中国手游网 > 评手游 > 本站独家 > 正文页

为企业网络上的智能手机和平板电脑提供安全保障

来源:enet硅谷动力 发布:2012-06-05 09:58 曾几何时,IT经理们可以把心放宽,因为他们的用户、计算机、数据和应用程序都位于稳健的局域网后面。在一个完美的世界里,IT部门宁愿简单地阻止所有来自传统网络边界外的资源访问。然而,现代企业的做法已经远远超越了传统的网络边界。超越边界的网络所带来的...


    曾几何时,IT经理们可以把心放宽,因为他们的用户、计算机、数据和应用程序都位于稳健的局域网后面。在一个完美的世界里,IT部门宁愿简单地阻止所有来自传统网络边界外的资源访问。然而,现代企业的做法已经远远超越了传统的网络边界。超越边界的网络所带来的商业利益,以及企业员工对移动技术的快速接受,使得传统的硬化网络模型功能显得过时。如今,IT部门解决网络安全的方式必须能够超越网络边界来促成和扩展业务。显而易见,移动员工数量的迅速增长也反映了人们使用移动设备数量的增加。提高生产率和节约成本是推动智能设备增长的最终动力。随着移动员工数量的快速增长,企业将要面临的一个主要挑战就是管理这些移动设备,尤其是当这些移动设备用来访问企业网络的时候。

    网络数据流不再只包含如电子邮件和网页这样只需存储转移和基于会话的应用程序,或者传统的客户端/服务器应用程序,而是已扩展到包括实时协作工具、Web 2.0应用程序、即时通讯、端到端应用、网络电话、流媒体和远程视讯会议。目前,大部分商业网络数据流或源于或穿越位于企业网络边界外的外围终端设备,这为不断演化的网络威胁打开了新的渠道。随着进入网络的新途径日益增多,被利益驱使的精明网络攻击犯罪者发动了极为复杂的网络攻击,从而提升了数据被窃、系统当机以及金钱被盗的风险,降低了生产率,消耗了带宽。

    如今,关键任务和敏感信息都在远程移动终端设备上存储和计算。IT部门需要采取措施,以确保数据能够安全地流入和流出这些外部资源库以及他们自己的企业数据中心。另外,BYOD(自带设备)这种新的模式也存在复杂的风险/回报问题。其中最大的威胁或许来自使用者自己,他们根据自己的爱好频繁地使用移动设备,但对于公司IT安全政策却考虑得不多。

    随着数量的增加,移动设备成为犯罪分子较为重要的攻击目标。那些困扰传统计算机操作系统的威胁同样会对智能手机和平板电脑产生影响,它们可以通过电子邮件、社交媒体网站、手游、屏幕保护程序、即时消息以及幻灯片的传播方式,或在某些情况下,通过冒牌的网址缩短服务,这种所谓的服务使虚假的重新链接更加难以确定。例如,有一份报告列举了这样一个事实,安卓手机用户在2011年年中遇到恶意软件的可能性是年初的2.5倍。由于智能手机和平板电脑是一个比电脑更贴心的通信渠道,使用者更容易与伪装成个人通信的文件打交道。同样,在智能手机的小型屏幕上,用户也不容易发现假网站的线索,因此,移动设备用户点击不安全链接的可能性达30%。

    然而,更为严重的是,这不仅是一个安全问题。移动设备的频繁使用正在给企业网络资源造成越来越大的压力,特别是当用户使用比如视频这样占用高带宽的内容时。根据IDC的研究结果,2010年,有109亿个移动应用程序被下载(IDC预计,到2014年这个数字将增加到近769亿个),它们每一个都是对企业安全的潜在威胁, 同时也是网络性能的潜在障碍,这将会对公司的生产力和盈利能力产生直接的影响。这些因素加在一起给IT部门出了一道严肃的难题:一方面,智能手机和平板电脑功能强大且非常有用,能够使用户以全新的方式更为灵活和高效地工作,企业对此实在是无法忽略。另一方面,使用这些移动设备也给安全性带来了难题,给技术预算和资源增添了很大的压力。

    企业要想从移动工作获得最大的利益,他们就必须考虑可以给员工多大的访问权限,而不是限制。而这又意味着需要作一些重要的决定,比如这些移动平台在哪儿需要安全保障,以及如何为它们提供安全保障。这里有一个三层安全保障法可供企业以及那些负责安全保障(从技术角度)的人员采纳:

    l检测传统网络边界外的用户、端点和信息流的完整性

    l保护应用程序和资源免遭未经授权的访问和恶意攻击

    l将授权用户无缝、轻松且实时地连接到适当的资源

    检测端点、用户和信息流的完整性

    在授权访问一个干净的VPN之前,SSL VPN技术可以启动对端点的质询,以确认某些符合IT安全政策的必需特性是否存在(例如:操作系统、应用程序、域成员、证书、文件、抗病毒软件、反间谍软件以及个人防火墙等)。即便如此,当连接是来自不受信任的端点如家用电脑或公用设备时,则可能存在破坏网络的潜在恶意数据包,因为在这些地方特定的安全应用实际上难以执行。通过将高性能的统一威胁管理技术(UTM)集成到SSL VPN,可以将所有的数据流在穿越资源边界前扫描净化。由于现代网络攻击可以通过数据包状态检测渗入,一个干净VPN的 UTM组件应能够对整个数据流进行深度数据包检测。

    保护资源免遭未经授权的访问和攻击

    随着业务扩展至超越了传统局域网的边界,IT部门不再拥有确保企业数据安全的最终决定权。多数私人和公共部门必须遵守政府和行业法规,保护敏感数据资源的安全,不然他们将会受到巨额罚款或业务受限的处罚。一个干净的VPN可以通过强制认证、数据加密、精细访问策略和网关威胁防护来保护资源。一个有效的干净的VPN策略工具应根据每个远程用户和端点设备的可信任度来控制其访问权,以及根据每个用户被授权访问哪些应用程序来控制其访问权。该工具应根据终端是否是受全面IT管理的设备,来执行不同的访问政策。虽然访问控制对于保护资源至关重要,但即使是最缜密的访问控制,也可能会受到超级精密的犯罪攻击以及不断变化的网络威胁的危害。一个干净VPN的最佳策略是在资源周围增加一层可以提供自动更新的反病毒软件、反间谍软件、入侵防御软件和内容过滤软件的全面UTM防火墙保护。

    将用户实时便捷地连接到资源

    理想情况下,一个干净VPN的设计应能够根据设备质询、用户认证及访问策略,智能化和无缝地将用户连接到授权访问的资源,同时使用适合于特定端点设备(例如,笔记本电脑、PDA、智能手机和酒店公用亭等)的访问方法和接口。为了防止出现性能瓶颈,一个干净VPN的配置必须能够平衡系统性能和流量政策的执行。 UTM防火墙组件应能在系统出现任何带宽异常时提醒管理员,推断出访问政策遭到滥用,并触发适当的使用限制。任何干净的VPN环境必须利用超高性能的架构设计,如多核处理器平台,以便能够实时对带宽密集型移动数据流进行全面扫描,不让网络吞吐能力受到阻碍。

    很显然,智能手机和笔记本电脑已经成为公司、学术机构和政府实体事实上的网络端点。在这些移动设备的安全管理上,IT部门必须了解笔记本电脑和智能手机平台之间的差异以及相似之处。了解了这些区别后,IT部门就可以应用最佳做法以确保企业通信的保密性和安全性 - 无论是在企业网络边界的哪一侧,也无论是来自什么样的通信端点。

推荐阅读