曾幾何時，IT經理們可以把心放寬，因為他們的用戶、計算機、數(shù)據(jù)和應用程序都位于穩(wěn)健的局域網后面。在一個完美的世界里，IT部門寧愿簡單地阻止所有來自傳統(tǒng)網絡邊界外的資源訪問。然而，現(xiàn)代企業(yè)的做法已經遠遠超越了傳統(tǒng)的網絡邊界。超越邊界的網絡所帶來的商業(yè)利益，以及企業(yè)員工對移動技術的快速接受，使得傳統(tǒng)的硬化網絡模型功能顯得過時。如今，IT部門解決網絡安全的方式必須能夠超越網絡邊界來促成和擴展業(yè)務。顯而易見，移動員工數(shù)量的迅速增長也反映了人們使用移動設備數(shù)量的增加。提高生產率和節(jié)約成本是推動智能設備增長的最終動力。隨著移動員工數(shù)量的快速增長，企業(yè)將要面臨的一個主要挑戰(zhàn)就是管理這些移動設備，尤其是當這些移動設備用來訪問企業(yè)網絡的時候。

　　網絡數(shù)據(jù)流不再只包含如電子郵件和網頁這樣只需存儲轉移和基于會話的應用程序，或者傳統(tǒng)的客戶端/服務器應用程序，而是已擴展到包括實時協(xié)作工具、Web 2.0應用程序、即時通訊、端到端應用、網絡電話、流媒體和遠程視訊會議。目前，大部分商業(yè)網絡數(shù)據(jù)流或源于或穿越位于企業(yè)網絡邊界外的外圍終端設備，這為不斷演化的網絡威脅打開了新的渠道。隨著進入網絡的新途徑日益增多，被利益驅使的精明網絡攻擊犯罪者發(fā)動了極為復雜的網絡攻擊，從而提升了數(shù)據(jù)被竊、系統(tǒng)當機以及金錢被盜的風險，降低了生產率，消耗了帶寬。

　　如今，關鍵任務和敏感信息都在遠程移動終端設備上存儲和計算。IT部門需要采取措施，以確保數(shù)據(jù)能夠安全地流入和流出這些外部資源庫以及他們自己的企業(yè)數(shù)據(jù)中心。另外，BYOD(自帶設備)這種新的模式也存在復雜的風險/回報問題。其中最大的威脅或許來自使用者自己，他們根據(jù)自己的愛好頻繁地使用移動設備，但對于公司IT安全政策卻考慮得不多。

　　隨著數(shù)量的增加，移動設備成為犯罪分子較為重要的攻擊目標。那些困擾傳統(tǒng)計算機操作系統(tǒng)的威脅同樣會對智能手機和平板電腦產生影響，它們可以通過電子郵件、社交媒體網站、游戲、屏幕保護程序、即時消息以及幻燈片的傳播方式，或在某些情況下，通過冒牌的網址縮短服務，這種所謂的服務使虛假的重新鏈接更加難以確定。例如，有一份報告列舉了這樣一個事實，安卓手機用戶在2011年年中遇到惡意軟件的可能性是年初的2.5倍。由于智能手機和平板電腦是一個比電腦更貼心的通信渠道，使用者更容易與偽裝成個人通信的文件打交道。同樣，在智能手機的小型屏幕上，用戶也不容易發(fā)現(xiàn)假網站的線索，因此，移動設備用戶點擊不安全鏈接的可能性達30%。

　　然而，更為嚴重的是，這不僅是一個安全問題。移動設備的頻繁使用正在給企業(yè)網絡資源造成越來越大的壓力，特別是當用戶使用比如視頻這樣占用高帶寬的內容時。根據(jù)IDC的研究結果，2010年，有109億個移動應用程序被下載(IDC預計，到2014年這個數(shù)字將增加到近769億個)，它們每一個都是對企業(yè)安全的潛在威脅， 同時也是網絡性能的潛在障礙，這將會對公司的生產力和盈利能力產生直接的影響。這些因素加在一起給IT部門出了一道嚴肅的難題：一方面，智能手機和平板電腦功能強大且非常有用，能夠使用戶以全新的方式更為靈活和高效地工作，企業(yè)對此實在是無法忽略。另一方面，使用這些移動設備也給安全性帶來了難題，給技術預算和資源增添了很大的壓力。

