扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
现在利用VPN连上企业内部网,破坏企业内部网络的事件,也是频频发生。我们是因噎废食呢,还是该采取手段、努力实现方便与安全
一、 在用户名与密码上做文章
要通过虚拟专用网联上企业内部网络的话,用户名与密码是必须的。但是,传统的用户名与密码是有缺陷的。用户名与密码,我们可以通过各种黑客工具,如键盘记录工具等等,都可以轻易的获取。他们取得这个密码之后,就可以登陆到企业内往,肆无忌惮的进行资料的窃取、网络的破坏、病毒的移植等等。从而使得VPN(虚拟专用网)技术成为他们进行作案的工具。
若我们不让其他人知道VPN的密码,也就是说,VPN的登陆密码会随机的进行改变,那么,他们即使取得密码,但是,这个密码很快就过时了。甚至,同一个密码,象电话充值卡一样,只能够登陆一次的话,那这个密码就安全了。那作为我们的终端用户,该如何知道这个时刻在发生变化的VPN密码呢?
1、 利用手机获取用户名与密码
后来,我跟我们几个技术员想到了一个解决方案。这是我们从中国移动的密码管理机制上联想到的。当员工出差在外,需要利用VPN技术登陆到企业内部网络的话,首先需要用手机发送一条短信,如数字1,发送到一个特定的号码。我们的移动电子商务服务器就会判断这个手机号码的合法性。若移动电子商务服务器认为这个手机号码合法(是公司内部员工的手机号码),就会让VPN服务器临时创建用户名与密码。然后,电子商务服务器就会把这个用户名与密码发送到员工的手机上。比较绝的是,这个用户名与密码是只能够登陆一次。第二次登陆的话,这个用户名与密码就是无效了。如此,即使其他人获得这个用户名与密码,也是没有用的。这个过程的话,只要手机信号够好的话,一般不需要30秒就可以实现了。所以,基本上不会影响用户的VPN使用效率。而且,这个处理过程对于员工来说,也是透明的,不需要用户的干涉即可。
不过,采用这个方法也不是百分之百的安全。如当员工的手机被别人所用,那他们就可以取得用户名与密码。虽然有这个威胁,但是,已经比没有采用这个手段安全多了。
当然,企业还可以根据自己的需要,设置这个登陆的用户名与密码是登陆一次失效呢,还是过一个固定的时间间隔,如一天就失效。这企业需要根据自己的资料安全性等方面进行权衡。
2、 只允许特定的电脑利用VPN技术访问网络
我认识一家企业,他们一般只有经理层及业务员可以通过VPN登陆到企业的内部网络。他们在VPN的安全方面,主要是限制只有专门的电脑才可以利用VPN跟企业内部网络进行联系。他们这是如何实现的呢?
其实,实现的原理也很简单。一般用户的电脑上的硬件都会有唯一的标识用户电脑的信息。如他们网卡的MAC地址,等等,VPN登陆的设置的时候,就会去判断这个MAC地址是否是在已经批准登陆的电脑的MAC地址。若MAC地址准确无误,则就允许用户通过VPN网络技术登陆到企业的内部网络,访问企业的ERP服务器或者文件服务器,从内部网络查看文件,也可以把资料保存到内部的文件服务器中。而因为VPN虚拟专用网络其主要的技术优势就是网络访问速度快,所以,采用VPN技术进行企业内部网络访问的话,就好象员工在公司里上内部网络一样,服务器的响应速度会比较快。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。