筆記本電腦、掌上電腦、Smartphone、終極移動pc（Ultra-Mobile PC）和筆控輸入 PC（Tablet PC）等移動設(shè)備的技術(shù)在近年突飛猛進，3G及WiMax等寬帶網(wǎng)絡(luò)連接技術(shù)將會成為市場主流，我們正在進入移動運算的新時代。企業(yè)夢寐以求的“移動辦公室”終于實現(xiàn)，員工在外出時，仍然能夠存取企業(yè)網(wǎng)絡(luò)，和在辦公室內(nèi)工作一樣方便。

移動設(shè)備和網(wǎng)絡(luò)連接技術(shù)已經(jīng)蓄勢待發(fā)，但企業(yè)若要充分發(fā)揮這方面的效益，仍然要建立相應(yīng)的網(wǎng)絡(luò)架構(gòu)，即滲透式網(wǎng)絡(luò)存取（Pervasive Network Access, PNA），才能獲得安全而有效的網(wǎng)絡(luò)基建，以滿足業(yè)務(wù)需要。

滲透式網(wǎng)絡(luò)存取

滲透式網(wǎng)絡(luò)存取（Pervasive Network Access, PNA）是安全的網(wǎng)絡(luò)存取架構(gòu)，而且能夠靈活設(shè)置，無論面對怎樣的用戶、端點設(shè)備和網(wǎng)絡(luò)技術(shù)的組合，也能夠?qū)嵭写嫒〖皹I(yè)務(wù)政策。一個成功的滲透式網(wǎng)絡(luò)，必須同時應(yīng)用SSL VPN及UAC兩種解決方案，同時對外聯(lián)網(wǎng)絡(luò)及內(nèi)聯(lián)網(wǎng)絡(luò)傳輸進行管理，以達(dá)到下面的要求：

•對應(yīng)Windows、Linux、UNIX等各種不同的計算機系統(tǒng)，以及Pocket PC、Smartphone等移動運算設(shè)備，并能夠驗證其身份及是否符合網(wǎng)絡(luò)安全政策。

•系統(tǒng)要能夠靈活設(shè)置用戶身份及角色，根據(jù)內(nèi)部和外部用戶的業(yè)務(wù)需求來決定存取情況，例如CFO和外部核數(shù)師都需要存取財務(wù)系統(tǒng)，但CFO應(yīng)該可以存取整個財務(wù)資源，而核數(shù)師就只可以存取部分財務(wù)數(shù)據(jù)，系統(tǒng)應(yīng)該能夠阻止用戶存取其職權(quán)以外的資源。

•同一位用戶可能經(jīng)常到不同地點工作，因此需要在客戶公司內(nèi)、家中甚至街上不同地點進入企業(yè)網(wǎng)絡(luò)；因此系統(tǒng)要能夠滿足用戶的不同需要。既然用戶身在公司內(nèi)、街上甚至海外也有需要連接企業(yè)網(wǎng)絡(luò)，不論他們采用可靠（trusted）、半可靠（semi-trusted）甚至不可靠（un-trusted）的網(wǎng)絡(luò)聯(lián)機和設(shè)備，企業(yè)網(wǎng)絡(luò)也要對應(yīng)其網(wǎng)絡(luò)和設(shè)備。若用戶于可靠性和安全性較低的環(huán)境下存取網(wǎng)絡(luò)（例如咖啡室內(nèi)的計算機），系統(tǒng)應(yīng)該拒絕讓他們連接企業(yè)的機密數(shù)據(jù)。

以統(tǒng)一接入控制技術(shù)建立滲透式網(wǎng)絡(luò)架構(gòu)

SSL VPN針對外聯(lián)網(wǎng)絡(luò)傳輸進行安全管制，而對內(nèi)聯(lián)網(wǎng)絡(luò)傳輸就需要依靠統(tǒng)一接入控制 (Unified Access Control, UAC ) 方案來進行監(jiān)管。UAC方案由三部分組成，首先是根據(jù)以角色為基礎(chǔ)的政策，作出關(guān)于存取權(quán)決策的策略管理服務(wù)器（Infranet Controller），其次就是評估端點設(shè)備是否符合安全標(biāo)準(zhǔn)的小巧軟件代理器（Infranet Agent），最后就是負(fù)責(zé)實時執(zhí)行安全政策的Infranet Enforcers。

UAC使網(wǎng)絡(luò)能夠結(jié)合客戶端點評估和身份及網(wǎng)絡(luò)信息，能夠在整個網(wǎng)絡(luò)內(nèi)實行實時政策管理，既方便用戶存取網(wǎng)絡(luò)資源，也能夠顧及安全控制，讓企業(yè)可以掌握網(wǎng)絡(luò)存取情況、對抗威脅及遵守法規(guī)要求，同時提供安全、可靠的網(wǎng)絡(luò)服務(wù)，在加強協(xié)作和資源共享之余，同時減低網(wǎng)絡(luò)被入侵的風(fēng)險。

除了UAC外，網(wǎng)絡(luò)基建的其余部份也要采用靈活的架構(gòu)和開放式標(biāo)準(zhǔn)。企業(yè)要對應(yīng)各種不同的用戶角色和業(yè)務(wù)程序，同時系統(tǒng)要具有豐富的設(shè)置選項，以對應(yīng)不同的政策和執(zhí)行技術(shù)，因此要采用可信賴計算組織 Trusted Computing Group (TCG)、電氣電子工程師協(xié)會IEEE及互聯(lián)網(wǎng)工程任務(wù)組IETF等業(yè)界團體提出的開放式標(biāo)準(zhǔn)，包括 RADIUS、802.1X、SSL/TLS及IPSec，才能應(yīng)付市面上五花八百的產(chǎn)品和技術(shù)和不可預(yù)計的未來需要。

滲透式網(wǎng)絡(luò)存取是一個復(fù)雜而龐大的架構(gòu)，不可能一蹴即就。企業(yè)必須先計劃周全，尋找適當(dāng)?shù)募夹g(shù)伙伴，然后逐步實行，才能夠成功建立一個靈活、可調(diào)節(jié)規(guī)模及容易管理的系統(tǒng)，以便同時應(yīng)付業(yè)務(wù)、網(wǎng)絡(luò)、安全和IT管理方面的需要，使企業(yè)在安全可靠的環(huán)境下運作。