每一个人都在重视安全。实际上,有一个完整的子行业一直在开发这个安全的重点,为遵守SOX(萨班斯·奥克斯利)法案提供产品、服务、审计和风险/减轻风险评估。我以前曾经讨论过SOX法案的问题。但是,这个问题值得反复讲。 遵守SOX法案的问题已经改变了机构的安全措施。机构的安全措施过去一直是资产保护和通过使用身份识别、加密和入侵检测等
技术保护敏感的数据。这种做法确实是有效的,然而,SOX法案创造了把安全措施推广到最终用户环境中的需求,并且把重点放在了整体的安全措施上。通过采用整体的安全措施,我的意思是说,机构必须要监视、锁定和连续不断地评估安全政策、安全结构、安全管理和整个企业环境的事件反应能力。
这对VPN领域有何影响?
VPN一直被认为是远程工作人员在客户和服务器应用程序之间
传输敏感的数据的一种安全机制。VPN技术在全球范围内都非常有名并且被广泛地应用。执行SOX法案的规定对VPN解决方案有什么影响呢?总的来说,SOX法案的规定要求机构提供端对端的VPN安全。这就意味着VPN本身并不够用。
还需要制定一些具体的、详细的安全政策,并且在个人或者组的水平上强制执行这些安全政策。这与SOX法案有直接的关系,因为SOX法案要求机构对管理层、销售和基础设施的最终用户等不同的机构实体都要制定详细的安全政策。如果你对不同的个人或者组都有不同的安全政策(你应该拥有这样的政策),你的安全应用中也应该显示出这种差别。
除了详细的VPN政策之外,机构在允许客户端系统访问VPN之前应该有能力确认和验证客户端系统是“干净的”。这是VPN服务中的一个主要区别,因为人们认为客户机是使用这个系统的一个主机,没有必要成为VPN系统安全的组成部分。由于SOX法案和端对端的VPN安全解决方案的推出,这种情况发生了很大的变化。没有能力确认和验证客户端安全设置的VPN系统可能被认为是违反了SOX法案。几家不同的厂商的技术(思科的Clean Access就是一个)都可以验证“干净的”访问。然而,VPN厂商正在把这种技术集成到其整个VPN服务中。
最后,很多VPN系统没有提供使用VPN解决方案方便地管理和维护客户机安全的能力。这包括能够看到客户机安装的软件,以便确保这些客户机的软件是最新的,并且能够向客户机发出升级软件。还有利用短信等手段完成这个任务的机制。然而,短信不能认为是一种强制执行安全政策的技术。它可以成为这种技术,但是,VPN行业正在把这个技术集成到VPN系统中。
因此,从这些例子中可以看出,管理部门的安全眼光(SOX法案)密切关注着VPN领域,并且正在推动VPN技术快速发展。远程接入是企业环境的一个窗口,并且随着SOX法案的出现,安全的意义完全不同了。在评估VPN解决方案的安全问题时,你一定要非常了解这些因素。
[/url][url=http://bbs.techtarget.com.cn/forumdisplay.php?fid=58]
2001-2007 Comsenz Inc.
