作者:JOAN
随着网络技术的发展,特别是WEB技术的发展,员工越来越不满意只能坐在办公室里进行办公。他们希望,在家里,出差在宾馆中,甚至在机场的侯机大厅中,都能够连上企业的内部网络,能够象在办公室里那样,访问企业的ERP服务器、文件服务器等等,进行正常的办公。随着VPN(虚拟专用网)的技术越来越成熟,都已经不再有什么困难。但是,现在的问题是,随着员工在企业外部对内部网络的频繁访问,这给企业的网络安全带来了很大的隐患。
现在利用VPN连上企业内部网,破坏企业内部网络的事件,也是频频发生。我们是因噎废食呢,还是该采取手段、努力实现方便与安全两不误呢?我想,大部分人都会选择后者。下面,我将介绍几种典型的VPN安全应用方案。也许这些方案不是最好的,但是,我们也可以从中找出一些比较适合自己的解决方案。让VPN技术,方便与安全都不耽误。
一、 在用户名与密码上做文章
要通过虚拟专用网联上企业内部网络的话,用户名与密码是必须的。但是,传统的用户名与密码是有缺陷的。用户名与密码,我们可以通过各种黑客工具,如键盘记录工具等等,都可以轻易的获取。他们取得这个密码之后,就可以登陆到企业内往,肆无忌惮的进行资料的窃取、网络的破坏、病毒的移植等等。从而使得VPN(虚拟专用网)技术成为他们进行作案的工具。
若我们不让其他人知道VPN的密码,也就是说,VPN的登陆密码会随机的进行改变,那么,他们即使取得密码,但是,这个密码很快就过时了。甚至,同一个密码,象电话充值卡一样,只能够登陆一次的话,那这个密码就安全了。那作为我们的终端用户,该如何知道这个时刻在发生变化的VPN密码呢?
我碰到过几种解决方案,现在拿出来供大家参考。
1、 利用手机获取用户名与密码
我以前在一家咨询公司负责过网络安全方面的工作。因为这家企业是专门为企业提供咨询服务的,所以,其有很多客户比较机密的资料。这些资料,企业都是跟客户签过保密协议,若一泄露的话,企业需要承担很大的赔偿责任。所以,企业对于网络方面的安全,非常的看重。但是,因为咨询顾问经常要出差,需要在外面不定时的利用VPN技术访问企业内部文件服务器。该如何保证这个访问的安全呢?这个问题已经非常现实的摆在了大家的面前。
后来,我跟我们几个技术员想到了一个解决方案。这是我们从中国移动的密码管理机制上联想到的。当员工出差在外,需要利用VPN技术登陆到企业内部网络的话,首先需要用手机发送一条短信,如数字1,发送到一个特定的号码。我们的移动电子商务服务器就会判断这个手机号码的合法性。若移动电子商务服务器认为这个手机号码合法(是公司内部员工的手机号码),就会让VPN服务器临时创建用户名与密码。然后,电子商务服务器就会把这个用户名与密码发送到员工的手机上。比较绝的是,这个用户名与密码是只能够登陆一次。第二次登陆的话,这个用户名与密码就是无效了。如此,即使其他人获得这个用户名与密码,也是没有用的。这个过程的话,只要手机信号够好的话,一般不需要30秒就可以实现了。所以,基本上不会影响用户的VPN使用效率。而且,这个处理过程对于员工来说,也是透明的,不需要用户的干涉即可。
不过,采用这个方法也不是百分之百的安全。如当员工的手机被别人所用,那他们就可以取得用户名与密码。虽然有这个威胁,但是,已经比没有采用这个手段安全多了。
当然,企业还可以根据自己的需要,设置这个登陆的用户名与密码是登陆一次失效呢,还是过一个固定的时间间隔,如一天就失效。这企业需要根据自己的资料安全性等方面进行权衡。
2、 只允许特定的电脑利用VPN技术访问网络
我认识一家企业,他们一般只有经理层及业务员可以通过VPN登陆到企业的内部网络。他们在VPN的安全方面,主要是限制只有专门的电脑才可以利用VPN跟企业内部网络进行联系。他们这是如何实现的呢?
