不断扩张的企业网络就像一个巨大的“生态系统”。用户面临的一大难题就是如何在这个“生态系统”中安全地进行信息共享。
企业网这个“生态系统”包括许多外部机构,如企业的业务伙伴、供应商以及客户。外部机构的大量存在,使企业网中的数据面临潜在风险。在经历过数据被截获、被篡改的安全事件之后,许多用户开始将实现数据的安全共享作为头等大事。
信息共享技术主要有两种实现方式。第一种方法是扩展网络层的基础结构,使用IPSec VPN和租赁线路。不过,在把网络访问扩展到合作伙伴、客户和供应商网络的同时,这些技术也给企业网带来了巨大安全挑战。它们使得合作伙伴、客户和供应商都成为企业网连接的一部分,对企业网拥有全面访问权,这无疑增加了企业网的安全风险。许多用户试图利用备份网络来克服这些危险。备份网络实际上是一个单独的冗余网络,外部访问者可以借助互联网(通过VPN)或租赁线路进入。虽然备份网络可以保护敏感信息,但是实现成本十分昂贵。第二种方法是利用SSL VPN和Web技术来扩展企业网的覆盖范围。与网络扩展不同的是,这种应用方法允许访问预先确定的一组资源,而不必让外部访问者完全访问企业用户的内部网络。
防火墙之内还是之外
如果企业选择了第二种方式,就将面临有关体系结构的决策:共享数据是驻留在防火墙里面还是外面?
使用SSL VPN的一种方法是将信息服务器置于防火墙里面,处于企业网络之内。中间件可以用来联系内部数据和外部用户。这种方法不会强迫复制信息,而是利用网络中现有的安全设备,减少额外投资。不过,这种体系结构存在一个不容置疑的风险:需要在防火墙上打开一个通道,以便外部中间件访问内部信息,这个通道可能被恶意用来入侵企业网。
对于这种潜在的安全风险,实施安全方案和策略是远远不够的,惟一令人满意的解决方案是阻止外来访问者对企业网的所有访问。
夺取防火墙之外的优势
为了解决上述问题,许多安全设计师暂时将信息存储在企业网之外,让内部应用对其进行检索。这些内部应用可以按预先确定的时间间隔对外部存储设备进行监测,并且在需要时将数据调用出来。当数据从企业网里面向外移动时,它会被存储到外部网络,因此可以让外部机构访问。这种方法不需要让外部机构访问企业网络。这种体系结构的挑战是,信息必须驻留在防火墙之外,存在数据被暴露和被破坏的隐患。因此,必须设计一个为这些外部数据提供保护的安全基础结构。
防火墙之外的安全清单
为了化解网络面临的潜在安全威胁,用户需要构建一种多层的安全基础结构,慎重对待安全威胁。数据安全基础结构至少包括以下层面。
身份验证:确定企业愿意与之分享信息的用户身份。
访问控制:只允许可信用户访问数据,保护好客户和业务伙伴的身份信息,防止外部机构窃取身份信息。
防火墙:确保只有合作应用才能访问外部数据。
隧道:保护经由通信线路传输的信息。
加密:保护敏感信息不受物理威胁,如存储设备或备份磁带被盗窃。
密钥管理:创建独特的加密密钥、恢复以及交换这些密钥的安全方法。
审计:跟踪数据访问活动,以便检测潜在的破坏行为并实时监测合法通信。
总之,与合作伙伴分享信息是企业网络的一项基本功能。在设计这种信息合作体系时,用户需要特别考虑安全性,避免因为开放而面临的安全风险。
