为企业网络上的智能手机和平板电脑提供安全保障

No replies
admin
admin的头像
Offline
Joined: 11/01/2014

曾几何时,IT经理们可以把心放宽,因为他们的用户、计算机、数据和应用程序都位于稳健的局域网后面。在一个完美的世界里,IT部门宁愿简单地阻止所有来自传统网络边界外的资源访问。然而,现代企业的做法已经远远超越了传统的网络边界。超越边界的网络所带来的商业利益,以及企业员工对移动技术的快速接受,使得传统的硬化网络模型功能显得过时。如今,IT部门解决网络安全的方式必须能够超越网络边界来促成和扩展业务。显而易见,移动员工数量的迅速增长也反映了人们使用移动设备数量的增加。提高生产率和节约成本是推动智能设备增长的最终动力。随着移动员工数量的快速增长,企业将要面临的一个主要挑战就是管理这些移动设备,尤其是当这些移动设备用来访问企业网络的时候。
  网络数据流不再只包含如电子邮件和网页这样只需存储转移和基于会话的应用程序,或者传统的客户端/服务器应用程序,而是已扩展到包括实时协作工具、Web 2.0应用程序、即时通讯、端到端应用、网络电话、流媒体和远程视讯会议。目前,大部分商业网络数据流或源于或穿越位于企业网络边界外的外围终端设备,这为不断演化的网络威胁打开了新的渠道。随着进入网络的新途径日益增多,被利益驱使的精明网络攻击犯罪者发动了极为复杂的网络攻击,从而提升了数据被窃、系统当机以及金钱被盗的风险,降低了生产率,消耗了带宽。
  如今,关键任务和敏感信息都在远程移动终端设备上存储和计算。IT部门需要采取措施,以确保数据能够安全地流入和流出这些外部资源库以及他们自己的企业数据中心。另外,BYOD(自带设备)这种新的模式也存在复杂的风险/回报问题。其中最大的威胁或许来自使用者自己,他们根据自己的爱好频繁地使用移动设备,但对于公司IT安全政策却考虑得不多。
  随着数量的增加,移动设备成为犯罪分子较为重要的攻击目标。那些困扰传统计算机操作系统的威胁同样会对智能手机和平板电脑产生影响,它们可以通过电子邮件、社交媒体网站、游戏、屏幕保护程序、即时消息以及幻灯片的传播方式,或在某些情况下,通过冒牌的网址缩短服务,这种所谓的服务使虚假的重新链接更加难以确定。例如,有一份报告列举了这样一个事实,安卓手机用户在2011年年中遇到恶意软件的可能性是年初的2.5倍。由于智能手机和平板电脑是一个比电脑更贴心的通信渠道,使用者更容易与伪装成个人通信的文件打交道。同样,在智能手机的小型屏幕上,用户也不容易发现假网站的线索,因此,移动设备用户点击不安全链接的可能性达30%。
  然而,更为严重的是,这不仅是一个安全问题。移动设备的频繁使用正在给企业网络资源造成越来越大的压力,特别是当用户使用比如视频这样占用高带宽的内容时。根据IDC的研究结果,2010年,有109亿个移动应用程序被下载(IDC预计,到2014年这个数字将增加到近769亿个),它们每一个都是对企业安全的潜在威胁, 同时也是网络性能的潜在障碍,这将会对公司的生产力和盈利能力产生直接的影响。这些因素加在一起给IT部门出了一道严肃的难题:一方面,智能手机和平板电脑功能强大且非常有用,能够使用户以全新的方式更为灵活和高效地工作,企业对此实在是无法忽略。另一方面,使用这些移动设备也给安全性带来了难题,给技术预算和资源增添了很大的压力。
  企业要想从移动工作获得最大的利益,他们就必须考虑可以给员工多大的访问权限,而不是限制。而这又意味着需要作一些重要的决定,比如这些移动平台在哪儿需要安全保障,以及如何为它们提供安全保障。这里有一个三层安全保障法可供企业以及那些负责安全保障(从技术角度)的人员采纳:
  l检测传统网络边界外的用户、端点和信息流的完整性
  l保护应用程序和资源免遭未经授权的访问和恶意攻击
  l将授权用户无缝、轻松且实时地连接到适当的资源
  检测端点、用户和信息流的完整性
  在授权访问一个干净的VPN之前,SSL VPN技术可以启动对端点的质询,以确认某些符合IT安全政策的必需特性是否存在(例如:操作系统、应用程序、域成员、证书、文件、抗病毒软件、反间谍软件以及个人防火墙等)。即便如此,当连接是来自不受信任的端点如家用电脑或公用设备时,则可能存在破坏网络的潜在恶意数据包,因为在这些地方特定的安全应用实际上难以执行。通过将高性能的统一威胁管理技术(UTM)集成到SSL VPN,可以将所有的数据流在穿越资源边界前扫描净化。由于现代网络攻击可以通过数据包状态检测渗入,一个干净VPN的 UTM组件应能够对整个数据流进行深度数据包检测。
  保护资源免遭未经授权的访问和攻击
