曾幾何時(shí)，IT經(jīng)理們可以把心放寬，因?yàn)樗麄兊挠脩�、�?jì)算機(jī)、數(shù)據(jù)和應(yīng)用程序都位于穩(wěn)健的局域網(wǎng)后面。在一個(gè)完美的世界里，IT部門寧愿簡(jiǎn)單地阻止所有來(lái)自傳統(tǒng)網(wǎng)絡(luò)邊界外的資源訪問(wèn)。然而，現(xiàn)代企業(yè)的做法已經(jīng)遠(yuǎn)遠(yuǎn)超越了傳統(tǒng)的網(wǎng)絡(luò)邊界。超越邊界的網(wǎng)絡(luò)所帶來(lái)的商業(yè)利益，以及企業(yè)員工對(duì)移動(dòng)技術(shù)的快速接受，使得傳統(tǒng)的硬化網(wǎng)絡(luò)模型功能顯得過(guò)時(shí)。如今，IT部門解決網(wǎng)絡(luò)安全的方式必須能夠超越網(wǎng)絡(luò)邊界來(lái)促成和擴(kuò)展業(yè)務(wù)。顯而易見，移動(dòng)員工數(shù)量的迅速增長(zhǎng)也反映了人們使用移動(dòng)設(shè)備數(shù)量的增加。提高生產(chǎn)率和節(jié)約成本是推動(dòng)智能設(shè)備增長(zhǎng)的最終動(dòng)力。隨著移動(dòng)員工數(shù)量的快速增長(zhǎng)，企業(yè)將要面臨的一個(gè)主要挑戰(zhàn)就是管理這些移動(dòng)設(shè)備，尤其是當(dāng)這些移動(dòng)設(shè)備用來(lái)訪問(wèn)企業(yè)網(wǎng)絡(luò)的時(shí)候。

　　網(wǎng)絡(luò)數(shù)據(jù)流不再只包含如電子郵件和網(wǎng)頁(yè)這樣只需存儲(chǔ)轉(zhuǎn)移和基于會(huì)話的應(yīng)用程序，或者傳統(tǒng)的客戶端/服務(wù)器應(yīng)用程序，而是已擴(kuò)展到包括實(shí)時(shí)協(xié)作工具、Web 2.0應(yīng)用程序、即時(shí)通訊、端到端應(yīng)用、網(wǎng)絡(luò)電話、流媒體和遠(yuǎn)程視訊會(huì)議。目前，大部分商業(yè)網(wǎng)絡(luò)數(shù)據(jù)流或源于或穿越位于企業(yè)網(wǎng)絡(luò)邊界外的外圍終端設(shè)備，這為不斷演化的網(wǎng)絡(luò)威脅打開了新的渠道。隨著進(jìn)入網(wǎng)絡(luò)的新途徑日益增多，被利益驅(qū)使的精明網(wǎng)絡(luò)攻擊犯罪者發(fā)動(dòng)了極為復(fù)雜的網(wǎng)絡(luò)攻擊，從而提升了數(shù)據(jù)被竊、系統(tǒng)當(dāng)機(jī)以及金錢被盜的風(fēng)險(xiǎn)，降低了生產(chǎn)率，消耗了帶寬。

　　如今，關(guān)鍵任務(wù)和敏感信息都在遠(yuǎn)程移動(dòng)終端設(shè)備上存儲(chǔ)和計(jì)算。IT部門需要采取措施，以確保數(shù)據(jù)能夠安全地流入和流出這些外部資源庫(kù)以及他們自己的企業(yè)數(shù)據(jù)中心。另外，BYOD(自帶設(shè)備)這種新的模式也存在復(fù)雜的風(fēng)險(xiǎn)/回報(bào)問(wèn)題。其中最大的威脅或許來(lái)自使用者自己，他們根據(jù)自己的愛好頻繁地使用移動(dòng)設(shè)備，但對(duì)于公司IT安全政策卻考慮得不多。

　　隨著數(shù)量的增加，移動(dòng)設(shè)備成為犯罪分子較為重要的攻擊目標(biāo)。那些困擾傳統(tǒng)計(jì)算機(jī)操作系統(tǒng)的威脅同樣會(huì)對(duì)智能手機(jī)和平板電腦產(chǎn)生影響，它們可以通過(guò)電子郵件、社交媒體網(wǎng)站、游戲、屏幕保護(hù)程序、即時(shí)消息以及幻燈片的傳播方式，或在某些情況下，通過(guò)冒牌的網(wǎng)址縮短服務(wù)，這種所謂的服務(wù)使虛假的重新鏈接更加難以確定。例如，有一份報(bào)告列舉了這樣一個(gè)事實(shí)，安卓手機(jī)用戶在2011年年中遇到惡意軟件的可能性是年初的2.5倍。由于智能手機(jī)和平板電腦是一個(gè)比電腦更貼心的通信渠道，使用者更容易與偽裝成個(gè)人通信的文件打交道。同樣，在智能手機(jī)的小型屏幕上，用戶也不容易發(fā)現(xiàn)假網(wǎng)站的線索，因此，移動(dòng)設(shè)備用戶點(diǎn)擊不安全鏈接的可能性達(dá)30%。

