论文部分内容阅读
员工移动性迅速发展,现在比以往任何时候都更需要安全可靠且易于管理的远程访问管理部署,但同时企业也面临着很大的挑战,包括配置、设备兼容性、端点管理和用户教育等。本文将探讨如何利用集中管理安全框架来减轻IT管理的负担并提高员工工作效率。
企业针对现有的基础设施都设有IT政策,而这通常是与企业的IT目标脱节的。最近,企业都在部署BYOPC(自备电脑)政策,让员工可以自由使用他们想要使用的计算机或者移动设备,然而技术上还无法为这种政策提供足够的保障。
一种独立于特定类型设备、操作系统和VPN网关的系统可以帮助企业执行BYOPC政策。这种系统可以允许员工使用所有标准操作系统,例如Windows 7、Windows Vista(32/64位)、Linux、Mac、Symbian和Windows Mobile,同时能够安全地访问网络。这种情况下,使用自己的设备将帮助员工提高工作效率。
教育员工
大多数员工(除了那些在IT部门的员工)通常都不是技术人员,当他们试图通过VPN连接到网络时,他们通常会畏缩,因为传统VPN通常需要几个步骤才能建立连接,而员工需要快速有效地访问网络,他们需要的是一键解决方案,而不需要登录、连接等繁琐步骤。
一键解决方案可以缩短培训员工的时间,公司可以因此减少IT培训,无故障的解决方案还可以提高办公效率,让员工感觉轻松自在。
一键解决方案不仅使连接网络变得更容易,用户界面也简单易懂,这一点很重要,因为员工需要知道连接情况和实时信息,而不用浪费时间去查找这些信息。部署简单界面的VPN客户端可以减少员工对IT部门的询问或者请求帮助。
集中管理
管理网络对于管理员而言是很复杂的工作,网络是非常全面的,需要很多关注和维护。而随着员工越来越依赖于移动设备(如PDA、笔记本和上网本),远程访问的需要变得更大。
然而,管理所有设备和用户是非常复杂的工作,我们可以通过一个中央管理框架来集中管理和配置。
使用中央管理系统,管理员可以轻松管理网络和访问网络的用户,数据可以轻易地从现有目录服务(如Microsoft Active Directory或者LDAP)中取出,并运用到个人网络地址。这样节约了时间和成本,简化了证书管理和软件分发等工作。
同时还减轻了新员工安装和维护的工作,员工变动也能够实时解决,网络管理的工作量也有所减轻,还帮助公司节约成本。
混合SSL和IP安全
作为VPN客户端,安全套接层(SSL)和IP安全一直广受争议,很明确的一点是,它们用于两种不同的情况,而其中一个并没有比另一个更有优势。对于用户远程访问,企业解决方案应该同时支持SSL和IPSec。我们应该从移动性、生产效率和政策需要方面来考虑员工的网络访问,而不是从技术上限制网络访问。
在某些情况下,IPSec是比较合适的,特别是对于那些想选择在办公室外办公的永久雇员。而SSL更加适合于外部用户,例如客户和供应商,他们只是偶尔需要访问网络。
企业需要重新考虑这种混合模式(同时支持IPSec和SSL)的网络,混合VPN渠道为员工在每次远程访问环境中提供安全外部通信,员工可以通过集中管理的IPSec VPN或者通过“无客户端”与公司互联网连接。
网络访问控制
使用传统技术(例如防火墙或者入侵检测技术)已经不再能够控制威胁,尤其是当越来越多的员工选择移动办公时。通过网络访问控制(NAC)功能监测和管理连接到公司网络的每个远程访问,鉴定每台设备和检查其是否符合公司的安全政策。
安全准则和参数是根据公司的远程访问政策而建立的,未知或者可疑设备(包含过期防毒软件的设备或者无法识别的PDA)都将被隔离。
当没有部署网络访问控制时,那些未知和可疑设备将访问并且感染网络,随着远程访问用户的增加,这个问题将变得更加严重,网络访问控制功能可确保远程访问客户端符合公司的安全政策。
