扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
Web成为标准平台已势不可挡,越来越多的企业开始将ERP、CRM、SCM移植到Web上。SSL VPN将是Web应用热潮的直接受益者,它被认为是实现远程安全访问Web应用的最佳手段。不过,在大规模部署实施之前,SSL VPN需要加强自身的安全性。
在SSL问世之初,安全专家就指出了SSL存在的安全隐患:身份验证网络服务器所使用的数字证书面临被偷窃的危险;大量SSL会话所需要的密码计算会降低身份验证网络服务器的性能。针对以上问题,人们相继提出了硬件安全模块和SSL加速器技术来加以解决。尽管如此,仍有专家认为SSL的安全性不够。具体到SSL VPN而言,基于应用层加密的SSL容易受到木马、键盘敲击记录软件的攻击,同时别有用心者也会利用SSL VPN不设防的客户端非法访问企业内部资源。
额外增加安全措施
针对SSL VPN所面临的安全风险,安全厂商采取额外安全措施来增强SSL VPN的安全性。一是采用远程监控机制,加强对客户端、远程接入设备的安全扫描,禁止存在安全隐患的设备远程登录访问;二是增加身份识别系统,防止非法访问者进入。
诺基亚在其新推出的SSL VPN产品中加入了远程扫描安全机制。无独有偶,美国彩虹公司别具匠心地将智能卡身份识别系统与SSL VPN结合在一起,推出IPW(Instant Private Web,快速专用网)解决方案。IPW解决方案包括采用USB接口的客户端硬件身份认证令牌ikey和NetSwift iGate网关。ikey用来完成最终用户的身份确认;部署在企业防火墙和应用服务器之间的NetSwift iGate集成了SSL VPN网关和身份认证管理功能。员工使用ikey来登录网络,不同员工拥有不同级别的文件访问权限。管理员在NetSwift iGate设置访问权限并控制远程登录和退出。NetSwift iGate不影响现有网络设置。总之,IPW解决方案在保持了SSL VPN易用性的基础上,大大增强了SSL VPN安全性。
可借鉴的应用案例
德意志银行允许近三分之一的员工进行远程访问,其中20%的员工使用基于浏览器的SSL VPN。该银行负责全球远程访问的主管乔治认为,一旦SSL VPN 客户端被植入木马,恶意代码就会接管SSL对话和窃取数据。乔治在实际SSL远程访问过程中,增加了扫描客户端或手持设备的安全机制,一旦发现存在隐患的设备,立即拒绝使用该设备的用户进入直到问题被解决。每当用户通过SSL VPN会话远程访问Intranet时,远程扫描功能就被启动,几秒钟就可以完成扫描。用户只有输入一个指定的URL地址和密码后,才能经过Neoteris SSL VPN网关获得一个访问授权。
德意志银行还采取使用一性登录口令的安全措施,这是因为重复使用的口令更容易面临危险。该银行为每一位员工和合作伙伴都安装了RSA SecurID身份认证系统,以使其能够动态使用独一无二的口令。一旦口令认证过程结束,装有Confidence Online扫描软件的服务器便会启动扫描。Confidence Online向首次发出远程访问请求的设备发出ActiveX或Netscape插件,扫描每一次访问。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。