　　然而，更為嚴(yán)重的是，這不僅是一個(gè)安全問(wèn)題。移動(dòng)設(shè)備的頻繁使用正在給企業(yè)網(wǎng)絡(luò)資源造成越來(lái)越大的壓力，特別是當(dāng)用戶使用比如視頻這樣占用高帶寬的內(nèi)容時(shí)。根據(jù)IDC的研究結(jié)果，2010年，有109億個(gè)移動(dòng)應(yīng)用程序被下載(IDC預(yù)計(jì)，到2014年這個(gè)數(shù)字將增加到近769億個(gè))，它們每一個(gè)都是對(duì)企業(yè)安全的潛在威脅， 同時(shí)也是網(wǎng)絡(luò)性能的潛在障礙，這將會(huì)對(duì)公司的生產(chǎn)力和盈利能力產(chǎn)生直接的影響。這些因素加在一起給IT部門出了一道嚴(yán)肅的難題：一方面，智能手機(jī)和平板電腦功能強(qiáng)大且非常有用，能夠使用戶以全新的方式更為靈活和高效地工作，企業(yè)對(duì)此實(shí)在是無(wú)法忽略。另一方面，使用這些移動(dòng)設(shè)備也給安全性帶來(lái)了難題，給技術(shù)預(yù)算和資源增添了很大的壓力。

　　企業(yè)要想從移動(dòng)工作獲得最大的利益，他們就必須考慮可以給員工多大的訪問(wèn)權(quán)限，而不是限制。而這又意味著需要作一些重要的決定，比如這些移動(dòng)平臺(tái)在哪兒需要安全保障，以及如何為它們提供安全保障。這里有一個(gè)三層安全保障法可供企業(yè)以及那些負(fù)責(zé)安全保障(從技術(shù)角度)的人員采納：

　　·檢測(cè)傳統(tǒng)網(wǎng)絡(luò)邊界外的用戶、端點(diǎn)和信息流的完整性

　　·保護(hù)應(yīng)用程序和資源免遭未經(jīng)授權(quán)的訪問(wèn)和惡意攻擊

　　·將授權(quán)用戶無(wú)縫、輕松且實(shí)時(shí)地連接到適當(dāng)?shù)馁Y源

　　檢測(cè)端點(diǎn)、用戶和信息流的完整性

　　在授權(quán)訪問(wèn)一個(gè)干凈的VPN之前，SSL VPN技術(shù)可以啟動(dòng)對(duì)端點(diǎn)的質(zhì)詢，以確認(rèn)某些符合IT安全政策的必需特性是否存在(例如：操作系統(tǒng)、應(yīng)用程序、域成員、證書、文件、抗病毒軟件、反間諜軟件以及個(gè)人防火墻等)。即便如此，當(dāng)連接是來(lái)自不受信任的端點(diǎn)如家用電腦或公用設(shè)備時(shí)，則可能存在破壞網(wǎng)絡(luò)的潛在惡意數(shù)據(jù)包，因?yàn)樵谶@些地方特定的安全應(yīng)用實(shí)際上難以執(zhí)行。通過(guò)將高性能的統(tǒng)一威脅管理技術(shù)(UTM)集成到SSL VPN，可以將所有的數(shù)據(jù)流在穿越資源邊界前掃描凈化。由于現(xiàn)代網(wǎng)絡(luò)攻擊可以通過(guò)數(shù)據(jù)包狀態(tài)檢測(cè)滲入，一個(gè)干凈VPN的 UTM組件應(yīng)能夠?qū)φ麄�(gè)數(shù)據(jù)流進(jìn)行深度數(shù)據(jù)包檢測(cè)。

