个人计算机访问远程网络

日期: 2008-09-16 作者:Mark Mellis翻译:李娜娜 来源:TechTarget中国 英文

为了提供更广泛的远程访问性能,IT经理正承受着日趋增加的压力。用户群体的范围从临时的“加班人员”,他们只需要从家里的个人计算机上访问其电子邮件和公司网络端口,到那些全职的远程办公者,他们使用核心应用程序和IP电话。由于他们依赖的是所有工作均为远程访问,所以通过为远程办公者提供公司的计算机、防火墙和24×7服务台访问,进而为全职的远程办公者提供高端解决方法,公司在这点上通常没有太多的困难。但是我们如何能够有效地(经济实惠地)支持其它用户的低端需求呢?   允许用户从其个人计算机和网络连接上进行访问的优点极具吸引力。

通常,远程用户甚至都不需要一台公司的笔记本——带来带去不方便。除此之外,……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

为了提供更广泛的远程访问性能,IT经理正承受着日趋增加的压力。用户群体的范围从临时的“加班人员”,他们只需要从家里的个人计算机上访问其电子邮件和公司网络端口,到那些全职的远程办公者,他们使用核心应用程序和IP电话。由于他们依赖的是所有工作均为远程访问,所以通过为远程办公者提供公司的计算机、防火墙和24x7服务台访问,进而为全职的远程办公者提供高端解决方法,公司在这点上通常没有太多的困难。但是我们如何能够有效地(经济实惠地)支持其它用户的低端需求呢?

  允许用户从其个人计算机和网络连接上进行访问的优点极具吸引力。通常,远程用户甚至都不需要一台公司的笔记本——带来带去不方便。除此之外,家庭系统很有可能更快捷(为孩子们设计,用于炸毁外星人的太空船)。然而,我们也需要考虑它的不足之处。

  带来的风险与所提供的访问成正比

  一些用户允许网络完全访问企业内部的局域网,这样会比那些仅使用电子邮件的用户造成更多的破坏。因此,你的战略第一步就是提供分层访问,以满足每个用户的需求。通过两层或者三层,低端的网络邮件、中端的文件和网络应用程序访问,高端的全部VPN连接,许多公司就可以获得访问权。

  训练

  对于成功的远程访问项目而言,每个用户的安全教育是必要的。这对你正在进行的安全教育项目有突出的影响。你可以在公司的企业内部互联网中使用在线项目。确保跟踪完成,并且需要定期进修培训。尝试从那些参加课程培训的人中挑选出一部分进行奖励认证,以给用户积极的激励,使其完成其强制训练。全部课程应该包括积极活动带来的危险方面的信息,包括病毒、蠕虫和间谍软件。需要指出的一点是,这个指令将有助于保护其自己的数据,以及公司的数据。也包括密码护理方面的信息,以及一旦发现可疑事件正在发生时应该做些什么。不要忘记还包括访问公司信息的必要条件。

  认证

  在允许他们访问任何服务,包括网络邮件之前,你必须知道这些人是谁。通常情况下,我们使用用户名和密码来提供身份验证,这很容易被拦截,并且受到威胁。教育用户要进行密码护理,在传输过程中使用加密的方法保护密码,这在过去来说就足够了,但是今天有了间谍软件和按键嗅探器,实际上,所有远程用户都必须强制使用带有硬件令牌的双因素认证技术,即使是那些低端优先权的用户也必须使用。

  如果你选择继续应用用户名和密码,确保你没有将自己设为服务拒绝攻击。你是否使用你的内部域认证资源进行远程访问,并且在一定数量的登录企图失败以后自动锁定账户呢?如果要求管理员进行人工干预,储存一个自动锁定的账户,你的系统就很容易受到攻击。一个不满的雇员坐在网吧中,打开公司的目录,为列表中的每个用户名输入弱密码,并锁定整个公司的内部互联网和外部互联网。为外部服务使用分离的认证资源,或者在短期内仅锁定账户,这是个更好的方法。即使锁定的时间仅为五分钟,也可以保护你免于受到字典式攻击。

  授权

  合理地访问内部资源是关键。如果你有一个现有数据的盘存和授权模式,这将会获得回报。如果没有的话,你需要确定你的信息资源,以及它们是如何分类的。虽然最佳的SSL VPN和网关产品具有丰富的访问控制模型,但是如果你不知道哪个用户应该访问哪些数据以及这些数据存储在哪里的话,这些产品对你不会有任何好处。如果你没有对你的数据进行分类,这为你开始对数据进行分类提供了很好的动机。

  现行内容控制

  病毒是这十年来的灾祸,并且与所有有效的安全程序一样,病毒也可以分层,在网络边缘启动。当然每台计算机都应当已经安装了防病毒软件,并及时维护。这是你可以激励良好安全做法的另一个地方:考虑为你的终端用户免费或者打折提供防病毒软件。你可能不想使用用于内部配置的企业版,因为这会增加你的维护负担,但是你也可以为加班人员提供消费版。当然你希望确保用户每年都更新其订购,因此在你的计划中要考虑到更新问题。同时不要忘了保护全职远程办公者所使用的系统。

  个人防火墙

  个人防火墙在完全VPN环境中是非常普遍的,并且即使对于那些使用网络电子邮件的加班人员也是非常有用的。因为个人防火墙可以帮助阻止间谍软件返回到信道中。你可以选择与讨论过的防病毒软件类似的方式来资助使用个人防火墙。

  信息泄露

  每次浏览器载入一个明确的文本网页,浏览器的缓冲存储器中就复制了该网页。同样地,浏览器的历史功能也可以捕捉到路径和其它参数。此外,终端用户通常下载电子邮件信息和附件,以及他们有可能获得的文件。显而易见,这是一个严重的问题。所有的信息并没有丢失,然而,浏览器不能在SSL连接中正常地缓存所下载的数据。一些SSL VPN远程访问产品具有特殊的性能,可以在马虎的软件和健忘的用户使用后进行清理缓冲存储器。如果信息泄露带来的风险对你的公司很重要,那么你就需要研究一下这些性能。

  如果你不能控制,那么进行监测

  你不一定有必要的资源来执行技术控制,以补偿每一种威胁。这是底线。然而,你不应该放弃。如果你不能进行控制,通常你可以进行监测。监测技术包括网络入侵检测和基于主机的入侵检测、系统审计以及日志分析——这些都是在路径上阻止问题发生的强有力的技术。

  你的公司可以允许雇员使用他们的家庭计算机。虽然这不是免费的,并且不可能包括一些用户需要的所有服务,但是可以安全地执行许多服务。

作者

Mark Mellis
Mark Mellis

相关推荐