信息(xi)安全管理(li)中，管理(li)遠(yuan)(yuan)程用戶訪(fang)問長期以來就是(shi)一項矛盾突出，并且(qie)十分(fen)艱巨的任務。遠(yuan)(yuan)程訪(fang)問所(suo)帶來的安全隱憂(you)遠(yuan)(yuan)比企業內部(bu)網絡的壓力大得(de)多。

互聯網(wang)作為企業運作基礎架構(gou)，愈來愈多(duo)移(yi)動工作者(zhe)在外(wai)利用PDA或(huo)(huo)筆(bi)記本(ben)電(dian)腦連(lian)網(wang)，以取得文檔資料或(huo)(huo)ERP信(xin)息，甚至是數千公(gong)里以外(wai)的(de)(de)分支機構(gou)需要訪問總部的(de)(de)核心數據區。這些安全疑慮也帶來了VPN接入、用戶身份管理、訪問行為控制等一系列的(de)(de)安全防御需求。

因(yin)為看不到，所以(yi)不安全

建(jian)立信(xin)息(xi)安(an)全(quan)保護框(kuang)架的(de)通用法則包(bao)括：安(an)全(quan)防御的(de)完備性(xing)(xing)、一致性(xing)(xing)與有(you)效(xiao)(xiao)性(xing)(xing)。完備性(xing)(xing)，是(shi)(shi)指(zhi)(zhi)安(an)全(quan)保護框(kuang)架不應有(you)安(an)全(quan)漏洞；一致性(xing)(xing)，是(shi)(shi)指(zhi)(zhi)安(an)全(quan)保護框(kuang)架中的(de)所有(you)終端具有(you)同樣的(de)安(an)全(quan)防御功能；有(you)效(xiao)(xiao)性(xing)(xing)，是(shi)(shi)指(zhi)(zhi)安(an)全(quan)保護框(kuang)架中的(de)一個計算機信(xin)息(xi)系統所實現(xian)的(de)安(an)全(quan)策略(lve)和安(an)全(quan)機制，符合用戶(hu)的(de)當前需要。

遠程(cheng)客戶(hu)端與這一(yi)法則矛盾之處就(jiu)在(zai)于，它們不受網(wang)絡資(zi)源(yuan)擁有(you)者控制和(he)管理，因為較之本(ben)地資(zi)源(yuan)，技術人員對(dui)遠程(cheng)客戶(hu)端的接觸通常會(hui)受到(dao)更多的限制。

例如：依據Internet無(wu)處不在的(de)(de)(de)(de)特點，給用戶帶來了遠(yuan)(yuan)程(cheng)資料共(gong)享和異地辦公的(de)(de)(de)(de)便利條件(jian)，也給病毒(du)和黑客(ke)(ke)帶來了一種入侵企業核(he)心(xin)數據的(de)(de)(de)(de)新途徑。遠(yuan)(yuan)程(cheng)訪問(wen)客(ke)(ke)戶端所(suo)在的(de)(de)(de)(de)網(wang)絡可(ke)能充(chong)滿(man)了混合攻擊，開放這(zhe)些網(wang)絡對企業的(de)(de)(de)(de)訪問(wen)就(jiu)可(ke)能成為不法分(fen)子(zi)攻擊企業核(he)心(xin)網(wang)絡的(de)(de)(de)(de)跳板。

雖然可以通過限制端口等策略進行抵御，但終端客戶機的安全我們仍然無法保證，技術人員對于這些工作的計算機管理權限將會微乎其微，有的時候根本接觸不到，除非分支(zhi)機構的(de)安全保(bao)障

大多情況下(xia)，分(fen)(fen)公(gong)司(si)和企業(ye)數據(ju)中心間的VPN連接需(xu)要兩臺(tai)端點VPN設備或服務器(qi)(qi)以(yi)及Internet。在建(jian)立對本地ISP的高速(su)連接后，可通(tong)過VPN設備或服務器(qi)(qi)建(jian)立VPN隧道，以(yi)便(bian)分(fen)(fen)公(gong)司(si)能訪問企業(ye)資(zi)源。

