管理安全的遠(yuǎn)程訪問(wèn)是一項(xiàng)艱巨的任務(wù)。因?yàn)檫h(yuǎn)程系統(tǒng)可能直接連接到互聯(lián)網(wǎng)而不是通過(guò)公司的防火墻,所以遠(yuǎn)程系統(tǒng)將給你的網(wǎng)絡(luò)環(huán)境帶來(lái)更大的風(fēng)險(xiǎn)。病毒和間諜軟件防御以及一般的VPN網(wǎng)絡(luò)策略還不足以保護(hù)這些系統(tǒng)的安全以及它們連接的網(wǎng)絡(luò)的安全。下面是提供安全的遠(yuǎn)程訪問(wèn)的五個(gè)最佳做法。
1.軟件控制策略
創(chuàng)建一個(gè)策略,定義必須在系統(tǒng)中存在的具有遠(yuǎn)程訪問(wèn)功能的確切的安全軟件控制機(jī)制。例如,你需要詳細(xì)說(shuō)明必須安裝殺毒、反間諜軟件和桌面防火墻并且用最新的簽名進(jìn)行具體的設(shè)置,或者以廠商接受的方式進(jìn)行設(shè)置。最佳的做法是與連接設(shè)置發(fā)布策略或者向最終用戶(hù)發(fā)布同樣的指令。對(duì)于端點(diǎn)安全來(lái)說(shuō),零誤差策略通常是最好的。最終用戶(hù)在連接到網(wǎng)絡(luò)之前需要滿(mǎn)足一套規(guī)則的規(guī)定。沒(méi)有殺毒軟件、反間諜軟件和桌面防火墻?不允許進(jìn)行遠(yuǎn)程訪問(wèn)。這個(gè)策略還應(yīng)該詳細(xì)說(shuō)明系統(tǒng)上的哪一個(gè)端口和什么服務(wù)可以公開(kāi)。
2.端點(diǎn)安全管理
選擇一個(gè)提供廣泛的端點(diǎn)安全管理和強(qiáng)制執(zhí)行策略的廠商作為他們VPN或者遠(yuǎn)程訪問(wèn)解決方案的一部分。最佳的做法是強(qiáng)制規(guī)定所有的遠(yuǎn)程用戶(hù)必須使用企業(yè)贊助的VPN客戶(hù)機(jī)。那是你真正地遵守規(guī)定和保證端點(diǎn)安全狀況的惟一方法。你選擇的遠(yuǎn)程接入解決方案應(yīng)該能夠拒絕那些沒(méi)有通過(guò)遵守規(guī)定檢查的端點(diǎn)系統(tǒng)的連接。理想的方法是,這個(gè)解決方案應(yīng)該告訴最終用戶(hù)哪一項(xiàng)沒(méi)有符合政策規(guī)定,以便這些用戶(hù)在連接之前改正不符合規(guī)定的情況。這樣會(huì)減少服務(wù)臺(tái)的求助電話。
3.加強(qiáng)遵守公司政策
當(dāng)最終用戶(hù)連接到企業(yè)網(wǎng)絡(luò)時(shí),通知最終用戶(hù)公司安全政策已經(jīng)擴(kuò)大到了他們的遠(yuǎn)程桌面。例如,在連接到公司網(wǎng)絡(luò)時(shí),沒(méi)有文件共享和其它未經(jīng)允許的應(yīng)用。
4.報(bào)告功能
報(bào)告最終用戶(hù)遵守規(guī)定的狀況是非常重要的。上面提到的大多數(shù)解決方案都提供了報(bào)告功能,以便讓管理員隨時(shí)了解端點(diǎn)連接狀態(tài)的最新情況。根據(jù)你管理的用戶(hù)數(shù)量,當(dāng)一臺(tái)機(jī)器違反規(guī)定試圖進(jìn)行連接的時(shí)候,設(shè)置用電子郵件向管理員報(bào)警也許是聰明的做法。在某種情況下,管理員的干預(yù)也許是有保證的,特別是當(dāng)這個(gè)網(wǎng)絡(luò)存在其它的接入方式的時(shí)候。
5.定期審查策略和報(bào)告
每隔幾個(gè)月要審查策略和報(bào)告,以找出違反訪問(wèn)規(guī)定的趨勢(shì)和方式。這對(duì)于保證策略和技術(shù)控制能夠滿(mǎn)足你的遠(yuǎn)程訪問(wèn)需求是非常重要的。如果你發(fā)現(xiàn)違反訪問(wèn)規(guī)定的趨勢(shì),你可以相應(yīng)地增加或者修改策略。