例如:确保他们的操作系统是可接受的,安装了必要的安全补丁和最新的病毒库,以及最新的签名。没有网络访问控制功能的话,设备将破坏整个网络,浪费公司的资金和时间。当重新考虑远程访问时,请考虑使用这个功能。
企业针对现有的基础设施都设有IT政策,而这通常是与企业的IT目标脱节的。最近,企业都在部署BYOPC(自备电脑)政策,让员工可以自由使用他们想要使用的计算机或者移动设备,然而技术上还无法为这种政策提供足够的保障。
一种独立于特定类型设备、操作系统和VPN网关的系统可以帮助企业执行BYOPC政策。这种系统可以允许员工使用所有标准操作系统,例如Windows 7、Windows Vista(32/64位)、Linux、Mac、Symbian和Windows Mobile,同时能够安全地访问网络。这种情况下,使用自己的设备将帮助员工提高工作效率。
教育员工
大多数员工(除了那些在IT部门的员工)通常都不是技术人员,当他们试图通过VPN连接到网络时,他们通常会畏缩,因为传统VPN通常需要几个步骤才能建立连接,而员工需要快速有效地访问网络,他们需要的是一键解决方案,而不需要登录、连接等繁琐步骤。
一键解决方案可以缩短培训员工的时间,公司可以因此减少IT培训,无故障的解决方案还可以提高办公效率,让员工感觉轻松自在。
一键解决方案不仅使连接网络变得更容易,用户界面也简单易懂,这一点很重要,因为员工需要知道连接情况和实时信息,而不用浪费时间去查找这些信息。部署简单界面的VPN客户端可以减少员工对IT部门的询问或者请求帮助。
集中管理
管理网络对于管理员而言是很复杂的工作,网络是非常全面的,需要很多关注和维护。而随着员工越来越依赖于移动设备(如PDA、笔记本和上网本),远程访问的需要变得更大。
然而,管理所有设备和用户是非常复杂的工作,我们可以通过一个中央管理框架来集中管理和配置。
使用中央管理系统,管理员可以轻松管理网络和访问网络的用户,数据可以轻易地从现有目录服务(如Microsoft Active Directory或者LDAP)中取出,并运用到个人网络地址。这样节约了时间和成本,简化了证书管理和软件分发等工作。
同时还减轻了新员工安装和维护的工作,员工变动也能够实时解决,网络管理的工作量也有所减轻,还帮助公司节约成本。
混合SSL和IP安全
作为VPN客户端,安全套接层(SSL)和IP安全一直广受争议,很明确的一点是,它们用于两种不同的情况,而其中一个并没有比另一个更有优势。对于用户远程访问,企业解决方案应该同时支持SSL和IPSec。我们应该从移动性、生产效率和政策需要方面来考虑员工的网络访问,而不是从技术上限制网络访问。
在某些情况下,IPSec是比较合适的,特别是对于那些想选择在办公室外办公的永久雇员。而SSL更加适合于外部用户,例如客户和供应商,他们只是偶尔需要访问网络。
企业需要重新考虑这种混合模式(同时支持IPSec和SSL)的网络,混合VPN渠道为员工在每次远程访问环境中提供安全外部通信,员工可以通过集中管理的IPSec VPN或者通过“无客户端”与公司互联网连接。
网络访问控制
使用传统技术(例如防火墙或者入侵检测技术)已经不再能够控制威胁,尤其是当越来越多的员工选择移动办公时。通过网络访问控制(NAC)功能监测和管理连接到公司网络的每个远程访问,鉴定每台设备和检查其是否符合公司的安全政策。
安全准则和参数是根据公司的远程访问政策而建立的,未知或者可疑设备(包含过期防毒软件的设备或者无法识别的PDA)都将被隔离。
当没有部署网络访问控制时,那些未知和可疑设备将访问并且感染网络,随着远程访问用户的增加,这个问题将变得更加严重,网络访问控制功能可确保远程访问客户端符合公司的安全政策。
例如:确保他们的操作系统是可接受的,安装了必要的安全补丁和最新的病毒库,以及最新的签名。没有网络访问控制功能的话,设备将破坏整个网络,浪费公司的资金和时间。当重新考虑远程访问时,请考虑使用这个功能。