保护资源免遭未经授权的访问和攻击
随着业务扩展至超越了传统局域网的边界,IT部门不再拥有确保企业数据安全的最终决定权。多数私人和公共部门必须遵守政府和行业法规,保护敏感数据资源的安全,不然他们将会受到巨额罚款或业务受限的处罚。一个干净的VPN可以通过强制认证、数据加密、精细访问策略和网关威胁防护来保护资源。一个有效的干净的VPN策略工具应根据每个远程用户和端点设备的可信任度来控制其访问权,以及根据每个用户被授权访问哪些应用程序来控制其访问权。该工具应根据终端是否是受全面IT管理的设备,来执行不同的访问政策。虽然访问控制对于保护资源至关重要,但即使是最缜密的访问控制,也可能会受到超级精密的犯罪攻击以及不断变化的网络威胁的危害。一个干净VPN的最佳策略是在资源周围增加一层可以提供自动更新的反病毒软件、反间谍软件、入侵防御软件和内容过滤软件的全面UTM防火墙保护。
将用户实时便捷地连接到资源
理想情况下,一个干净VPN的设计应能够根据设备质询、用户认证及访问策略,智能化和无缝地将用户连接到授权访问的资源,同时使用适合于特定端点设备(例如,笔记本电脑、PDA、智能手机和酒店公用亭等)的访问方法和接口。为了防止出现性能瓶颈,一个干净VPN的配置必须能够平衡系统性能和流量政策的执行。 UTM防火墙组件应能在系统出现任何带宽异常时提醒管理员,推断出访问政策遭到滥用,并触发适当的使用限制。任何干净的VPN环境必须利用超高性能的架构设计,如多核处理器平台,以便能够实时对带宽密集型移动数据流进行全面扫描,不让网络吞吐能力受到阻碍。
很显然,智能手机和笔记本电脑已经成为公司、学术机构和政府实体事实上的网络端点。在这些移动设备的安全管理上,IT部门必须了解笔记本电脑和智能手机平台之间的差异以及相似之处。了解了这些区别后,IT部门就可以应用最佳做法以确保企业通信的保密性和安全性 - 无论是在企业网络边界的哪一侧,也无论是来自什么样的通信端点。
企业网络边界外的访问安全:
1.建立反向网页代理:通过提供标准的网页浏览器访问网络资源,反向代理可以验证和加密基于网页的网络资源访问。反向代理在为笔记本电脑和智能手机提供访问时,不会过问是何种平台,从而最大限度地减少部署开支。
2.建立SSL VPN通道:基于代理程序的加密SSL VPN通道为笔记本电脑和智能手机增加了便捷的“办公室”网络层访问通道,以访问关键的客户端 - 服务器资源。
3.建立笔记本电脑终端控制:为了帮助受管理和不受管理的Windows、Macintosh和Linux笔记本电脑建立和实施可接受的安全政策,端点控制可以确定安全应用程序存在与否,并根据安全政策和用户身份来允许、隔离或拒绝访问。以上所述对于笔记本电脑来说非常重要,但对于智能手机就不那么重要,原因是由于其配送环境都是白名单应用程序。
4.为笔记本电脑创建一个安全的虚拟桌面电脑环境:安全虚拟桌面环境可以防止
用户将敏感数据遗留在不受管理的Windows笔记本电脑上。
5.为笔记本电脑的高速缓存应用清洁技术:当用户关闭浏览器后,高速缓存清洁可以从笔记本电脑去除所有追踪信息。
6.用下一代防火墙(NGFW)扫描过滤VPN信息流:笔记本电脑和智能手机都可能成为恶意软件跨越网络边界的通道,甚至是通过WiFi或3G/4G连接。采用NGFW集成部署,就可以建立一个清洁的VPN来解密并扫描过滤所有的内容。 NGFW网关的安全措施(抗病毒软件/反间谍软件,入侵预防服务)可以在危险数据进入网络前消除其威胁。
7.为笔记本电脑和智能手机增加严格的身份验证:一个有效的安全解决方案
应无缝集成标准验证方法,如双因素身份验证和一次性密码验证。
网络边界内部的访问安全:
8.扫描通过NGFW的WiFi数据流:将NGFW与802.11 a / b / g/ n无线连接协议加以集成,为网络边界内的用户创建一个“清洁无线”网络。
9.控制应用流量:一般情况下,移动设备应用程序要么是关键业务解决方案,要么是个人消遣应用程序。一个具有应用智能、访问控制和可视化的清洁VPN解决方案,可以让IT部门能够定义和实施如何使用应用程序和带宽资产的政策。
10.防止数据泄漏:数据泄漏保护可以扫描出站数据流以阻止保密内容的泄漏。
11.阻止不适当的网页访问:内容过滤可以帮助移动用户遵守监管法规以确保友善的网络环境。
12.阻止僵尸网络攻击的流出:反恶意软件可以识别和阻止从连接到网络的移动设备向外发出僵尸网络攻击
移动设备的广泛应用给IT部门带来了全新的挑战。其中的一个就是如果IT部门采用过于严格的安全政策,实际上则可能会对公司业务造成伤害,而不是起到促进作用。当然,解决方案就是加强安全性管理。然而,神奇之处在于IT部门部署的安全措施既要起到保护作用,又不应成为一个障碍。解决方案就是增加安全性,让这些新设备所带来的便利能够促进业务,而不是阻碍业务发展。
(责任编辑:)