　　企業(yè)要想從移動工作獲得最大的利益，他們就必須考慮可以給員工多大的訪問權限，而不是限制。而這又意味著需要作一些重要的決定，比如這些移動平臺在哪兒需要安全保障，以及如何為它們提供安全保障。這里有一個三層安全保障法可供企業(yè)以及那些負責安全保障(從技術角度)的人員采納：

　　·檢測傳統(tǒng)網絡邊界外的用戶、端點和信息流的完整性

　　·保護應用程序和資源免遭未經授權的訪問和惡意攻擊

　　·將授權用戶無縫、輕松且實時地連接到適當?shù)馁Y源

　　檢測端點、用戶和信息流的完整性

　　在授權訪問一個干凈的VPN之前，SSL VPN技術可以啟動對端點的質詢，以確認某些符合IT安全政策的必需特性是否存在(例如：操作系統(tǒng)、應用程序、域成員、證書、文件、抗病毒軟件、反間諜軟件以及個人防火墻等)。即便如此，當連接是來自不受信任的端點如家用電腦或公用設備時，則可能存在破壞網絡的潛在惡意數(shù)據(jù)包，因為在這些地方特定的安全應用實際上難以執(zhí)行。通過將高性能的統(tǒng)一威脅管理技術(UTM)集成到SSL VPN，可以將所有的數(shù)據(jù)流在穿越資源邊界前掃描凈化。由于現(xiàn)代網絡攻擊可以通過數(shù)據(jù)包狀態(tài)檢測滲入，一個干凈VPN的 UTM組件應能夠對整個數(shù)據(jù)流進行深度數(shù)據(jù)包檢測。

　　保護資源免遭未經授權的訪問和攻擊

　　隨著業(yè)務擴展至超越了傳統(tǒng)局域網的邊界，IT部門不再擁有確保企業(yè)數(shù)據(jù)安全的最終決定權。多數(shù)私人和公共部門必須遵守政府和行業(yè)法規(guī)，保護敏感數(shù)據(jù)資源的安全，不然他們將會受到巨額罰款或業(yè)務受限的處罰。一個干凈的VPN可以通過強制認證、數(shù)據(jù)加密、精細訪問策略和網關威脅防護來保護資源。一個有效的干凈的VPN策略工具應根據(jù)每個遠程用戶和端點設備的可信任度來控制其訪問權，以及根據(jù)每個用戶被授權訪問哪些應用程序來控制其訪問權。該工具應根據(jù)終端是否是受全面IT管理的設備，來執(zhí)行不同的訪問政策。雖然訪問控制對于保護資源至關重要，但即使是最縝密的訪問控制，也可能會受到超級精密的犯罪攻擊以及不斷變化的網絡威脅的危害。一個干凈VPN的最佳策略是在資源周圍增加一層可以提供自動更新的反病毒軟件、反間諜軟件、入侵防御軟件和內容過濾軟件的全面UTM防火墻保護。

　　將用戶實時便捷地連接到資源

　　理想情況下，一個干凈VPN的設計應能夠根據(jù)設備質詢、用戶認證及訪問策略，智能化和無縫地將用戶連接到授權訪問的資源，同時使用適合于特定端點設備(例如，筆記本電腦、PDA、智能手機和酒店公用亭等)的訪問方法和接口。為了防止出現(xiàn)性能瓶頸，一個干凈VPN的配置必須能夠平衡系統(tǒng)性能和流量政策的執(zhí)行。 UTM防火墻組件應能在系統(tǒng)出現(xiàn)任何帶寬異常時提醒管理員，推斷出訪問政策遭到濫用，并觸發(fā)適當?shù)氖褂孟拗�。任何干凈的VPN環(huán)境必須利用超高性能的架構設計，如多核處理器平臺，以便能夠實時對帶寬密集型移動數(shù)據(jù)流進行全面掃描，不讓網絡吞吐能力受到阻礙。

　　很顯然，智能手機和筆記本電腦已經成為公司、學術機構和政府實體事實上的網絡端點。在這些移動設備的安全管理上，IT部門必須了解筆記本電腦和智能手機平臺之間的差異以及相似之處。了解了這些區(qū)別后，IT部門就可以應用最佳做法以確保企業(yè)通信的保密性和安全性 - 無論是在企業(yè)網絡邊界的哪一側，也無論是來自什么樣的通信端點。