  随着业务扩展至超越了传统局域网的边界,IT部门不再拥有确保企业数据安全的最终决定权。多数私人和公共部门必须遵守政府和行业法规,保护敏感数据资源的安全,不然他们将会受到巨额罚款或业务受限的处罚。一个干净的VPN可以通过强制认证、数据加密、精细访问策略和网关威胁防护来保护资源。一个有效的干净的VPN策略工具应根据每个远程用户和端点设备的可信任度来控制其访问权,以及根据每个用户被授权访问哪些应用程序来控制其访问权。该工具应根据终端是否是受全面IT管理的设备,来执行不同的访问政策。虽然访问控制对于保护资源至关重要,但即使是最缜密的访问控制,也可能会受到超级精密的犯罪攻击以及不断变化的网络威胁的危害。一个干净VPN的最佳策略是在资源周围增加一层可以提供自动更新的反病毒软件、反间谍软件、入侵防御软件和内容过滤软件的全面UTM防火墙保护。
  将用户实时便捷地连接到资源
  理想情况下,一个干净VPN的设计应能够根据设备质询、用户认证及访问策略,智能化和无缝地将用户连接到授权访问的资源,同时使用适合于特定端点设备(例如,笔记本电脑、PDA、智能手机和酒店公用亭等)的访问方法和接口。为了防止出现性能瓶颈,一个干净VPN的配置必须能够平衡系统性能和流量政策的执行。 UTM防火墙组件应能在系统出现任何带宽异常时提醒管理员,推断出访问政策遭到滥用,并触发适当的使用限制。任何干净的VPN环境必须利用超高性能的架构设计,如多核处理器平台,以便能够实时对带宽密集型移动数据流进行全面扫描,不让网络吞吐能力受到阻碍。
  很显然,智能手机和笔记本电脑已经成为公司、学术机构和政府实体事实上的网络端点。在这些移动设备的安全管理上,IT部门必须了解笔记本电脑和智能手机平台之间的差异以及相似之处。了解了这些区别后,IT部门就可以应用最佳做法以确保企业通信的保密性和安全性 - 无论是在企业网络边界的哪一侧,也无论是来自什么样的通信端点。
       企业网络边界外的访问安全:
  1.建立反向网页代理:通过提供标准的网页浏览器访问网络资源,反向代理可以验证和加密基于网页的网络资源访问。反向代理在为笔记本电脑和智能手机提供访问时,不会过问是何种平台,从而最大限度地减少部署开支。
  2.建立SSL VPN通道:基于代理程序的加密SSL VPN通道为笔记本电脑和智能手机增加了便捷的“办公室”网络层访问通道,以访问关键的客户端 - 服务器资源。
  3.建立笔记本电脑终端控制:为了帮助受管理和不受管理的Windows、Macintosh和Linux笔记本电脑建立和实施可接受的安全政策,端点控制可以确定安全应用程序存在与否,并根据安全政策和用户身份来允许、隔离或拒绝访问。以上所述对于笔记本电脑来说非常重要,但对于智能手机就不那么重要,原因是由于其配送环境都是白名单应用程序。
  4.为笔记本电脑创建一个安全的虚拟桌面电脑环境:安全虚拟桌面环境可以防止
  用户将敏感数据遗留在不受管理的Windows笔记本电脑上。
  5.为笔记本电脑的高速缓存应用清洁技术:当用户关闭浏览器后,高速缓存清洁可以从笔记本电脑去除所有追踪信息。
  6.用下一代防火墙(NGFW)扫描过滤VPN信息流:笔记本电脑和智能手机都可能成为恶意软件跨越网络边界的通道,甚至是通过WiFi或3G/4G连接。采用NGFW集成部署,就可以建立一个清洁的VPN来解密并扫描过滤所有的内容。 NGFW网关的安全措施(抗病毒软件/反间谍软件,入侵预防服务)可以在危险数据进入网络前消除其威胁。
  7.为笔记本电脑和智能手机增加严格的身份验证:一个有效的安全解决方案
  应无缝集成标准验证方法,如双因素身份验证和一次性密码验证。
  网络边界内部的访问安全:
  8.扫描通过NGFW的WiFi数据流:将NGFW与802.11 a / b / g/ n无线连接协议加以集成,为网络边界内的用户创建一个“清洁无线”网络。
  9.控制应用流量:一般情况下,移动设备应用程序要么是关键业务解决方案,要么是个人消遣应用程序。一个具有应用智能、访问控制和可视化的清洁VPN解决方案,可以让IT部门能够定义和实施如何使用应用程序和带宽资产的政策。
  10.防止数据泄漏:数据泄漏保护可以扫描出站数据流以阻止保密内容的泄漏。
  11.阻止不适当的网页访问:内容过滤可以帮助移动用户遵守监管法规以确保友善的网络环境。
  12.阻止僵尸网络攻击的流出:反恶意软件可以识别和阻止从连接到网络的移动设备向外发出僵尸网络攻击
  移动设备的广泛应用给IT部门带来了全新的挑战。其中的一个就是如果IT部门采用过于严格的安全政策,实际上则可能会对公司业务造成伤害,而不是起到促进作用。当然,解决方案就是加强安全性管理。然而,神奇之处在于IT部门部署的安全措施既要起到保护作用,又不应成为一个障碍。解决方案就是增加安全性,让这些新设备所带来的便利能够促进业务,而不是阻碍业务发展。

Theme by Danetsoft and Danang Probo Sayekti inspired by Maksimer