企业无疆 怎样保障外延企业的安全

　　 

 

　　企业的外延化和虚拟化，简单来说就是一个把企业外部变成内部，同时把内部变成外部的一个过程，很显然，安全将是决定成败的分水岭。
　　

　　外延企业和虚拟公司都是网络催生的时髦词汇，也是众多专家眼中未来的商业形态。组建一家外延企业，实际上就是把你所有的商业伙伴，包括员工、客户、供应商等，变成你组织的一部分——把它们通过技术和数据交换而组合到一起。
　　
　　由于涉及到跨越多种异构平台，以及不同的公用或专用网络，安全问题变得非常突出。为了方便商业伙伴的访问与交流，我们无法再建立统一、封闭而森严的壁垒，但是，外延企业的安全与否，又取决于最薄弱的环节。那么，怎样让你的全体企业合作伙伴和你一样认真对待安全威胁?怎样建立可靠的VPN网络使远程访问安全无忧呢?
　　
　　安全契约与统一管理
　　
　　闲人免进
　　
　　如果你计划成为北卡罗莱纳州南尔斯顿大学(CSU)的合作伙伴，那你首先要做好接受严格审查，并且签署一份安全契约的准备。当涉及安全问题时，他们的CIO Rusty Bruns可是个一丝不苟的人。
　　
　　Bruns最大的担心是黑客通过安全漏洞，侵入其庞大的数据库，偷窃重要数据以及几千名学生和校友的个人与财务信息。Bruns说:“必须有意识地尽最大努力避免这种事情的发生。我们已经做了预算以及市场上的技术所允许做的一切事情，来保护这些信息。”
　　
　　Bruns建立安全的信心，很大一部分是由于他每隔一年到一年半审计CSU的网络，让所有潜 在的合作伙伴接受一次彻底的第三方审查。他甚至把外部审查费用编入了预算，以防潜在的合作伙伴无力承担审查的费用。他所采集的信息包括:口令更新频率、防火墙监测程序以及发现的安全漏洞或访问漏洞。
　　
　　一旦合作伙伴通过了严格的审查，并修补了审查期间发现的重要漏洞后，他会让所有的项目成员签署一项安全契约。这些成员签字画押，保证采取多种安全防范措施，如经常修改口令，并且同意恍孤度魏喂蚕硇畔ⅰＨ缓螅珺runs检查合作伙伴的推荐人，直接询问有关该机构如何处理安全性的问题。
　　
　　甚至在对可以信任的潜在合作伙伴时，Bruns也坚持只通过直接链路扩展CSU网络，并使用两级专用口令并加密所有的传输数据。他认为，所有这一切都是取得高水平安全性的根本保证。
　　
　　伙伴网络
　　
　　波士顿金融服务机构Eaton Vance基础设施服务副总裁Vinnie Cottone采取另外一种不同的作法。他是开展合作的积极提倡者，他不想限制很多公司访问其网络。为此，他建立了“业务合作伙伴网”。
　　
　　业务合作伙伴网目前已扩展到大约40位合作伙伴，包括一家运营Eaton Vance呼叫中心的外包商和另一家维护该机构客户数据记录的服务商。此外，提供财务数据的250家公司也连接在Eaton Vance网络上。与Bruns做法相同的是，任何加盟Eaton Vance的公司也都必须签署一份安全契约。
　　
　　Cottone说:“所有机构都有自己的基础设施。我们不能要求他们在网络中如何进行管理，因此安全责任由我们的企业负责，而不是我们的合作伙伴。我们必须找到如何做到这点的方法。”鉴于目前病毒和蠕虫泛滥成灾以及日益增多的黑客攻击，寻找这种措施变得日渐紧迫。
　　
　　签约加入Eaton Vance业务合作伙伴网的机构，可以从一张连接选项菜单中自由选择。其中不仅包括DMZ，还有基于Web的应用、一些专用线路(它取决于试图推广的应用)。Cottone认为，在金融服务领域，“大趋势是全面Inte.net化，抛弃专用链路设施。”
　　
　　Eaton Vance同时采用入侵检测和响应系统。如果他检测到一条链路存在的问题，就关闭这个端口，将合作伙伴转移到一个隔离区来确定原因。Cottone说:“重要的是将他们从生产区域转移走。”
　　
