管理安全的远程访问是一项艰巨的任务。因为远程系统可能直接连接到互联网而不是通过公司的防火墙,所以远程系统将给你的网络环境带来更大的风险。病毒和间谍软件防御以及一般的VPN网络策略还不足以保护这些系统的安全以及它们连接的网络的安全。下面是提供安全的远程访问的五个最佳做法。
1.软件控制策略
创建一个策略,定义必须在系统中存在的具有远程访问功能的确切的安全软件控制机制。例如,你需要详细说明必须安装杀毒、反间谍软件和桌面防火墙并且用最新的签名进行具体的设置,或者以厂商接受的方式进行设置。最佳的做法是与连接设置发布策略或者向最终用户发布同样的指令。对于端点安全来说,零误差策略通常是最好的。最终用户在连接到网络之前需要满足一套规则的规定。没有杀毒软件、反间谍软件和桌面防火墙?不允许进行远程访问。这个策略还应该详细说明系统上的哪一个端口和什么服务可以公开。
2.端点安全管理
选择一个提供广泛的端点安全管理和强制执行策略的厂商作为他们VPN或者远程访问解决方案的一部分。最佳的做法是强制规定所有的远程用户必须使用企业赞助的VPN客户机。那是你真正地遵守规定和保证端点安全状况的惟一方法。你选择的远程接入解决方案应该能够拒绝那些没有通过遵守规定检查的端点系统的连接。理想的方法是,这个解决方案应该告诉最终用户哪一项没有符合政策规定,以便这些用户在连接之前改正不符合规定的情况。这样会减少服务台的求助电话。
3.加强遵守公司政策
当最终用户连接到企业网络时,通知最终用户公司安全政策已经扩大到了他们的远程桌面。例如,在连接到公司网络时,没有文件共享和其它未经允许的应用。
4.报告功能
报告最终用户遵守规定的状况是非常重要的。上面提到的大多数解决方案都提供了报告功能,以便让管理员随时了解端点连接状态的最新情况。根据你管理的用户数量,当一台机器违反规定试图进行连接的时候,设置用电子邮件向管理员报警也许是聪明的做法。在某种情况下,管理员的干预也许是有保证的,特别是当这个网络存在其它的接入方式的时候。
5.定期审查策略和报告
每隔几个月要审查策略和报告,以找出违反访问规定的趋势和方式。这对于保证策略和技术控制能够满足你的远程访问需求是非常重要的。如果你发现违反访问规定的趋势,你可以相应地增加或者修改策略。
(e129)