yè)網(wǎng)絡(luò)邊界外的外圍終端設(shè)備,這為不斷演化的網(wǎng)絡(luò)威脅打開了新的渠道����。隨著進入網(wǎng)絡(luò)的新途徑日益增多�,被利益驅(qū)使的精明網(wǎng)絡(luò)攻擊犯罪者發(fā)動了極為復雜的網(wǎng)絡(luò)攻擊����,從而提升了數(shù)據(jù)被竊、系統(tǒng)當機以及金錢被盜的風險�,降低了生產(chǎn)率,消耗了帶寬�。
如今,關(guān)鍵任務和敏感信息都在遠程移動終端設(shè)備上存儲和計算�����。IT部門需要采取措施�����,以確保數(shù)據(jù)能夠安全地流入和流出這些外部資源庫以及他們自己的企業(yè)數(shù)據(jù)中心���。另外,BYOD(自帶設(shè)備)這種新的模式也存在復雜的風險/回報問題��。其中最大的威脅或許來自使用者自己�����,他們根據(jù)自己的愛好頻繁地使用移動設(shè)備,但對于公司IT安全政策卻考慮得不多�。
隨著數(shù)量的增加,移動設(shè)備成為犯罪分子較為重要的攻擊目標�。那些困擾傳統(tǒng)計算機操作系統(tǒng)的威脅同樣會對智能手機和平板電腦產(chǎn)生影響,它們可以通過電子郵件����、社交媒體網(wǎng)站、游戲�、屏幕保護程序、即時消息以及幻燈片的傳播方式�,或在某些情況下,通過冒牌的網(wǎng)址縮短服務�����,這種所謂的服務使虛假的重新鏈接更加難以確定���。例如����,有一份報告列舉了這樣一個事實�,安卓手機用戶在2011年年中遇到惡意軟件的可能性是年初的2.5倍��。由于智能手機和平板電腦是一個比電腦更貼心的通信渠道��,使用者更容易與偽裝成個人通信的文件打交道����。同樣��,在智能手機的小型屏幕上�,用戶也不容易發(fā)現(xiàn)假網(wǎng)站的線索,因此���,移動設(shè)備用戶點擊不安全鏈接的可能性達30%���。
然而,更為嚴重的是���,這不僅是一個安全問題����。移動設(shè)備的頻繁使用正在給企業(yè)網(wǎng)絡(luò)資源造成越來越大的壓力����,特別是當用戶使用比如視頻這樣占用高帶寬的內(nèi)容時。根據(jù)IDC的研究結(jié)果���,2010年��,有109億個移動應用程序被下載(IDC預計�,到2014年這個數(shù)字將增加到近769億個)�����,它們每一個都是對企業(yè)安全的潛在威脅�����, 同時也是網(wǎng)絡(luò)性能的潛在障礙���,這將會對公司的生產(chǎn)力和盈利能力產(chǎn)生直接的影響���。這些因素加在一起給IT部門出了一道嚴肅的難題:一方面,智能手機和平板電腦功能強大且非常有用��,能夠使用戶以全新的方式更為靈活和高效地工作�����,企業(yè)對此實在是無法忽略。另一方面���,使用這些移動設(shè)備也給安全性帶來了難題�,給技術(shù)預算和資源增添了很大的壓力��。
企業(yè)要想從移動工作獲得最大的利益�����,他們就必須考慮可以給員工多大的訪問權(quán)限��,而不是限制���。而這又意味著需要作一些重要的決定�,比如這些移動平臺在哪兒需要安全保障��,以及如何為它們提供安全保障��。這里有一個三層安全保障法可供企業(yè)以及那些負責安全保障(從技術(shù)角度)的人員采納:
·檢測傳統(tǒng)網(wǎng)絡(luò)邊界外的用戶��、端點和信息流的完整性
·保護應用程序和資源免遭未經(jīng)授權(quán)的訪問和惡意攻擊
·將授權(quán)用戶無縫�����、輕松且實時地連接到適當?shù)馁Y源
檢測端點、用戶和信息流的完整性
