曾幾何時，IT經(jīng)理們可以把心放寬，因為他們的用戶、計算機(jī)、數(shù)據(jù)和應(yīng)用程序都位于穩(wěn)健的局域網(wǎng)后面。在一個完美的世界里，IT部門寧愿簡單地阻止所有來自傳統(tǒng)網(wǎng)絡(luò)邊界外的資源訪問。然而，現(xiàn)代企業(yè)的做法已經(jīng)遠(yuǎn)遠(yuǎn)超越了傳統(tǒng)的網(wǎng)絡(luò)邊界。超越邊界的網(wǎng)絡(luò)所帶來的商業(yè)利益，以及企業(yè)員工對移動技術(shù)的快速接受，使得傳統(tǒng)的硬化網(wǎng)絡(luò)模型功能顯得過時。如今，IT部門解決網(wǎng)絡(luò)安全的方式必須能夠超越網(wǎng)絡(luò)邊界來促成和擴(kuò)展業(yè)務(wù)。顯而易見，移動員工數(shù)量的迅速增長也反映了人們使用移動設(shè)備數(shù)量的增加。提高生產(chǎn)率和節(jié)約成本是推動智能設(shè)備增長的最終動力。隨著移動員工數(shù)量的快速增長，企業(yè)將要面臨的一個主要挑戰(zhàn)就是管理這些移動設(shè)備，尤其是當(dāng)這些移動設(shè)備用來訪問企業(yè)網(wǎng)絡(luò)的時候。

　　網(wǎng)絡(luò)數(shù)據(jù)流不再只包含如電子郵件和網(wǎng)頁這樣只需存儲轉(zhuǎn)移和基于會話的應(yīng)用程序，或者傳統(tǒng)的客戶端/服務(wù)器應(yīng)用程序，而是已擴(kuò)展到包括實(shí)時協(xié)作工具、Web 2.0應(yīng)用程序、即時通訊、端到端應(yīng)用、網(wǎng)絡(luò)電話、流媒體和遠(yuǎn)程視訊會議。目前，大部分商業(yè)網(wǎng)絡(luò)數(shù)據(jù)流或源于或穿越位于企業(yè)網(wǎng)絡(luò)邊界外的外圍終端設(shè)備，這為不斷演化的網(wǎng)絡(luò)威脅打開了新的渠道。隨著進(jìn)入網(wǎng)絡(luò)的新途徑日益增多，被利益驅(qū)使的精明網(wǎng)絡(luò)攻擊犯罪者發(fā)動了極為復(fù)雜的網(wǎng)絡(luò)攻擊，從而提升了數(shù)據(jù)被竊、系統(tǒng)當(dāng)機(jī)以及金錢被盜的風(fēng)險，降低了生產(chǎn)率，消耗了帶寬。

　　如今，關(guān)鍵任務(wù)和敏感信息都在遠(yuǎn)程移動終端設(shè)備上存儲和計算。IT部門需要采取措施，以確保數(shù)據(jù)能夠安全地流入和流出這些外部資源庫以及他們自己的企業(yè)數(shù)據(jù)中心。另外，BYOD(自帶設(shè)備)這種新的模式也存在復(fù)雜的風(fēng)險/回報問題。其中最大的威脅或許來自使用者自己，他們根據(jù)自己的愛好頻繁地使用移動設(shè)備，但對于公司IT安全政策卻考慮得不多。

　　隨著數(shù)量的增加，移動設(shè)備成為犯罪分子較為重要的攻擊目標(biāo)。那些困擾傳統(tǒng)計算機(jī)操作系統(tǒng)的威脅同樣會對智能手機(jī)和平板電腦產(chǎn)生影響，它們可以通過電子郵件、社交媒體網(wǎng)站、游戲、屏幕保護(hù)程序、即時消息以及幻燈片的傳播方式，或在某些情況下，通過冒牌的網(wǎng)址縮短服務(wù)，這種所謂的服務(wù)使虛假的重新鏈接更加難以確定。例如，有一份報告列舉了這樣一個事實(shí)，安卓手機(jī)用戶在2011年年中遇到惡意軟件的可能性是年初的2.5倍。由于智能手機(jī)和平板電腦是一個比電腦更貼心的通信渠道，使用者更容易與偽裝成個人通信的文件打交道。同樣，在智能手機(jī)的小型屏幕上，用戶也不容易發(fā)現(xiàn)假網(wǎng)站的線索，因此，移動設(shè)備用戶點(diǎn)擊不安全鏈接的可能性達(dá)30%。

