如何看待VPN应用方便与安全两不误

随着网络技术的发展，特别是WEB技术的发展，员工越来越不满意只能坐在办公室里进行办公。他们希望，在家里，出差在宾馆中，甚至在机场的侯机大厅中，都能够连上企业的内部网络，能够象在办公室里那样，访问企业的ERP服务器、文件服务器等等，进行正常的办公。随着VPN(虚拟专用网)的技术越来越成熟，都已经不再有什么困难。但是，现在的问题是，随着员工在企业外部对内部网络的频繁访问，这给企业的网络安全带来了很大的隐患。

　　现在利用VPN连上企业内部网，破坏企业内部网络的事件，也是频频发生。我们是因噎废食呢，还是该采取手段、努力实现方便与安全两不误呢?我想，大部分人都会选择后者。下面，我将介绍几种典型的VPN安全应用方案。也许这些方案不是最好的，但是，我们也可以从中找出一些比较适合自己的解决方案。让VPN技术，方便与安全都不耽误。

　　一、 在用户名与密码上做文章

　　要通过虚拟专用网联上企业内部网络的话，用户名与密码是必须的。但是，传统的用户名与密码是有缺陷的。用户名与密码，我们可以通过各种黑客工具，如键盘记录工具等等，都可以轻易的获取。他们取得这个密码之后，就可以登陆到企业内往，肆无忌惮的进行资料的窃取、网络的破坏、病毒的移植等等。从而使得VPN(虚拟专用网)技术成为他们进行作案的工具。

　　若我们不让其他人知道VPN的密码，也就是说，VPN的登陆密码会随机的进行改变，那么，他们即使取得密码，但是，这个密码很快就过时了。甚至，同一个密码，象电话充值卡一样，只能够登陆一次的话，那这个密码就安全了。那作为我们的终端用户，该如何知道这个时刻在发生变化的VPN密码呢?

　　我碰到过几种解决方案，现在拿出来供大家参考。

　　1、 利用手机获取用户名与密码

　　我以前在一家咨询公司负责过网络安全方面的工作。因为这家企业是专门为企业提供咨询服务的，所以，其有很多客户比较机密的资料。这些资料，企业都是跟客户签过保密协议，若一泄露的话，企业需要承担很大的赔偿责任。所以，企业对于网络方面的安全，非常的看重。但是，因为咨询顾问经常要出差，需要在外面不定时的利用VPN技术访问企业内部文件服务器。该如何保证这个访问的安全呢?这个问题已经非常现实的摆在了大家的面前。

　　后来，我跟我们几个技术员想到了一个解决方案。这是我们从中国移动的密码管理机制上联想到的。当员工出差在外，需要利用VPN技术登陆到企业内部网络的话，首先需要用手机发送一条短信，如数字1，发送到一个特定的号码。我们的移动电子商务服务器就会判断这个手机号码的合法性。若移动电子商务服务器认为这个手机号码合法(是公司内部员工的手机号码)，就会让VPN服务器临时创建用户名与密码。然后，电子商务服务器就会把这个用户名与密码发送到员工的手机上。比较绝的是，这个用户名与密码是只能够登陆一次。第二次登陆的话，这个用户名与密码就是无效了。如此，即使其他人获得这个用户名与密码，也是没有用的。这个过程的话，只要手机信号够好的话，一般不需要30秒就可以实现了。所以，基本上不会影响用户的VPN使用效率。而且，这个处理过程对于员工来说，也是透明的，不需要用户的干涉即可。

　　不过，采用这个方法也不是百分之百的安全。如当员工的手机被别人所用，那他们就可以取得用户名与密码。虽然有这个威胁，但是，已经比没有采用这个手段安全多了。

　　当然，企业还可以根据自己的需要，设置这个登陆的用户名与密码是登陆一次失效呢，还是过一个固定的时间间隔，如一天就失效。这企业需要根据自己的资料安全性等方面进行权衡。

　　2、 只允许特定的电脑利用VPN技术访问网络

　　我认识一家企业，他们一般只有经理层及业务员可以通过VPN登陆到企业的内部网络。他们在VPN的安全方面，主要是限制只有专门的电脑才可以利用VPN跟企业内部网络进行联系。他们这是如何实现的呢?