在授權(quán)訪問一個干凈的VPN之前��,SSL VPN技術(shù)可以啟動對端點的質(zhì)詢�,以確認某些符合IT安全政策的必需特性是否存在(例如:操作系統(tǒng)����、應用程序、域成員�、證書、文件�、抗病毒軟件、反間諜軟件以及個人防火墻等)�����。即便如此�����,當連接是來自不受信任的端點如家用電腦或公用設(shè)備時���,則可能存在破壞網(wǎng)絡(luò)的潛在惡意數(shù)據(jù)包�����,因為在這些地方特定的安全應用實際上難以執(zhí)行���。通過將高性能的統(tǒng)一威脅管理技術(shù)(UTM)集成到SSL VPN�,可以將所有的數(shù)據(jù)流在穿越資源邊界前掃描凈化��。由于現(xiàn)代網(wǎng)絡(luò)攻擊可以通過數(shù)據(jù)包狀態(tài)檢測滲入���,一個干凈VPN的 UTM組件應能夠?qū)φ麄數(shù)據(jù)流進行深度數(shù)據(jù)包檢測��。
保護資源免遭未經(jīng)授權(quán)的訪問和攻擊
隨著業(yè)務擴展至超越了傳統(tǒng)局域網(wǎng)的邊界���,IT部門不再擁有確保企業(yè)數(shù)據(jù)安全的最終決定權(quán)。多數(shù)私人和公共部門必須遵守政府和行業(yè)法規(guī)���,保護敏感數(shù)據(jù)資源的安全��,不然他們將會受到巨額罰款或業(yè)務受限的處罰���。一個干凈的VPN可以通過強制認證、數(shù)據(jù)加密�����、精細訪問策略和網(wǎng)關(guān)威脅防護來保護資源。一個有效的干凈的VPN策略工具應根據(jù)每個遠程用戶和端點設(shè)備的可信任度來控制其訪問權(quán)����,以及根據(jù)每個用戶被授權(quán)訪問哪些應用程序來控制其訪問權(quán)。該工具應根據(jù)終端是否是受全面IT管理的設(shè)備����,來執(zhí)行不同的訪問政策���。雖然訪問控制對于保護資源至關(guān)重要���,但即使是最縝密的訪問控制,也可能會受到超級精密的犯罪攻擊以及不斷變化的網(wǎng)絡(luò)威脅的危害����。一個干凈VPN的最佳策略是在資源周圍增加一層可以提供自動更新的反病毒軟件、反間諜軟件�、入侵防御軟件和內(nèi)容過濾軟件的全面UTM防火墻保護。
將用戶實時便捷地連接到資源
理想情況下��,一個干凈VPN的設(shè)計應能夠根據(jù)設(shè)備質(zhì)詢�、用戶認證及訪問策略��,智能化和無縫地將用戶連接到授權(quán)訪問的資源���,同時使用適合于特定端點設(shè)備(例如,筆記本電腦����、PDA、智能手機和酒店公用亭等)的訪問方法和接口����。為了防止出現(xiàn)性能瓶頸,一個干凈VPN的配置必須能夠平衡系統(tǒng)性能和流量政策的執(zhí)行�����。 UTM防火墻組件應能在系統(tǒng)出現(xiàn)任何帶寬異常時提醒管理員����,推斷出訪問政策遭到濫用,并觸發(fā)適當?shù)氖褂孟拗����。任何干凈的VPN環(huán)境必須利用超高性能的架構(gòu)設(shè)計,如多核處理器平臺���,以便能夠?qū)崟r對帶寬密集型移動數(shù)據(jù)流進行全面掃描��,不讓網(wǎng)絡(luò)吞吐能力受到阻礙��。
很顯然��,智能手機和筆記本電腦已經(jīng)成為公司�、學術(shù)機構(gòu)和政府實體事實上的網(wǎng)絡(luò)端點。在這些移動設(shè)備的安全管理上����,IT部門必須了解筆記本電腦和智能手機平臺之間的差異以及相似之處。了解了這些區(qū)別后�,IT部門就可以應用最佳做法以確保企業(yè)通信的保密性和安全性 - 無論是在企業(yè)網(wǎng)絡(luò)邊界的哪一側(cè)�,也無論是來自什么樣的通信端點。
企業(yè)網(wǎng)絡(luò)邊界外的訪問安全:
1.建立反向網(wǎng)頁代理:通過提供標準的網(wǎng)頁瀏覽器訪問網(wǎng)絡(luò)資源�,反向代理可以驗證和加密基于網(wǎng)頁的網(wǎng)絡(luò)資源訪問。反向代理在為筆記本電腦和智能手機提供訪問時�����,不會過問是何種平臺�����,從而最大限度地減少部署開支。