　　然而，更為嚴(yán)重的是，這不僅是一個安全問題。移動設(shè)備的頻繁使用正在給企業(yè)網(wǎng)絡(luò)資源造成越來越大的壓力，特別是當(dāng)用戶使用比如視頻這樣占用高帶寬的內(nèi)容時。根據(jù)IDC的研究結(jié)果，2010年，有109億個移動應(yīng)用程序被下載(IDC預(yù)計，到2014年這個數(shù)字將增加到近769億個)，它們每一個都是對企業(yè)安全的潛在威脅， 同時也是網(wǎng)絡(luò)性能的潛在障礙，這將會對公司的生產(chǎn)力和盈利能力產(chǎn)生直接的影響。這些因素加在一起給IT部門出了一道嚴(yán)肅的難題：一方面，智能手機(jī)和平板電腦功能強(qiáng)大且非常有用，能夠使用戶以全新的方式更為靈活和高效地工作，企業(yè)對此實(shí)在是無法忽略。另一方面，使用這些移動設(shè)備也給安全性帶來了難題，給技術(shù)預(yù)算和資源增添了很大的壓力。

　　企業(yè)要想從移動工作獲得最大的利益，他們就必須考慮可以給員工多大的訪問權(quán)限，而不是限制。而這又意味著需要作一些重要的決定，比如這些移動平臺在哪兒需要安全保障，以及如何為它們提供安全保障。這里有一個三層安全保障法可供企業(yè)以及那些負(fù)責(zé)安全保障(從技術(shù)角度)的人員采納：

　　·檢測傳統(tǒng)網(wǎng)絡(luò)邊界外的用戶、端點(diǎn)和信息流的完整性

　　·保護(hù)應(yīng)用程序和資源免遭未經(jīng)授權(quán)的訪問和惡意攻擊

　　·將授權(quán)用戶無縫、輕松且實(shí)時地連接到適當(dāng)?shù)馁Y源

　　檢測端點(diǎn)、用戶和信息流的完整性

　　在授權(quán)訪問一個干凈的VPN之前，SSL VPN技術(shù)可以啟動對端點(diǎn)的質(zhì)詢，以確認(rèn)某些符合IT安全政策的必需特性是否存在(例如：操作系統(tǒng)、應(yīng)用程序、域成員、證書、文件、抗病毒軟件、反間諜軟件以及個人防火墻等)。即便如此，當(dāng)連接是來自不受信任的端點(diǎn)如家用電腦或公用設(shè)備時，則可能存在破壞網(wǎng)絡(luò)的潛在惡意數(shù)據(jù)包，因為在這些地方特定的安全應(yīng)用實(shí)際上難以執(zhí)行。通過將高性能的統(tǒng)一威脅管理技術(shù)(UTM)集成到SSL VPN，可以將所有的數(shù)據(jù)流在穿越資源邊界前掃描凈化。由于現(xiàn)代網(wǎng)絡(luò)攻擊可以通過數(shù)據(jù)包狀態(tài)檢測滲入，一個干凈VPN的 UTM組件應(yīng)能夠?qū)φ麄�數(shù)據(jù)流進(jìn)行深度數(shù)據(jù)包檢測。

