如今,计算机网络已经没有了界限。这要从几年前说起。那时,那些频繁出差的“战士”背着沉重的笔记本为了客户信息或者重要施工图或者其它必要的信息资源而登录销售或者工作站点。后来,无线和宽带网络又延伸到了宾馆、机场、星巴克咖啡馆等等许多地方,移动办公的经理人也开始登录网络阅读他们的电子邮件或者为了明天的会议访问他们需要的年终数据。
现在,大多数在写字楼工作的白领阶层有时候会从他们家中的电脑上展开工作。人们从各种可能的地方登录网络,所涉及的设备从笔记本到PDA、从移动电话到公用电话亭,从这里都在访问你的公司的机密数据。
最后,就像所有其它网络方面的问题以及信息安全一样,它也使用多层次和全面的性能评估保护模式来提供安全可信度。除了明显到安全通道外,第一层必须建立在终端上,它必须在适当的地方提供基本的安全措施(比如防病毒、防火墙以及其它针对恶意软件的保护措施);第二层应该建立在网关上,在这一层,在合适的地方应该包含一个组件,在同意网络访问之前能够对终端进行可靠询问,以确保这条基线的安全。最后,所有这一切取决于另一个保护层,就是网络访问和终端安全策略自身。
终端询问
SSL VPN能够安全地处理接入是能够知道谁在哪里发起了请求为基础的。在某种程度上说,SSL VPN厂商能够对一些东西进行检测,比如有没有反病毒产品、个人防火墙、他们上次的更新以及他们以前是否遇到了一个值得信赖的产品供应商。大多数还能够检测你的操作系统类型、版本以及打补丁的级别、浏览器的版本和打补丁级别、SSL密码标准以及许多其它的参数。不管怎么说,所做的这些工作,把VPN与一些新的产品集成到了一起,通过终端安全策略执行这样的市场分析来进行登记划分。
据市场研究公司Stratecast Partners所言,ESPE市场是不成熟的,是变化中的,它的结果主要取决于Cisco和Microsoft开发的产品是否能够互用。根据报告,Cisco的网络接入控制在市场上处于劣势。微软的网络接入保护,是要内嵌在Vista操作系统中的,目前也已经在市场上可以见到。与此同时,其它提供终端安全解决方案的厂商也不甘示弱,其中包括Check Point公司的全面访问保护(Total Access Protection,TAP)、ENDFORCE公司的ENDFORCE Enterprise、InfoExpress公司的CyberGatekeeper、Senforce公司的Endpoint Security Suite以及Sygate/Symantec公司的Secure Enterprise等等。
问题在于,大多数的这些销售商只支持一种或者两种反病毒软件,或者仅能支持一些厂商的个人防火墙,而且还需要在每一个设备上安装定制代码或者预安装软件,才能够获得大部分的保护。这样,如何针对那些不能够支持的设备进行测试呢?那些数以百计的安全应用程序能够胜任吗?为了满足真正的市场需求,销售商的产品需要能够与运行在各种操作系统各种类型设备上的安全产品一样,而不管它们是否是远程的、无线的还是本地的网络。
你准备加强什么?
仅仅制定这些策略就使工作很难进行。为了展开工作,你必须知道谁在远程访问你的网络,也得知道他们在获取什么资源。大部分的这些操作可以通过监视网络流量知道,还需要与营业部领导人讨论来了解他们的用户的习惯等。这就能够让你获取相关的信息,知道什么类型的设备在请求访问(无线移动设备、固定家用电脑等等),知道他们最习惯于从哪里连接。由此,你就可以开始形成围绕时间和访问地点的基线策略,你也能够为不同类型的设备制定访问策略。
远程访问是不会停止的,因为我们知道商业是竞争的。勇不停息奔波在旅途中的销售团队和主管人员,他们可以从旅馆、消费者网络、无线网络以及候机大厅中通过可靠的VPN连接一如既往地进行工作。完成这一切需要进行大量的工作,需要基础结构和策略层,以及正在进行的对终端用户的培训。如果计划和执行计划都是正确的,远程访问将会更有竞争优势,这样也不用在已经很好保护的企业网络中再带来新的风险。