　　企業(yè)網絡邊界外的訪問安全：

　　1.建立反向網頁代理：通過提供標準的網頁瀏覽器訪問網絡資源，反向代理可以驗證和加密基于網頁的網絡資源訪問。反向代理在為筆記本電腦和智能手機提供訪問時，不會過問是何種平臺，從而最大限度地減少部署開支。

　　2.建立SSL VPN通道：基于代理程序的加密SSL VPN通道為筆記本電腦和智能手機增加了便捷的“辦公室”網絡層訪問通道，以訪問關鍵的客戶端 - 服務器資源。

　　3.建立筆記本電腦終端控制：為了幫助受管理和不受管理的Windows、Macintosh和Linux筆記本電腦建立和實施可接受的安全政策，端點控制可以確定安全應用程序存在與否，并根據(jù)安全政策和用戶身份來允許、隔離或拒絕訪問。以上所述對于筆記本電腦來說非常重要，但對于智能手機就不那么重要，原因是由于其配送環(huán)境都是白名單應用程序。

　　4.為筆記本電腦創(chuàng)建一個安全的虛擬桌面電腦環(huán)境：安全虛擬桌面環(huán)境可以防止

　　用戶將敏感數(shù)據(jù)遺留在不受管理的Windows筆記本電腦上。

　　5.為筆記本電腦的高速緩存應用清潔技術：當用戶關閉瀏覽器后，高速緩存清潔可以從筆記本電腦去除所有追蹤信息。

　　6.用下一代防火墻(NGFW)掃描過濾VPN信息流：筆記本電腦和智能手機都可能成為惡意軟件跨越網絡邊界的通道，甚至是通過WiFi或3G/4G連接。采用NGFW集成部署，就可以建立一個清潔的VPN來解密并掃描過濾所有的內容。 NGFW網關的安全措施(抗病毒軟件/反間諜軟件，入侵預防服務)可以在危險數(shù)據(jù)進入網絡前消除其威脅。

　　7.為筆記本電腦和智能手機增加嚴格的身份驗證：一個有效的安全解決方案

　　應無縫集成標準驗證方法，如雙因素身份驗證和一次性密碼驗證。

　　網絡邊界內部的訪問安全：

　　8.掃描通過NGFW的WiFi數(shù)據(jù)流：將NGFW與802.11 a / b / g/ n無線連接協(xié)議加以集成，為網絡邊界內的用戶創(chuàng)建一個“清潔無線”網絡。

　　9.控制應用流量：一般情況下，移動設備應用程序要么是關鍵業(yè)務解決方案，要么是個人消遣應用程序。一個具有應用智能、訪問控制和可視化的清潔VPN解決方案，可以讓IT部門能夠定義和實施如何使用應用程序和帶寬資產的政策。

　　10.防止數(shù)據(jù)泄漏：數(shù)據(jù)泄漏保護可以掃描出站數(shù)據(jù)流以阻止保密內容的泄漏。

　　11.阻止不適當?shù)木W頁訪問：內容過濾可以幫助移動用戶遵守監(jiān)管法規(guī)以確保友善的網絡環(huán)境。

　　12.阻止僵尸網絡攻擊的流出：反惡意軟件可以識別和阻止從連接到網絡的移動設備向外發(fā)出僵尸網絡攻擊

　　移動設備的廣泛應用給IT部門帶來了全新的挑戰(zhàn)。其中的一個就是如果IT部門采用過于嚴格的安全政策，實際上則可能會對公司業(yè)務造成傷害，而不是起到促進作用。當然，解決方案就是加強安全性管理。然而，神奇之處在于IT部門部署的安全措施既要起到保護作用，又不應成為一個障礙。解決方案就是增加安全性，讓這些新設備所帶來的便利能夠促進業(yè)務，而不是阻礙業(yè)務發(fā)展。


【轉載自IT專家網】http://security.ctocio.com.cn/244/12347744.shtml

億恩科技www.enidc.com 做IDC13年了是華北和華中地區(qū)最大的IDC之一。

E5200 2G 160G硬盤 100M獨享帶寬
電信機房僅需1299元/月
網通機房僅需1499元/月

服務器租用/托管/機柜/大帶寬VIP售前銷售 億恩-藍天QQ:89287750 電話：0371-60135992