　　Cottone同样也会定期审查他的网络。Enterasys Networks公司技术营销经理Mark Townsend说，对一家外延企业来说，经常的审计应当是必须的工作，但它们常常不是。他说:“我看到过我们客户签订的合同，在合同中根本没有规定对网络进行测试。”
　　
　　终结VPN抑郁症
　　
　　对于外延企业所需要的远程访问来说。VPN是一项非常重要的技术，然而很多用户却对它心存恐惧:如果允许用户家里的计算机通过VPN与企业办公室连接，那么结果就像为一个无法控制安全的计算机开放了一个大口子。很明显，如果这个用户的家庭计算机处于危险之中，那么，VPN就为对公司网络的直接攻击提供了通道。
　　
　　获奖者的经验
　　
　　由于构建了能够全面推进远程访问的大规模SSL VPN，National Gypsum公司赢得了2004年外延企业创新奖。
　　
　　National Gypsum公司是一家壁板制造商，其公司使命是提供“全面的优质服务”。通过长达5年多外延企业的努力，可以远程利用商业数据和应用的个人的数量已从150名员工增加至包括员工、零售商和运输公司在内的9000多人。该公司由此受益匪浅，负责该公司电子商务的高级经理Mike Brannon说:“在一个高度商品化的行业里，外延企业改进了客户服务以及大幅度地提高了服务的反应速度和发货信息的可用性，这使我们产品更受欢迎。”
　　
　　National Gypsum公司向外延企业的转变始于1997年。当时，该公司在其总部所在地北卡罗来纳州建立了一个先进的呼叫中心，并开始从通过传真和邮件发送的纸制订单和发票，向在线订单输入和发票转变。客户们不再是通过纸张与本地销售办事处打交道了，而是开始与呼叫中心基于Web的代理做生意。 Brannon表示，National Gypsum公司于2001年完成了从地区办事处向全国性呼叫中心的转变，如今，86%的发票都是通过电子形式发送的，该公司的目标是在不久之后在其开具发票的过程当中取消所有纸张。
　　
　　在其下一阶段的外延企业发展过程当中，National Gypsum公司为销售代表提供了远程访问， 这样，他们就可以直接发订单、检查发票和跟踪发货情况。在该项目开始阶段，佛罗里达的数十位销售代表首先使用了3Com公司生产的远程访问设备以及免费号码拨号设备。
　　
　　由于有了远程访问，National Gypsum公司不再需要保留太多的具体的办事处了，而且，到今年为止，该公司已关闭了67家办事处。通过从某些州撤出具体的办事处，为该公司省去了大量的房租、水电费以及在一些情况下的税费。如今，该公司的150名销售代理变成了远程工作人员，反过来，这使得National Gypsum公司在寻找新的技术以满足其不断增长的需求时，能够连续部署三项不同的远程访问技术。
　　
　　艰难的起步
　　
　　最初，National Gypsum公司为其销售人员配备了笔记本电脑，并让他们通过一个免费号码拨打配有16条线路的3Com Total Control远程访问服务器。销售人员在这里下载其电子邮件，然后，退出服务器，以阅读电子邮件和撰写电子邮件回复函。
　　
　　在18个月之内，该公司用Microsoft Aclearcase/" target="_blank" >ccess、Office以及使用Citrix瘦客户机软件和服务器的自产的客户销售/客户服务来充实其远程访问菜单。不久之后，该公司又增加了终端仿真。他表示，当市场营销人员、工程师和其他工作人员也发现拓宽了的应用访问非常有用之后，这些邻近部门使用拨号远程访问的650至700人也迅速地加入到了这个行列。
　　
　　Brannon说:“未曾预料到的一个影响就是，突然之间，这些人员在线的时间太多了，而以前人们只是拨号之后马上就下线了。如果你使用800号码访问的方式这么做，那么，你得为此为这些在线人员用于思考的每一分钟付费。”