　　保護(hù)資源免遭未經(jīng)授權(quán)的訪問和攻擊

　　隨著業(yè)務(wù)擴(kuò)展至超越了傳統(tǒng)局域網(wǎng)的邊界，IT部門不再擁有確保企業(yè)數(shù)據(jù)安全的最終決定權(quán)。多數(shù)私人和公共部門必須遵守政府和行業(yè)法規(guī)，保護(hù)敏感數(shù)據(jù)資源的安全，不然他們將會受到巨額罰款或業(yè)務(wù)受限的處罰。一個干凈的VPN可以通過強(qiáng)制認(rèn)證、數(shù)據(jù)加密、精細(xì)訪問策略和網(wǎng)關(guān)威脅防護(hù)來保護(hù)資源。一個有效的干凈的VPN策略工具應(yīng)根據(jù)每個遠(yuǎn)程用戶和端點(diǎn)設(shè)備的可信任度來控制其訪問權(quán)，以及根據(jù)每個用戶被授權(quán)訪問哪些應(yīng)用程序來控制其訪問權(quán)。該工具應(yīng)根據(jù)終端是否是受全面IT管理的設(shè)備，來執(zhí)行不同的訪問政策。雖然訪問控制對于保護(hù)資源至關(guān)重要，但即使是最縝密的訪問控制，也可能會受到超級精密的犯罪攻擊以及不斷變化的網(wǎng)絡(luò)威脅的危害。一個干凈VPN的最佳策略是在資源周圍增加一層可以提供自動更新的反病毒軟件、反間諜軟件、入侵防御軟件和內(nèi)容過濾軟件的全面UTM防火墻保護(hù)。

　　將用戶實(shí)時便捷地連接到資源

　　理想情況下，一個干凈VPN的設(shè)計應(yīng)能夠根據(jù)設(shè)備質(zhì)詢、用戶認(rèn)證及訪問策略，智能化和無縫地將用戶連接到授權(quán)訪問的資源，同時使用適合于特定端點(diǎn)設(shè)備(例如，筆記本電腦、PDA、智能手機(jī)和酒店公用亭等)的訪問方法和接口。為了防止出現(xiàn)性能瓶頸，一個干凈VPN的配置必須能夠平衡系統(tǒng)性能和流量政策的執(zhí)行。 UTM防火墻組件應(yīng)能在系統(tǒng)出現(xiàn)任何帶寬異常時提醒管理員，推斷出訪問政策遭到濫用，并觸發(fā)適當(dāng)?shù)氖褂孟拗�。任何干凈的VPN環(huán)境必須利用超高性能的架構(gòu)設(shè)計，如多核處理器平臺，以便能夠?qū)崟r對帶寬密集型移動數(shù)據(jù)流進(jìn)行全面掃描，不讓網(wǎng)絡(luò)吞吐能力受到阻礙。

　　很顯然，智能手機(jī)和筆記本電腦已經(jīng)成為公司、學(xué)術(shù)機(jī)構(gòu)和政府實(shí)體事實(shí)上的網(wǎng)絡(luò)端點(diǎn)。在這些移動設(shè)備的安全管理上，IT部門必須了解筆記本電腦和智能手機(jī)平臺之間的差異以及相似之處。了解了這些區(qū)別后，IT部門就可以應(yīng)用最佳做法以確保企業(yè)通信的保密性和安全性 - 無論是在企業(yè)網(wǎng)絡(luò)邊界的哪一側(cè)，也無論是來自什么樣的通信端點(diǎn)。

　　企業(yè)網(wǎng)絡(luò)邊界外的訪問安全：

　　1.建立反向網(wǎng)頁代理：通過提供標(biāo)準(zhǔn)的網(wǎng)頁瀏覽器訪問網(wǎng)絡(luò)資源，反向代理可以驗證和加密基于網(wǎng)頁的網(wǎng)絡(luò)資源訪問。反向代理在為筆記本電腦和智能手機(jī)提供訪問時，不會過問是何種平臺，從而最大限度地減少部署開支。

　　2.建立SSL VPN通道：基于代理程序的加密SSL VPN通道為筆記本電腦和智能手機(jī)增加了便捷的“辦公室”網(wǎng)絡(luò)層訪問通道，以訪問關(guān)鍵的客戶端 - 服務(wù)器資源。

　　3.建立筆記本電腦終端控制：為了幫助受管理和不受管理的Windows、Macintosh和Linux筆記本電腦建立和實(shí)施可接受的安全政策，端點(diǎn)控制可以確定安全應(yīng)用程序存在與否，并根據(jù)安全政策和用戶身份來允許、隔離或拒絕訪問。以上所述對于筆記本電腦來說非常重要，但對于智能手機(jī)就不那么重要，原因是由于其配送環(huán)境都是白名單應(yīng)用程序。