　　其实，实现的原理也很简单。一般用户的电脑上的硬件都会有唯一的标识用户电脑的信息。如他们网卡的MAC地址，等等，VPN登陆的设置的时候，就会去判断这个MAC地址是否是在已经批准登陆的电脑的MAC地址。若MAC地址准确无误，则就允许用户通过VPN网络技术登陆到企业的内部网络，访问企业的ERP服务器或者文件服务器，从内部网络查看文件，也可以把资料保存到内部的文件服务器中。而因为VPN虚拟专用网络其主要的技术优势就是网络访问速度快，所以，采用VPN技术进行企业内部网络访问的话，就好象员工在公司里上内部网络一样，服务器的响应速度会比较快。

　　这个解决方法的好处就是，一般只有企业批准的员工的电脑才可以连接到企业的内部网络。而现在基本上出差时或者经理层都配备了笔记本电脑，这也为这个解决方案提供了硬件上的保障。缺点也是很明显的，就是当员工用其他的电脑的话，就无法利用VPN技术登陆到企业的内部网络。这对于哪些没有笔记本或者出差时临时没带笔记本电脑，甚至笔记本电脑没电了，都会影响他们使用VPN网络。

　　为了解决这个情况，他们企业还采取了一个候补的方法。当员工需要用内到VPN技术连接企业内部网络，而没有合适的计算机时，他们可以打电话通知他们的VPN网络管理员。管理员可以临时的为他们开设一个用户名与密码，临时的解决他们的燃眉之急。确实，这样处理的话，比较灵活。一些例外情况下，也可以迅速的得到响应。

　　3、 密码不定时的进行更改

　　我还认识一家高科技企业，他们VPN虚拟专用网的安全方面的问题，他们是通过不断更换密码实现的。这个跟第一种方案的区别，就是他们不是通过电子商务服务器而实现这个用户名与密码的重置。那他们是如何实现密码的不定时更换，并及时通知用户的呢?

　　原来他们编写了一个小的程序，烧录在一个小的芯片上。这段程序的功能，就是每隔一个小时或者几个小时生成一个密码。当然，这个密码的生成机制与生效时间跟VPN服务器上的密码生成原理与生效时间是一致的。然后，用户拿着这个打火机大小的芯片时，在需要利用VPN技术登陆到企业内部网络的话，就只需要看一下这个密码，就可以了。

　　这么做的话，用户名是固定的，而密码的话，却是随便更改的。如此的话，比起第一种方式来说，会有不少的优点。

　　一是会减少用户的投资。如这个解决方案没有用到移动电子商务。也就是说，采用这个解决方式的话，企业就不需要投资建设一个移动电子商务平台。象一种方案的话，如果企业在采用VPN技术之前，已经有了移动电子商务平台，那么使用起来是比较方便的。若企业原先没有这个平台，现在为了实现这个VPN登陆的安全，而专门去建立这个平台的话，那我就觉得动作有点大了。还不如采取现在这个方案来得方便、省钱。所以，从投资的角度讲，除非以前就有移动电子商务平台，否则的话，还是采用这个方案更加合理。

　　二是因为这个方案的话，在芯片上，只显示密码，而没有用户名。这么做的好处，就是这个芯片丢了，其他人因为没有用户名，也没有用处。因为光凭密码，是无法通过虚拟专用网登陆到企业的内部服务器，进行数据的访问的。

　　以上是通过用户名与密码上动脑筋，设计出来的几个简单易用的解决方案。有些企业现在使用VPN时，是在需要的时候直接打电话进行申请一次性的用户名与密码，这也是一种比较可行的、成本最省的解决方式。只是这需要有专门的人员，24小时候命。应用起来，没有以上几种方式这么方便罢了。打电话申请用户名与密码就好象银行存款要排队、站柜台;而其他集中解决方法就是自助式的，利用ATM机自助存款一样。一般来说，没有时间、人员上的限制。所以，各种方式都各有利弊，具体采用什么样的解决方案，还是需要用户根据自己的经济实力、对于VPN虚拟专用网络的安全程度及现有的平台等多方面进行考虑。好的VPN设计与管理人员，总是能够根据企业的现有状况，设计出一套符合企业实际情况的安全保障体系。对他们来手，安全技术没有好坏，最适合企业的，就是最好的。