2.建立SSL VPN通道:基于代理程序的加密SSL VPN通道為筆記本電腦和智能手機增加了便捷的“辦公室”網(wǎng)絡(luò)層訪問通道�,以訪問關(guān)鍵的客戶端 - 服務器資源。
3.建立筆記本電腦終端控制:為了幫助受管理和不受管理的Windows�、Macintosh和Linux筆記本電腦建立和實施可接受的安全政策,端點控制可以確定安全應用程序存在與否��,并根據(jù)安全政策和用戶身份來允許�、隔離或拒絕訪問。以上所述對于筆記本電腦來說非常重要�����,但對于智能手機就不那么重要�����,原因是由于其配送環(huán)境都是白名單應用程序���。
4.為筆記本電腦創(chuàng)建一個安全的虛擬桌面電腦環(huán)境:安全虛擬桌面環(huán)境可以防止
用戶將敏感數(shù)據(jù)遺留在不受管理的Windows筆記本電腦上��。
5.為筆記本電腦的高速緩存應用清潔技術(shù):當用戶關(guān)閉瀏覽器后���,高速緩存清潔可以從筆記本電腦去除所有追蹤信息。
6.用下一代防火墻(NGFW)掃描過濾VPN信息流:筆記本電腦和智能手機都可能成為惡意軟件跨越網(wǎng)絡(luò)邊界的通道���,甚至是通過WiFi或3G/4G連接�����。采用NGFW集成部署�,就可以建立一個清潔的VPN來解密并掃描過濾所有的內(nèi)容。 NGFW網(wǎng)關(guān)的安全措施(抗病毒軟件/反間諜軟件����,入侵預防服務)可以在危險數(shù)據(jù)進入網(wǎng)絡(luò)前消除其威脅。
7.為筆記本電腦和智能手機增加嚴格的身份驗證:一個有效的安全解決方案
應無縫集成標準驗證方法���,如雙因素身份驗證和一次性密碼驗證�。
網(wǎng)絡(luò)邊界內(nèi)部的訪問安全:
8.掃描通過NGFW的WiFi數(shù)據(jù)流:將NGFW與802.11 a / b / g/ n無線連接協(xié)議加以集成�,為網(wǎng)絡(luò)邊界內(nèi)的用戶創(chuàng)建一個“清潔無線”網(wǎng)絡(luò)。
9.控制應用流量:一般情況下����,移動設(shè)備應用程序要么是關(guān)鍵業(yè)務解決方案��,要么是個人消遣應用程序����。一個具有應用智能��、訪問控制和可視化的清潔VPN解決方案�,可以讓IT部門能夠定義和實施如何使用應用程序和帶寬資產(chǎn)的政策��。
10.防止數(shù)據(jù)泄漏:數(shù)據(jù)泄漏保護可以掃描出站數(shù)據(jù)流以阻止保密內(nèi)容的泄漏��。
11.阻止不適當?shù)木W(wǎng)頁訪問:內(nèi)容過濾可以幫助移動用戶遵守監(jiān)管法規(guī)以確保友善的網(wǎng)絡(luò)環(huán)境����。
12.阻止僵尸網(wǎng)絡(luò)攻擊的流出:反惡意軟件可以識別和阻止從連接到網(wǎng)絡(luò)的移動設(shè)備向外發(fā)出僵尸網(wǎng)絡(luò)攻擊
移動設(shè)備的廣泛應用給IT部門帶來了全新的挑戰(zhàn)。其中的一個就是如果IT部門采用過于嚴格的安全政策���,實際上則可能會對公司業(yè)務造成傷害��,而不是起到促進作用���。當然,解決方案就是加強安全性管理�。然而,神奇之處在于IT部門部署的安全措施既要起到保護作用��,又不應成為一個障礙����。解決方案就是增加安全性�,讓這些新設(shè)備所帶來的便利能夠促進業(yè)務���,而不是阻礙業(yè)務發(fā)展�。
本文出自:億恩科技【mszdt.com】
服務器租用/服務器托管中國五強��!虛擬主機域名注冊頂級提供商�����!15年品質(zhì)保障�����!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