這類(lei)連接(jie)也可用于(yu)促進企業網(wang)絡上的(de)管(guan)(guan)理(li)員對(dui)分公(gong)司系統(tong)進行遠程管(guan)(guan)理(li)，但將分支機構的(de)每臺客戶(hu)端進行安全加固似乎成(cheng)(cheng)為(wei)了(le)不可能完(wan)成(cheng)(cheng)的(de)任務。人(ren)們開始熱(re)衷于(yu)是構建一個(ge)“完(wan)整的(de)”網(wang)絡接(jie)入(ru)控制解決方案——“可信接(jie)入(ru)”。

目前出現了幾種安全接入技術，這些技術的主(zhu)(zhu)(zhu)要思路是從終端著手，通過(guo)管理員指定的安全策略(lve)，對接入私有網(wang)絡(luo)的主(zhu)(zhu)(zhu)機(ji)(ji)進行安全性檢測，自(zi)動(dong)拒絕(jue)不安全的主(zhu)(zhu)(zhu)機(ji)(ji)接入保護網(wang)絡(luo)，直到這些主(zhu)(zhu)(zhu)機(ji)(ji)符合網(wang)絡(luo)內(nei)的安全策略(lve)為止。

目前具(ju)有代表(biao)性的(de)(de)技術包(bao)括(kuo)：思科的(de)(de)網絡(luo)接入控制NAC（NetworkAccessControl）技術，微軟(ruan)的(de)(de)網絡(luo)訪(fang)問保護技術NAP（NetworkAccessProtection）以(yi)及TCG組織的(de)(de)可信網絡(luo)連接TNC（TrustedNetworkConnect）技術等。

就原理(li)來說，三種(zhong)安(an)全(quan)接入(ru)技(ji)術都是(shi)將訪問網(wang)絡的客戶端置(zhi)于同一個安(an)全(quan)等(deng)(deng)級。通過對網(wang)絡中各(ge)種(zhong)設備（包括路由設備、安(an)全(quan)設備等(deng)(deng)）、安(an)全(quan)機制(zhi)、安(an)全(quan)信(xin)息(xi)的綜合(he)管(guan)理(li)與分析，對現有安(an)全(quan)資源進行(xing)有效管(guan)理(li)和整合(he)。

而根據部署應用方面(mian)看，更多人(ren)看中了NAC與NAP已經締(di)結良緣(yuan)的現(xian)實，即網絡接入(ru)設備上采用思科的NAC技(ji)術(shu)，而主(zhu)機客(ke)戶端上則(ze)采用微(wei)軟的NAP技(ji)術(shu)，從而達到了兩(liang)者(zhe)互補的局(ju)面(mian)，有利于其(qi)進一步(bu)發展。

而在(zai)實(shi)際工(gong)(gong)作中，NAP部署(shu)過程(cheng)要(yao)比想象的容易很多。例如將一臺(tai)WindowsLonghornServer設置(zhi)為DC（域控(kong)制(zhi)器），在(zai)此計算機上安(an)裝AD（活動目錄服(fu)務）、DNS和NetworkAccessServices，在(zai)安(an)裝NetworkAccessServices時，選擇(ze)安(an)裝其(qi)中的RouterandRemoteAccess，這樣就(jiu)完成了基本平臺(tai)的準備工(gong)(gong)作。

而(er)配置(zhi)NetworkPolicyServer的時候，更是有眾多的安(an)全(quan)模(mo)版可以配合(he)選擇。簡單的配置(zhi)，就可以實現企(qi)業(ye)(ye)(ye)管(guan)理接(jie)入到企(qi)業(ye)(ye)(ye)中的計(ji)(ji)算機(ji)必須符合(he)企(qi)業(ye)(ye)(ye)的安(an)全(quan)標(biao)準(zhun)(zhun)，只有符合(he)企(qi)業(ye)(ye)(ye)標(biao)準(zhun)(zhun)的計(ji)(ji)算機(ji)才能夠訪問公司的內部網(wang)絡，不符合(he)標(biao)準(zhun)(zhun)的計(ji)(ji)算機(ji)被限制(zhi)在企(qi)業(ye)(ye)(ye)的網(wang)絡之外。

