筆記本電腦、掌上電腦、Smartphone、終極移動(dòng)pc(Ultra-Mobile PC)和筆控輸入 PC(Tablet PC)等移動(dòng)設(shè)備的技術(shù)在近年突飛猛進(jìn),3G及WiMax等寬帶網(wǎng)絡(luò)連接技術(shù)將會(huì)成為市場(chǎng)主流,我們正在進(jìn)入移動(dòng)運(yùn)算的新時(shí)代。企業(yè)夢(mèng)寐以求的“移動(dòng)辦公室”終于實(shí)現(xiàn),員工在外出時(shí),仍然能夠存取企業(yè)網(wǎng)絡(luò),和在辦公室內(nèi)工作一樣方便。事實(shí)上,業(yè)界預(yù)測(cè)掌上移動(dòng)設(shè)備2007年第一季的全球銷(xiāo)量將達(dá)到二億至三億,約等于2007年全年的預(yù)計(jì)PC總銷(xiāo)量。
移動(dòng)設(shè)備和網(wǎng)絡(luò)連接技術(shù)已經(jīng)蓄勢(shì)待發(fā),但企業(yè)若要充分發(fā)揮這方面的效益,仍然要建立相應(yīng)的網(wǎng)絡(luò)架構(gòu),即滲透式網(wǎng)絡(luò)存取(Pervasive Network Access, PNA),才能獲得安全而有效的網(wǎng)絡(luò)基建,以滿足業(yè)務(wù)需要。
滲透式網(wǎng)絡(luò)存取
滲透式網(wǎng)絡(luò)存取(Pervasive Network Access, PNA)是安全的網(wǎng)絡(luò)存取架構(gòu),而且能夠靈活設(shè)置,無(wú)論面對(duì)怎樣的用戶、端點(diǎn)設(shè)備和網(wǎng)絡(luò)技術(shù)的組合,也能夠?qū)嵭写嫒〖皹I(yè)務(wù)政策。一個(gè)成功的滲透式網(wǎng)絡(luò),必須同時(shí)應(yīng)用SSL VPN及UAC兩種解決方案,同時(shí)對(duì)外聯(lián)網(wǎng)絡(luò)及內(nèi)聯(lián)網(wǎng)絡(luò)傳輸進(jìn)行管理,以達(dá)到下面的要求:
•對(duì)應(yīng)Windows、Linux、UNIX等各種不同的計(jì)算機(jī)系統(tǒng),以及Pocket PC、Smartphone等移動(dòng)運(yùn)算設(shè)備,并能夠驗(yàn)證其身份及是否符合網(wǎng)絡(luò)安全政策。
•系統(tǒng)要能夠靈活設(shè)置用戶身份及角色,根據(jù)內(nèi)部和外部用戶的業(yè)務(wù)需求來(lái)決定存取情況,例如CFO和外部核數(shù)師都需要存取財(cái)務(wù)系統(tǒng),但CFO應(yīng)該可以存取整個(gè)財(cái)務(wù)資源,而核數(shù)師就只可以存取部分財(cái)務(wù)數(shù)據(jù),系統(tǒng)應(yīng)該能夠阻止用戶存取其職權(quán)以外的資源。
•同一位用戶可能經(jīng)常到不同地點(diǎn)工作,因此需要在客戶公司內(nèi)、家中甚至街上不同地點(diǎn)進(jìn)入企業(yè)網(wǎng)絡(luò);因此系統(tǒng)要能夠滿足用戶的不同需要。既然用戶身在公司內(nèi)、街上甚至海外也有需要連接企業(yè)網(wǎng)絡(luò),不論他們采用可靠(trusted)、半可靠(semi-trusted)甚至不可靠(un-trusted)的網(wǎng)絡(luò)聯(lián)機(jī)和設(shè)備,企業(yè)網(wǎng)絡(luò)也要對(duì)應(yīng)其網(wǎng)絡(luò)和設(shè)備。若用戶于可靠性和安全性較低的環(huán)境下存取網(wǎng)絡(luò)(例如咖啡室內(nèi)的計(jì)算機(jī)),系統(tǒng)應(yīng)該拒絕讓他們連接企業(yè)的機(jī)密數(shù)據(jù)。
以統(tǒng)一接入控制技術(shù)建立滲透式網(wǎng)絡(luò)架構(gòu)
SSL VPN針對(duì)外聯(lián)網(wǎng)絡(luò)傳輸進(jìn)行安全管制,而對(duì)內(nèi)聯(lián)網(wǎng)絡(luò)傳輸就需要依靠統(tǒng)一接入控制 (Unified Access Control, UAC ) 方案來(lái)進(jìn)行監(jiān)管。UAC方案由三部分組成,首先是根據(jù)以角色為基礎(chǔ)的政策,作出關(guān)于存取權(quán)決策的策略管理服務(wù)器(Infranet Controller),其次就是評(píng)估端點(diǎn)設(shè)備是否符合安全標(biāo)準(zhǔn)的小巧軟件代理器(Infranet Agent),最后就是負(fù)責(zé)實(shí)時(shí)執(zhí)行安全政策的Infranet Enforcers。
UAC使網(wǎng)絡(luò)能夠結(jié)合客戶端點(diǎn)評(píng)估和身份及網(wǎng)絡(luò)信息,能夠在整個(gè)網(wǎng)絡(luò)內(nèi)實(shí)行實(shí)時(shí)政策管理,既方便用戶存取網(wǎng)絡(luò)資源,也能夠顧及安全控制,讓企業(yè)可以掌握網(wǎng)絡(luò)存取情況、對(duì)抗威脅及遵守法規(guī)要求,同時(shí)提供安全、可靠的網(wǎng)絡(luò)服務(wù),在加強(qiáng)協(xié)作和資源共享之余,同時(shí)減低網(wǎng)絡(luò)被入侵的風(fēng)險(xiǎn)。
除了UAC外,網(wǎng)絡(luò)基建的其余部份也要采用靈活的架構(gòu)和開(kāi)放式標(biāo)準(zhǔn)。企業(yè)要對(duì)應(yīng)各種不同的用戶角色和業(yè)務(wù)程序,同時(shí)系統(tǒng)要具有豐富的設(shè)置選項(xiàng),以對(duì)應(yīng)不同的政策和執(zhí)行技術(shù),因此要采用可信賴(lài)計(jì)算組織 Trusted Computing Group (TCG)、電氣電子工程師協(xié)會(huì)IEEE及互聯(lián)網(wǎng)工程任務(wù)組IETF等業(yè)界團(tuán)體提出的開(kāi)放式標(biāo)準(zhǔn),包括 RADIUS、802.1X、SSL/TLS及IPSec,才能應(yīng)付市面上五花八百的產(chǎn)品和技術(shù)和不可預(yù)計(jì)的未來(lái)需要。
滲透式網(wǎng)絡(luò)存取是一個(gè)復(fù)雜而龐大的架構(gòu),不可能一蹴即就。企業(yè)必須先計(jì)劃周全,尋找適當(dāng)?shù)募夹g(shù)伙伴,然后逐步實(shí)行,才能夠成功建立一個(gè)靈活、可調(diào)節(jié)規(guī)模及容易管理的系統(tǒng),以便同時(shí)應(yīng)付業(yè)務(wù)、網(wǎng)絡(luò)、安全和IT管理方面的需要,使企業(yè)在安全可靠的環(huán)境下運(yùn)作。