　　保護(hù)資源免遭未經(jīng)授權(quán)的訪問(wèn)和攻擊

　　隨著業(yè)務(wù)擴(kuò)展至超越了傳統(tǒng)局域網(wǎng)的邊界，IT部門不再擁有確保企業(yè)數(shù)據(jù)安全的最終決定權(quán)。多數(shù)私人和公共部門必須遵守政府和行業(yè)法規(guī)，保護(hù)敏感數(shù)據(jù)資源的安全，不然他們將會(huì)受到巨額罰款或業(yè)務(wù)受限的處罰。一個(gè)干凈的VPN可以通過(guò)強(qiáng)制認(rèn)證、數(shù)據(jù)加密、精細(xì)訪問(wèn)策略和網(wǎng)關(guān)威脅防護(hù)來(lái)保護(hù)資源。一個(gè)有效的干凈的VPN策略工具應(yīng)根據(jù)每個(gè)遠(yuǎn)程用戶和端點(diǎn)設(shè)備的可信任度來(lái)控制其訪問(wèn)權(quán)，以及根據(jù)每個(gè)用戶被授權(quán)訪問(wèn)哪些應(yīng)用程序來(lái)控制其訪問(wèn)權(quán)。該工具應(yīng)根據(jù)終端是否是受全面IT管理的設(shè)備，來(lái)執(zhí)行不同的訪問(wèn)政策。雖然訪問(wèn)控制對(duì)于保護(hù)資源至關(guān)重要，但即使是最縝密的訪問(wèn)控制，也可能會(huì)受到超級(jí)精密的犯罪攻擊以及不斷變化的網(wǎng)絡(luò)威脅的危害。一個(gè)干凈VPN的最佳策略是在資源周圍增加一層可以提供自動(dòng)更新的反病毒軟件、反間諜軟件、入侵防御軟件和內(nèi)容過(guò)濾軟件的全面UTM防火墻保護(hù)。

　　將用戶實(shí)時(shí)便捷地連接到資源

　　理想情況下，一個(gè)干凈VPN的設(shè)計(jì)應(yīng)能夠根據(jù)設(shè)備質(zhì)詢、用戶認(rèn)證及訪問(wèn)策略，智能化和無(wú)縫地將用戶連接到授權(quán)訪問(wèn)的資源，同時(shí)使用適合于特定端點(diǎn)設(shè)備(例如，筆記本電腦、PDA、智能手機(jī)和酒店公用亭等)的訪問(wèn)方法和接口。為了防止出現(xiàn)性能瓶頸，一個(gè)干凈VPN的配置必須能夠平衡系統(tǒng)性能和流量政策的執(zhí)行。 UTM防火墻組件應(yīng)能在系統(tǒng)出現(xiàn)任何帶寬異常時(shí)提醒管理員，推斷出訪問(wèn)政策遭到濫用，并觸發(fā)適當(dāng)?shù)氖褂孟拗�。任何干凈的VPN環(huán)境必須利用超高性能的架構(gòu)設(shè)計(jì)，如多核處理器平臺(tái)，以便能夠?qū)崟r(shí)對(duì)帶寬密集型移動(dòng)數(shù)據(jù)流進(jìn)行全面掃描，不讓網(wǎng)絡(luò)吞吐能力受到阻礙。

　　很顯然，智能手機(jī)和筆記本電腦已經(jīng)成為公司、學(xué)術(shù)機(jī)構(gòu)和政府實(shí)體事實(shí)上的網(wǎng)絡(luò)端點(diǎn)。在這些移動(dòng)設(shè)備的安全管理上，IT部門必須了解筆記本電腦和智能手機(jī)平臺(tái)之間的差異以及相似之處。了解了這些區(qū)別后，IT部門就可以應(yīng)用最佳做法以確保企業(yè)通信的保密性和安全性 - 無(wú)論是在企業(yè)網(wǎng)絡(luò)邊界的哪一側(cè)，也無(wú)論是來(lái)自什么樣的通信端點(diǎn)。

　　企業(yè)網(wǎng)絡(luò)邊界外的訪問(wèn)安全：

　　1.建立反向網(wǎng)頁(yè)代理：通過(guò)提供標(biāo)準(zhǔn)的網(wǎng)頁(yè)瀏覽器訪問(wèn)網(wǎng)絡(luò)資源，反向代理可以驗(yàn)證和加密基于網(wǎng)頁(yè)的網(wǎng)絡(luò)資源訪問(wèn)。反向代理在為筆記本電腦和智能手機(jī)提供訪問(wèn)時(shí)，不會(huì)過(guò)問(wèn)是何種平臺(tái)，從而最大限度地減少部署開支。

　　2.建立SSL VPN通道：基于代理程序的加密SSL VPN通道為筆記本電腦和智能手機(jī)增加了便捷的“辦公室”網(wǎng)絡(luò)層訪問(wèn)通道，以訪問(wèn)關(guān)鍵的客戶端 - 服務(wù)器資源。

　　3.建立筆記本電腦終端控制：為了幫助受管理和不受管理的Windows、Macintosh和Linux筆記本電腦建立和實(shí)施可接受的安全政策，端點(diǎn)控制可以確定安全應(yīng)用程序存在與否，并根據(jù)安全政策和用戶身份來(lái)允許、隔離或拒絕訪問(wèn)。以上所述對(duì)于筆記本電腦來(lái)說(shuō)非常重要，但對(duì)于智能手機(jī)就不那么重要，原因是由于其配送環(huán)境都是白名單應(yīng)用程序。