　　
　　Brannon称，至2001年，这个免费号码访问的月账单已从当初的3万美元增至每月6万美元。他表示，为客户提供拨号访问从成本的角度来讲应该是被禁止的。他说:“我们意识到，当我们的免费拨号访问规模扩大之后，我们已无法承受得起了。”
　　
　　该公司认为远程访问IPSec VPN可以降低免费拨号费用，因为雇员们可以通过Internet进行访问，其费用是统一的服务费，本地电话免费。因此，2001年晚些时候，National Gypsum公司安装了一个Cisco 3005 VPN集中器，这个VPN把每月的连接费用从6万美元降至了6千美元。
　　
　　曲折的道路
　　
　　但是，由于VPN要求在每个终端用户设备上进行恰当的VPN软件配置，因此，VPN并不太适合于用来把访问扩展至客户和物流合作伙伴——即那些向客户发送产品的运输公司。Brannon说:“我们实际上不可能到我们的物流合作伙伴以及我们的外部客户那里去对它们说:“你们必须在和我们连接的设备上，把这些软件按我们要求设置妥当。”
　　
　　因此，虽然该公司为其雇员提供的是基于IPSec VPN的访问，然而，该公司为其外部用户提供的却是基于Internet的远程访问，而这种远程访问使用的是出自Axent技术公司(后来被Symantec公司收购)的软件。Brannon称，这种可以在大多数类型设备上安装的软件充当的是位于该公司的Web服务器前方的反向代理，这样就可以防止把这些服务器暴露给Internet。
　　
　　Brannon称，最终，总共有250位客户使用这种系统，然而，这种软件的许可证费用证明太昂贵了，以致于无法把它推广至该公司希望的数千位用户。
　　
　　2002年，Brannon转向了出自VPN专业公司Neoteris公司(后来被NetScreen公司所收购，NetScreen目前已属于Juniper)的SSL远程访问设备。这种VPN允许在不需要其他任何客户机软件的情况下，通过标准的Web浏览器，进行安全的Internet访问。从许可证费用的角度来看，它对可以访问该网关的独立用户的数量并没有设置任何限制。相反，许可证是建立在该网络同时可以支持的用户数量的基础之上的。Brannon称，SSL VPN对于National Gypsum公司来说是一项完美的选择。
　　
　　成功的外延企业
　　
　　National Gypsum公司已经把250个 Axent和350个 Cisco VPN用户迁移至SSL两年时间了，并把授权用户的总数扩展至9千多人。Brannon称，这些人包括购买了National Gypsum公司产品的用户、公司的员工，以及其他需要直接访问该公司的网络以完成其工作的人员。网关将在Windows XP之下检查远程设备的抗病毒软件和策略设置。他说:“一旦它们通过了测试，而且，我们对它们进行了配置和检查，那么，我们就会把它们连接至我们的网络。”
　　
　　75至100位用户可以同时进入同一个设备。根据它们的认证文件，他们可以访问仅为它们的账户和角色所能查看的数据。Brannont称，客户认证文件不要求计算机接受SSL网关扫描，这与该公司提供的笔记本电脑尝试访问的情况是一样的。
　　
　　一旦得到认证，客户就可以连接至自助式网络界面并监控订单状态，查找计划发送的负载的位置，检查发票和账单报表，以及获得其商业历史的总结报告。 Brannon称，如今，National Gypsum公司每隔几毫秒就会对其新的交易进行一次同步化，并且每个小时都会针对其运送中的每一项负载，对来自其95个合同商的GPS订单位置进行两次捕获。
　　
　　虽然呼叫中心依然重要，但是，Web访问却扩展了。通过客户Web网页，用户可以申请获得订单何时发出，以及它们何时发货的通知。这些通知可以发往电子邮件账户，或者利用文本语音转换软件通过电话进行“阅读”。Brannon称，正在计划中的是Web服务，National Gypsum公司将使用这种服务把通知当作XML文件发送。