NAP的設計(ji)也(ye)將會得到(dao)更多安全(quan)廠商的支(zhi)持，這都(dou)將適合于合作伙伴或(huo)者分支(zhi)機構的計(ji)算機接入企業網絡(luo)的場景。

直接訪問安全內網

遠程訪(fang)問(wen)主要(yao)是指兩種(zhong)訪(fang)問(wen)方式(shi)，一種(zhong)方式(shi)是采用(yong)(yong)遠程訪(fang)問(wen)服(fu)(fu)務器，很多(duo)時候是指DMZ區中的服(fu)(fu)務；另一種(zhong)，就(jiu)是遠程客戶端直接訪(fang)問(wen)內網(wang)資源。而后(hou)者(zhe)的應(ying)用(yong)(yong)需求越(yue)來越(yue)多(duo)，這讓我們(men)無從下手。

從安(an)全(quan)(quan)性(xing)而(er)言(yan)，防火墻最大的(de)優(you)勢就在(zai)“隔離”上(shang)，即將(jiang)內(nei)部(bu)(bu)涉密網(wang)與(yu)外(wai)部(bu)(bu)網(wang)分離開。它對(dui)網(wang)段(duan)之間數(shu)(shu)據通(tong)信的(de)安(an)全(quan)(quan)控(kong)制，是通(tong)過定(ding)(ding)制有效的(de)安(an)全(quan)(quan)規則和(he)(he)策略(lve)來實現的(de)，其安(an)全(quan)(quan)依(yi)賴于安(an)全(quan)(quan)策略(lve)制定(ding)(ding)的(de)合理性(xing)和(he)(he)嚴謹(jin)程(cheng)度(du)。這樣可以保證外(wai)部(bu)(bu)網(wang)上(shang)的(de)黑(hei)客無法(fa)連接(jie)內(nei)部(bu)(bu)涉密網(wang)，具有很(hen)高的(de)安(an)全(quan)(quan)性(xing)，但同(tong)時也造成了工(gong)作(zuo)不便、數(shu)(shu)據交流困難(nan)、設(she)備增(zeng)加和(he)(he)維護費用加大等。

一位(wei)銷售助理的話(hua)耐人尋(xun)味：“我每天除(chu)去正(zheng)常(chang)的業(ye)務電話(hua)外，隨(sui)時要(yao)等(deng)候銷售工程(cheng)師打回來的電話(hua)。他們(men)常(chang)常(chang)需要(yao)我打開他們(men)的電腦，從中尋(xun)找(zhao)他們(men)存儲在(zai)一個套(tao)一個的文(wen)件夾中的資料，然后通過(guo)E-mail發給他們(men)。大家可能都知(zhi)道，他們(men)通常(chang)將客戶資料放(fang)得很‘深’，所以(yi)經常(chang)有人抱怨我工作效率(lv)太慢。另外，他們(men)回到公司的第一件事(shi)就是更改(gai)密碼，像防(fang)賊一樣防(fang)著我。”

無區域的網絡

“深度防御（Defenseindepth）”的概念是指(zhi)用多個(ge)安全層次保護重(zhong)要資(zi)產。例如重(zhong)要的文件存放在(zai)帶鎖(suo)房(fang)(fang)間里帶鎖(suo)的文件柜中(zhong)，而這個(ge)房(fang)(fang)間又在(zai)整個(ge)帶鎖(suo)的大樓里，大樓里還有警衛……。

但是，為了讓那些“門(men)外(wai)漢”進到屋里(li)來(lai)，很(hen)可能(neng)還需要為他們提供(gong)臥室(shi)休息(xi)。這就必須使用一種“無區域”網絡方法，所以說，身份(fen)的(de)確認(ren)是首(shou)要的(de)，只有(you)知道(dao)了他是誰，才能(neng)夠決定是否借出(chu)你的(de)臥室(shi)給他使用。

在信息安全如此重要的(de)今天，幾乎所(suo)有(you)的(de)網絡應用(yong)中都支(zhi)持身(shen)份(fen)(fen)識(shi)別的(de)多種存在形(xing)式，“用(yong)戶(hu)名+密碼(ma)”是最簡單也是最常用(yong)的(de)身(shen)份(fen)(fen)認(ren)證方(fang)法(fa)，它是基于“Whatyouknow”的(de)驗(yan)證手(shou)段(duan)。