其实,实现的原理也很简单。一般用户的电脑上的硬件都会有唯一的标识用户电脑的信息。如他们网卡的MAC地址,等等,VPN登陆的设置的时候,就会去判断这个MAC地址是否是在已经批准登陆的电脑的MAC地址。若MAC地址准确无误,则就允许用户通过VPN网络技术登陆到企业的内部网络,访问企业的ERP服务器或者文件服务器,从内部网络查看文件,也可以把资料保存到内部的文件服务器中。而因为VPN虚拟专用网络其主要的技术优势就是网络访问速度快,所以,采用VPN技术进行企业内部网络访问的话,就好象员工在公司里上内部网络一样,服务器的响应速度会比较快。
这个解决方法的好处就是,一般只有企业批准的员工的电脑才可以连接到企业的内部网络。而现在基本上出差时或者经理层都配备了笔记本电脑,这也为这个解决方案提供了硬件上的保障。缺点也是很明显的,就是当员工用其他的电脑的话,就无法利用VPN技术登陆到企业的内部网络。这对于哪些没有笔记本或者出差时临时没带笔记本电脑,甚至笔记本电脑没电了,都会影响他们使用VPN网络。
为了解决这个情况,他们企业还采取了一个候补的方法。当员工需要用内到VPN技术连接企业内部网络,而没有合适的计算机时,他们可以打电话通知他们的VPN网络管理员。管理员可以临时的为他们开设一个用户名与密码,临时的解决他们的燃眉之急。确实,这样处理的话,比较灵活。一些例外情况下,也可以迅速的得到响应。
3、 密码不定时的进行更改
我还认识一家高科技企业,他们VPN虚拟专用网的安全方面的问题,他们是通过不断更换密码实现的。这个跟第一种方案的区别,就是他们不是通过电子商务服务器而实现这个用户名与密码的重置。那他们是如何实现密码的不定时更换,并及时通知用户的呢?
原来他们编写了一个小的程序,烧录在一个小的芯片上。这段程序的功能,就是每隔一个小时或者几个小时生成一个密码。当然,这个密码的生成机制与生效时间跟VPN服务器上的密码生成原理与生效时间是一致的。然后,用户拿着这个打火机大小的芯片时,在需要利用VPN技术登陆到企业内部网络的话,就只需要看一下这个密码,就可以了。
这么做的话,用户名是固定的,而密码的话,却是随便更改的。如此的话,比起第一种方式来说,会有不少的优点。
一是会减少用户的投资。如这个解决方案没有用到移动电子商务。也就是说,采用这个解决方式的话,企业就不需要投资建设一个移动电子商务平台。象一种方案的话,如果企业在采用VPN技术之前,已经有了移动电子商务平台,那么使用起来是比较方便的。若企业原先没有这个平台,现在为了实现这个VPN登陆的安全,而专门去建立这个平台的话,那我就觉得动作有点大了。还不如采取现在这个方案来得方便、省钱。所以,从投资的角度讲,除非以前就有移动电子商务平台,否则的话,还是采用这个方案更加合理。
二是因为这个方案的话,在芯片上,只显示密码,而没有用户名。这么做的好处,就是这个芯片丢了,其他人因为没有用户名,也没有用处。因为光凭密码,是无法通过虚拟专用网登陆到企业的内部服务器,进行数据的访问的。
以上是通过用户名与密码上动脑筋,设计出来的几个简单易用的解决方案。有些企业现在使用VPN时,是在需要的时候直接打电话进行申请一次性的用户名与密码,这也是一种比较可行的、成本最省的解决方式。只是这需要有专门的人员,24小时候命。应用起来,没有以上几种方式这么方便罢了。打电话申请用户名与密码就好象银行存款要排队、站柜台;而其他集中解决方法就是自助式的,利用ATM机自助存款一样。一般来说,没有时间、人员上的限制。所以,各种方式都各有利弊,具体采用什么样的解决方案,还是需要用户根据自己的经济实力、对于VPN虚拟专用网络的安全程度及现有的平台等多方面进行考虑。好的VPN设计与管理人员,总是能够根据企业的现有状况,设计出一套符合企业实际情况的安全保障体系。对他们来手,安全技术没有好坏,最适合企业的,就是最好的。