　　4.為筆記本電腦創(chuàng)建一個(gè)安全的虛擬桌面電腦環(huán)境：安全虛擬桌面環(huán)境可以防止

　　用戶將敏感數(shù)據(jù)遺留在不受管理的Windows筆記本電腦上。

　　5.為筆記本電腦的高速緩存應(yīng)用清潔技術(shù)：當(dāng)用戶關(guān)閉瀏覽器后，高速緩存清潔可以從筆記本電腦去除所有追蹤信息。

　　6.用下一代防火墻(NGFW)掃描過(guò)濾VPN信息流：筆記本電腦和智能手機(jī)都可能成為惡意軟件跨越網(wǎng)絡(luò)邊界的通道，甚至是通過(guò)WiFi或3G/4G連接。采用NGFW集成部署，就可以建立一個(gè)清潔的VPN來(lái)解密并掃描過(guò)濾所有的內(nèi)容。 NGFW網(wǎng)關(guān)的安全措施(抗病毒軟件/反間諜軟件，入侵預(yù)防服務(wù))可以在危險(xiǎn)數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)前消除其威脅。

　　7.為筆記本電腦和智能手機(jī)增加嚴(yán)格的身份驗(yàn)證：一個(gè)有效的安全解決方案

　　應(yīng)無(wú)縫集成標(biāo)準(zhǔn)驗(yàn)證方法，如雙因素身份驗(yàn)證和一次性密碼驗(yàn)證。

　　網(wǎng)絡(luò)邊界內(nèi)部的訪問(wèn)安全：

　　8.掃描通過(guò)NGFW的WiFi數(shù)據(jù)流：將NGFW與802.11 a / b / g/ n無(wú)線連接協(xié)議加以集成，為網(wǎng)絡(luò)邊界內(nèi)的用戶創(chuàng)建一個(gè)“清潔無(wú)線”網(wǎng)絡(luò)。

　　9.控制應(yīng)用流量：一般情況下，移動(dòng)設(shè)備應(yīng)用程序要么是關(guān)鍵業(yè)務(wù)解決方案，要么是個(gè)人消遣應(yīng)用程序。一個(gè)具有應(yīng)用智能、訪問(wèn)控制和可視化的清潔VPN解決方案，可以讓IT部門能夠定義和實(shí)施如何使用應(yīng)用程序和帶寬資產(chǎn)的政策。

　　10.防止數(shù)據(jù)泄漏：數(shù)據(jù)泄漏保護(hù)可以掃描出站數(shù)據(jù)流以阻止保密內(nèi)容的泄漏。

　　11.阻止不適當(dāng)?shù)木W(wǎng)頁(yè)訪問(wèn)：內(nèi)容過(guò)濾可以幫助移動(dòng)用戶遵守監(jiān)管法規(guī)以確保友善的網(wǎng)絡(luò)環(huán)境。

　　12.阻止僵尸網(wǎng)絡(luò)攻擊的流出：反惡意軟件可以識(shí)別和阻止從連接到網(wǎng)絡(luò)的移動(dòng)設(shè)備向外發(fā)出僵尸網(wǎng)絡(luò)攻擊

　　移動(dòng)設(shè)備的廣泛應(yīng)用給IT部門帶來(lái)了全新的挑戰(zhàn)。其中的一個(gè)就是如果IT部門采用過(guò)于嚴(yán)格的安全政策，實(shí)際上則可能會(huì)對(duì)公司業(yè)務(wù)造成傷害，而不是起到促進(jìn)作用。當(dāng)然，解決方案就是加強(qiáng)安全性管理。然而，神奇之處在于IT部門部署的安全措施既要起到保護(hù)作用，又不應(yīng)成為一個(gè)障礙。解決方案就是增加安全性，讓這些新設(shè)備所帶來(lái)的便利能夠促進(jìn)業(yè)務(wù)，而不是阻礙業(yè)務(wù)發(fā)展。


【轉(zhuǎn)載自IT專家網(wǎng)】http://security.ctocio.com.cn/244/12347744.shtml

億恩科技www.enidc.com 做IDC13年了是華北和華中地區(qū)最大的IDC之一。

E5200 2G 160G硬盤 100M獨(dú)享帶寬
電信機(jī)房?jī)H需1299元/月
網(wǎng)通機(jī)房?jī)H需1499元/月

服務(wù)器租用/托管/機(jī)柜/大帶寬VIP售前銷售 億恩-藍(lán)天QQ:89287750 電話：0371-60135992