任何一個用戶能夠正確輸入密(mi)碼(ma)(ma)，計算(suan)機就認(ren)為他是合(he)法(fa)用戶，然而實際工作(zuo)中，由于許多用戶為了防止忘記密(mi)碼(ma)(ma)，經常采用諸如自己的(de)生日、電話號碼(ma)(ma)等有意(yi)義的(de)字(zi)符(fu)串(chuan)作(zuo)為密(mi)碼(ma)(ma)，這也就使得靜態密(mi)碼(ma)(ma)的(de)存在如同虛設(she)。

更多(duo)(duo)金(jin)融行(xing)業(ye)和(he)政府重要部(bu)門，已經放棄了密碼認(ren)證(zheng)這一(yi)(yi)原始階段(duan)。更多(duo)(duo)的(de)采用令牌解決方案、SMS一(yi)(yi)次(ci)性(xing)密碼和(he)數字證(zheng)書等安(an)全型身份認(ren)證(zheng)。在這些用戶身份認(ren)證(zheng)方案中(zhong)，智(zhi)能(neng)卡算是功(gong)能(neng)比較全面，而(er)且更便于(yu)管理(li)的(de)一(yi)(yi)種方式。

所有能夠證明自己身份(fen)，以及一旦接入網(wang)絡后你應該獲得的(de)權限，都被嵌入在一個信(xin)用卡(ka)大(da)小或是電話卡(ka)大(da)小的(de)芯片中，如(ru)：客戶身份(fen)識別(bie)卡(ka)（SubscriberIdentityModules，SIM）。

從前(qian)面銷售(shou)助(zhu)理的(de)案(an)例(li)中分析(xi)，我們如果能夠為每位外出的(de)工程師(shi)配備身份識別卡，從安(an)全的(de)觀點和實際(ji)效果看，工程師(shi)們只需要通(tong)過移動PC上(shang)的(de)智能卡閱讀(du)器，驗(yan)證VPN連(lian)接或訪問(wen)總部內網(wang)主機的(de)情景將成(cheng)為現實。

另外，在密鑰(yao)管(guan)理方面(mian)，智能卡(ka)比PC本身(shen)更為安(an)全。那么(me)，即使筆(bi)記本丟失或者被盜(dao)，由于私鑰(yao)不(bu)會隨(sui)之一起丟失，所以(yi)也不(bu)會令此(ci)種(zhong)安(an)全事(shi)件升級(ji)，影(ying)響整個網絡的(de)健康狀(zhuang)況。

從現實來看，大多數企(qi)業的(de)(de)安全機(ji)制仍然是分(fen)散的(de)(de)。分(fen)支機(ji)構(gou)和移(yi)動辦公依然存在著(zhu)安全隱(yin)患(huan)，而可信接入(ru)和身份管理技術都還存在著(zhu)不足的(de)(de)一面。企(qi)業利用現有的(de)(de)認(ren)證(zheng)、授權、管理乃至審計方式，隨著(zhu)應用數量的(de)(de)增加，企(qi)業的(de)(de)管理難度也(ye)會越發明顯。

而從未來(lai)發展來(lai)看，兩(liang)種(zhong)技術的應用和(he)普及(ji)還是樂(le)觀的。如：IPv6中集成的“端到(dao)端”安全(quan)性基(ji)本組件，IPv6使(shi)我們有機會在將網(wang)絡遷移到(dao)這種(zhong)新型協議(yi)下(xia)端到(dao)端的安全(quan)防護(hu)等(deng)級(ji)。

建立信息安(an)全(quan)保(bao)護(hu)框架(jia)的通用法則包括：安(an)全(quan)防御的完(wan)備性、一致性與有效性。遠程客戶端與這一法則矛盾(dun)之(zhi)處就在于(yu)，它們(men)不受(shou)網絡資源(yuan)擁有者控制和管理(li)。

版權(quan)聲明：文章(zhang)來源于(yu)網絡，僅供(gong)學習交流使用，不具有任何商業用途，版權(quan)歸原(yuan)作(zuo)者所有，如有問題請及時(shi)聯系我們(men)，我們(men)會(hui)盡快刪除。