怎样保障外延企业的安全 (2)

艰难的起步

最初，National Gypsum公司为其销售人员配备了笔记本电脑，并让他们通过一个免费号码拨打配有16条线路的3Com Total Control远程访问服务器。销售人员在这里下载其电子邮件，然后，退出服务器，以阅读电子邮件和撰写电子邮件回复函。

在18个月之内，该公司用Microsoft Access、Office以及使用Citrix瘦客户机软件和服务器的自产的客户销售/客户服务来充实其远程访问菜单。不久之后，该公司又增加了终端仿真。他表示，当市场营销人员、工程师和其他工作人员也发现拓宽了的应用访问非常有用之后，这些邻近部门使用拨号远程访问的650至700人也迅速地加入到了这个行列。

Brannon说：“未曾预料到的一个影响就是，突然之间，这些人员在线的时间太多了，而以前人们只是拨号之后马上就下线了。如果你使用800号码访问的方式这么做，那么，你得为此为这些在线人员用于思考的每一分钟付费。”

Brannon称，至2001年，这个免费号码访问的月账单已从当初的3万美元增至每月6万美元。他表示，为客户提供拨号访问从成本的角度来讲应该是被禁止的。他说：“我们意识到，当我们的免费拨号访问规模扩大之后，我们已无法承受得起了。”

该公司认为远程访问IPSec VPN可以降低免费拨号费用，因为雇员们可以通过Internet进行访问，其费用是统一的服务费，本地电话免费。因此，2001年晚些时候，National Gypsum公司安装了一个Cisco 3005 VPN集中器，这个VPN把每月的连接费用从6万美元降至了6千美元。



曲折的道路

但是，由于VPN要求在每个终端用户设备上进行恰当的VPN软件配置，因此，VPN并不太适合于用来把访问扩展至客户和物流合作伙伴——即那些向客户发送产品的运输公司。Brannon说：“我们实际上不可能到我们的物流合作伙伴以及我们的外部客户那里去对它们说：“你们必须在和我们连接的设备上，把这些软件按我们要求设置妥当。”

因此，虽然该公司为其雇员提供的是基于IPSec VPN的访问，然而，该公司为其外部用户提供的却是基于Internet的远程访问，而这种远程访问使用的是出自Axent技术公司（后来被Symantec公司收购）的软件。Brannon称，这种可以在大多数类型设备上安装的软件充当的是位于该公司的Web服务器前方的反向代理，这样就可以防止把这些服务器暴露给Internet。

Brannon称，最终，总共有250位客户使用这种系统，然而，这种软件的许可证费用证明太昂贵了，以致于无法把它推广至该公司希望的数千位用户。

2002年，Brannon转向了出自VPN专业公司Neoteris公司（后来被NetScreen公司所收购，NetScreen目前已属于Juniper）的SSL远程访问设备。这种VPN允许在不需要其他任何客户机软件的情况下，通过标准的Web浏览器，进行安全的Internet访问。从许可证费用的角度来看，它对可以访问该网关的独立用户的数量并没有设置任何限制。相反，许可证是建立在该网络同时可以支持的用户数量的基础之上的。Brannon称，SSL VPN对于National Gypsum公司来说是一项完美的选择。


成功的外延企业

National Gypsum公司已经把250个 Axent和350个 Cisco VPN用户迁移至SSL两年时间了，并把授权用户的总数扩展至9千多人。Brannon称，这些人包括购买了National Gypsum公司产品的用户、公司的员工，以及其他需要直接访问该公司的网络以完成其工作的人员。网关将在Windows XP之下检查远程设备的抗病毒软件和策略设置。他说：“一旦它们通过了测试，而且，我们对它们进行了配置和检查，那么，我们就会把它们连接至我们的网络。”

75至100位用户可以同时进入同一个设备。根据它们的认证文件，他们可以访问仅为它们的账户和角色所能查看的数据。Brannont称，客户认证文件不要求计算机接受SSL网关扫描，这与该公司提供的笔记本电脑尝试访问的情况是一样的。

一旦得到认证，客户就可以连接至自助式网络界面并监控订单状态，查找计划发送的负载的位置，检查发票和账单报表，以及获得其商业历史的总结报告。 Brannon称，如今，National Gypsum公司每隔几毫秒就会对其新的交易进行一次同步化，并且每个小时都会针对其运送中的每一项负载，对来自其95个合同商的GPS订单位置进行两次捕获。

虽然呼叫中心依然重要，但是，Web访问却扩展了。通过客户Web网页，用户可以申请获得订单何时发出，以及它们何时发货的通知。这些通知可以发往电子邮件账户，或者利用文本语音转换软件通过电话进行“阅读”。Brannon称，正在计划中的是Web服务，National Gypsum公司将使用这种服务把通知当作XML文件发送。

除了把几乎所有远程访问都迁移至SSL外，National Gypsum公司还使用该相同设备的另一项功能来支持Web会议。该公司每周数次使用WebEx Communications公司的会议服务来进行培训，并为每次会议支付最高200美元的费用。他说：“如今，我们正在让每个人都来利用这种SSL VPN设备的优势，这种设备基本上能够免费地为我们提供Web会议服务。”


外延企业的自我审查

为了保护外延企业的安全，合作伙伴必须协作执行安全程序。安全专家提出了以下必须重点考虑的问题。

首先，精明的IT经理会进行抽查，以确保他们拉入到外延企业中的合作伙伴能够按照签署的安全协议去做。另一个明智之举是至少每年一次到现场检查。

对于规定了审计程序的合同，说明如何处理审计发现的安全问题的语言必须明确。企业必须决定，什么水平的事件在修补前阻止其接入网络，什么需要暂时终止协议。

在加入外延企业之前，相关的IT经理应当充分了解结构上的细节。比如将提供什么服务，将使用什么基础设施来保护这项服务，以及将采取哪些监测措施对服务进行检查。是否打算使用代理服务器？会在网络之间开放80端口吗？需要对什么应用进行什么访问以及谁能访问这个应用？”

最后，设置访问控制表和安装身份管理工具只是阻止未经批准传输流的部分措施，合作伙伴还必须在整个网络上嵌入检测可能攻击的智能设备，必须利用基于策略的措施保护所有访问网络的设备。

注：

　　我们知道，外延企业意味着不同的公司之间紧密的合作，其中包括、用户、厂商、销售商、供应商等。而这将不可避免地导致不同企业文化的碰撞与冲突。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有