　　
　　除了把几乎所有远程访问都迁移至SSL外，National Gypsum公司还使用该相同设备的另一项功能来支持Web会议。该公司每周数次使用WebEx Communications公司的会议服务来进行培训，并为每次会议支付最高200美元的费用。他说:“如今，我们正在让每个人都来利用这种SSL VPN设备的优势，这种设备基本上能够免费地为我们提供Web会议服务。”
　　
　　外延企业的自我审查
　　
　　为了保护外延企业的安全，合作伙伴必须协作执行安全程序。安全专家提出了以下必须重点考虑的问题。
　　
　　首先，精明的IT经理会进行抽查，以确保他们拉入到外延企业中的合作伙伴能够按照签署的安全协议去做。另一个明智之举是至少每年一次到现场检查。
　　
　　对于规定了审计程序的合同，说明如何处理审计发现的安全问题的语言必须明确。企业必须决定，什么水平的事件在修补前阻止其接入网络，什么需要暂时终止协议。
　　
　　在加入外延企业之前，相关的IT经理应当充分了解结构上的细节。比如将提供什么服务，将使用什么基础设施来保护这项服务，以及将采取哪些监测措施对服务进行检查。是否打算使用代理服务器?会在网络之间开放80端口吗?需要对什么应用进行什么访问以及谁能访问这个应用?”
　　
　　最后，设置访问控制表和安装身份管理工具只是阻止未经批准传输流的部分措施，合作伙伴还必须在整个网络上嵌入检测可能攻击的智能设备，必须利用基于策略的措施保护所有访问网络的设备。
　　
　　编看编想:碰撞出的安全
　　
　　我们知道，外延企业意味着不同的公司之间紧密的合作，其中包括、用户、厂商、销售商、供应商等。而这将不可避免地导致不同企业文化的碰撞与冲突。
　　
　　由于安全是一个一体化的工程，外延企业各组成公司与合作伙伴必须在使用什么加密技术、网络与桌面的防病毒程序、防火墙的类型以及使用哪种扫描引擎上达成一致。要做到这一点，就必须让各合作伙伴的安全部门开诚布公地交流。虽然表面上看来，这种追求“统一”的行为，有悖于发扬各个企业的特性与文化，但对安全来说，这种碰撞是不可避免的一步。
　　
　　实际上，主管安全的经理通常具有某种程度的“偏执症”，对其他公司的安全方案会有怀疑和抵触的情绪，这并不是件坏事。但是，在与业务合作伙伴打交道，并共同致力于一个优秀的外延企业时，安全经理必须开诚布公地讨论所有的安全问题。在建立牢固的合作关系前，几方的安全经理必须交流和协作，这点非常重要。
　　
　　当然，我们不可否认，有时这种碰撞会带来关系上的紧张。比如，占主要地位的大公司可能会发号施令，按自己的思路构建安全体系，而不顾及较小公司的意见。而较小的公司自然也不愿意甘当附庸。虽然由一家企业主导整体安全建设是可行的，但并不是意味着较小的公司无所作为。所以，众多合作伙伴应该通过讨论与交流，权衡技术与成本的多方面因素，共同制定合适的安全体系与安全策略。
　　
　　在安全体系出现报警时，这种交流就更是至关重要。合作伙伴几方应当在合同中规定报警的基准。如果某一方出现安全违规，应当及时进行公布与沟通，同时所有人都应当得到通知，以避免事态的进一步扩大。
　　
　　当然，对合作伙伴而言，最主要的就是管理规定和相关的法规约束，所有的企业都必须遵守，其目的就是使任何一方的数据即使在脱离其专有网络时，也能确保获得完善的保护。在这一点上，由于各家的安全意识参差不齐，有些合作伙伴在安全法规和意识方面完全没有经验，在交流时就更应该教育他遵守这些标准，否则，别人的疏忽，可能导致你的巨大损失。总之，对外延企业而言，一套安全稳定的网络体系，往往需要反复碰撞和交流才能最终获得。

 

互联网技术在线　　收集整理

原文转自：http://www.ltesting.net