　　4.為筆記本電腦創(chuàng)建一個安全的虛擬桌面電腦環(huán)境：安全虛擬桌面環(huán)境可以防止

　　用戶將敏感數(shù)據(jù)遺留在不受管理的Windows筆記本電腦上。

　　5.為筆記本電腦的高速緩存應(yīng)用清潔技術(shù)：當(dāng)用戶關(guān)閉瀏覽器后，高速緩存清潔可以從筆記本電腦去除所有追蹤信息。

　　6.用下一代防火墻(NGFW)掃描過濾VPN信息流：筆記本電腦和智能手機(jī)都可能成為惡意軟件跨越網(wǎng)絡(luò)邊界的通道，甚至是通過WiFi或3G/4G連接。采用NGFW集成部署，就可以建立一個清潔的VPN來解密并掃描過濾所有的內(nèi)容。 NGFW網(wǎng)關(guān)的安全措施(抗病毒軟件/反間諜軟件，入侵預(yù)防服務(wù))可以在危險數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)前消除其威脅。

　　7.為筆記本電腦和智能手機(jī)增加嚴(yán)格的身份驗證：一個有效的安全解決方案

　　應(yīng)無縫集成標(biāo)準(zhǔn)驗證方法，如雙因素身份驗證和一次性密碼驗證。

　　網(wǎng)絡(luò)邊界內(nèi)部的訪問安全：

　　8.掃描通過NGFW的WiFi數(shù)據(jù)流：將NGFW與802.11 a / b / g/ n無線連接協(xié)議加以集成，為網(wǎng)絡(luò)邊界內(nèi)的用戶創(chuàng)建一個“清潔無線”網(wǎng)絡(luò)。

　　9.控制應(yīng)用流量：一般情況下，移動設(shè)備應(yīng)用程序要么是關(guān)鍵業(yè)務(wù)解決方案，要么是個人消遣應(yīng)用程序。一個具有應(yīng)用智能、訪問控制和可視化的清潔VPN解決方案，可以讓IT部門能夠定義和實(shí)施如何使用應(yīng)用程序和帶寬資產(chǎn)的政策。

　　10.防止數(shù)據(jù)泄漏：數(shù)據(jù)泄漏保護(hù)可以掃描出站數(shù)據(jù)流以阻止保密內(nèi)容的泄漏。

　　11.阻止不適當(dāng)?shù)木W(wǎng)頁訪問：內(nèi)容過濾可以幫助移動用戶遵守監(jiān)管法規(guī)以確保友善的網(wǎng)絡(luò)環(huán)境。

　　12.阻止僵尸網(wǎng)絡(luò)攻擊的流出：反惡意軟件可以識別和阻止從連接到網(wǎng)絡(luò)的移動設(shè)備向外發(fā)出僵尸網(wǎng)絡(luò)攻擊

　　移動設(shè)備的廣泛應(yīng)用給IT部門帶來了全新的挑戰(zhàn)。其中的一個就是如果IT部門采用過于嚴(yán)格的安全政策，實(shí)際上則可能會對公司業(yè)務(wù)造成傷害，而不是起到促進(jìn)作用。當(dāng)然，解決方案就是加強(qiáng)安全性管理。然而，神奇之處在于IT部門部署的安全措施既要起到保護(hù)作用，又不應(yīng)成為一個障礙。解決方案就是增加安全性，讓這些新設(shè)備所帶來的便利能夠促進(jìn)業(yè)務(wù)，而不是阻礙業(yè)務(wù)發(fā)展。


【轉(zhuǎn)載自IT專家網(wǎng)】http://security.ctocio.com.cn/244/12347744.shtml

億恩科技www.enidc.com 做IDC13年了是華北和華中地區(qū)最大的IDC之一。

E5200 2G 160G硬盤 100M獨(dú)享帶寬
電信機(jī)房僅需1299元/月
網(wǎng)通機(jī)房僅需1499元/月

服務(wù)器租用/托管/機(jī)柜/大帶寬VIP售前銷售 億恩-藍(lán)天QQ:89287750 電話：0371-60135992