网络安全 构建可信的企业IT生态环境

    企业需要向合作伙伴、供应商、客户、承包商及员工提供远程的安全数据访问，这就需要建立一个足够安全可靠的生态环境。 
  
    各种规模的商业公司和政府组织在不断发展的同时，电子化管理成为一种趋势，但随之而来的各种针对信息资产的威胁也日益增加。企业需要向合作伙伴、供应商、客户、承包商及员工提供远程的安全数据访问，这就需要建立一个足够安全可信的生态环境。 
  
    企业的生态关系 
  
    在企业不断发展的过程中，员工、合作伙伴、客户和供应商之间的联系越来越紧密，他们通过各种设备和场所以及对各种应用和资源进行安全的电子信息存取，以提升企业效率，在这个过程中逐渐形成信息通讯的生态环境。 
  
    用户需要不断对企业的关键资源进行存取，因此有关企业安全解决方案的焦点大部分都会集中在身份管理方面。此技术利用下列方法协助减轻大量用户、安全凭证及存取权限等生命周期的管理负担： 
  
    1． 采用LDAP Directory技术； 
  
    2． 将安全控制应用于个人、群体或任务等级； 
  
    3． 向用户提供存取或试图存取及行为的强认证追踪管理。 
  
    但是，身份管理解决方案主要处理用户凭证的管理及规定，而没有涉及凭证安全政策的执行。 
  
    因此，远程访问（或存取管理）的安全问题已经成为身份管理的核心。对企业而言，不仅需要能够简单部署的安全远程访问解决方案，而且还需要能够紧密地与企业已投资的身份管理系统能够进行集成的解决方案。 
  
    用来满足用户安全远程访问的主要设施就是SSL VPN网关， SSL VPN除了能够提供基于Web的应用程序之外，还有更广泛的存取控制能力。 
  
    无边界安全企业级访问服务器（Borderless Security Enterprise Access Server）不仅整合了IPSec及SSL VPN功能，而且利用特殊配置及设定来满足大型企业的严苛要求，还具备稳固的用户认证、多方授权、端点安全兼容检查以及广泛的认证功能，从而提供安全的远程访问。 
  
    统一化安全管理 
  
    企业级安全访问服务器应当能够满足多数大型企业的需求，它能执行定义和验证，以及针对应用程序、设备、文档及网络的存取控制政策，并根据与整体安全环境相关的标准制订决策。 
  
    用户身份认证管理 
  
    身份管理技术将安全控制应用于个人、组织或任务等级，这有助于减轻大量用户、安全凭证及存取权限等的管理负担，身份认证管理解决方案已经延伸至包含存取管理和安全执行，它同时也集中收集有关用户存取及行为的认证信息。 
  
    通过对用户的识别和验证实现安全的访问，虽然单因素用户名称及密码仍然被广泛的使用，但是更安全的方法为双因素验证方式，此验证方式不仅需要用户所知的密码，同时也需要用户所拥有的令牌，企业级安全访问服务器应当提供各种双因素解决方案的支持，确保更高认证安全系数。 
  
    通过认证的用户，由授权规则决定用户对资源的访问规则，对企业级安全访问服务器而言，多方存取控制规则可以透过任何用户/群体/角色、应用程序/资源、存取安全能力、端点兼容状态、验证方法，以及日期时间等组合而形成。 
  
    资料的机密性 
  
    企业级的安全访问服务器需要提供从端点到内部资源所有资料的完整机密性，这包括两种模式可供使用。最常见的为客户端与访问服务器之间的SSL加密，提供SSL终端并执行代理程序功能，将远程用户和应用程序之间的流量传达给获得授权的存取。 
  
    同时提供此模式的延伸，让相同的SSL VPN信道通过非Web型主从式应用程序流量。针对每一个应用程序，连接器会于联机开始时下载到客户端。 
  
    第二种可用的模式为完整的3层信道方法，不需事先在客户端安装即可提供IPSec连结。此远程访问方法不需事先安装的客户端即可存取任何类型的资源。此方式未来可能会取代所有的IPSec解决方案。此外，由于客户端经常进行安装及升级，因此部署时间及成本也远低于原始的IPSec系统。 
  
    此两种安全远程访问模式也提供多种存取选择。这些选择由管理人员于部署时所决定，而且用户也了解大部分的选择。 
  
    端点兼容性检查 
  
    一些端点用户存在未安装防护程序带来的潜在威胁，企业级安全访问服务器应当管理人员能够在授权存取拥有不同敏感度的资源之前，从各种标准组合选择必要的安全性。在验证处理过程中，将会使用规定的标准检查端点的兼容性。 
  
    如果设备不兼容，管理人员可以决定将该用户隔离，并将其引导至矫正位置实施相应措施，例如下载最新修补程序或病毒码，端点兼容性检查可应用至下列项目： 
  
    个人防火墙安装及激活； 
  
    病毒防护执行中并拥有最新的病毒码； 
  
    最新的系统版本及修补程序； 
  
    Windows服务检查； 
  
    现有档案数字签章； 
  
    指定的注册密钥； 
  
    来源IP地址。 
  
    有效管理 
  
    良好的管理能力对任何企业等级产品而言皆非常重要，企业级安全访问服务器提供多种简单易用的管理功能。管理人员可以使用浏览器从直接连结的工作站或任何远程位置执行操作。 
  
    所有管理人员及用户的行为皆可以被追踪、监控并记录，提供法规遵循所需要的认证追踪。报表工具提供包括依群体、用户或资源分类的使用摘要、强调异常，以及依日期、用户及群体分类的存取图形显示等的警告式报表。 
  
    企业级安全访问服务器一项特有的管理功能为其简化了定义安全政策的方法并可应用于执行端点。有了精密的图形界面，管理人员可以直接为用户接口转译为高等级的政策定义，且不需担心定义复杂的关联。通过“智能型端点”收集所有关于制订安全政策的信息、征求管理人员的指示，并为用户及执行端点建立适当的“实时”政策。