移動設(shè)備和網(wǎng)絡(luò)連接技術(shù)已經(jīng)蓄勢待發(fā)，但企業(yè)若要安全有效地發(fā)揮業(yè)務(wù)能量，還需要建立一種相應(yīng)的網(wǎng)絡(luò)架構(gòu)。

移動運算的新時代已經(jīng)來了！其標(biāo)志性現(xiàn)象就是筆記本電腦、掌上電腦、Smartphone、終極移動PC（Ultra-Mobile PC）和筆控輸入 PC（Tablet PC）等移動設(shè)備的技術(shù)在近年突飛猛進(jìn)，3G及WiMax等寬帶網(wǎng)絡(luò)連接技術(shù)即將成為市場主流。

移動設(shè)備和網(wǎng)絡(luò)連接技術(shù)已經(jīng)蓄勢待發(fā)，但企業(yè)若要安全有效地發(fā)揮業(yè)務(wù)能量，還需要建立一種相應(yīng)的網(wǎng)絡(luò)架構(gòu)，這就是滲透式網(wǎng)絡(luò)存?。≒ervasive Network Access, PNA）。

滲透式網(wǎng)絡(luò)存取

滲透式網(wǎng)絡(luò)存取是一種安全的網(wǎng)絡(luò)存取架構(gòu)，無論面對怎樣的用戶、端點設(shè)備和網(wǎng)絡(luò)技術(shù)的組合，都能夠靈活理解企業(yè)的業(yè)務(wù)政策。

一個成功的滲透式網(wǎng)絡(luò)，其中的一項指標(biāo)就是需要同時應(yīng)用SSL VPN及UAC兩種解決方案，同時對外聯(lián)網(wǎng)絡(luò)及內(nèi)聯(lián)網(wǎng)絡(luò)傳輸進(jìn)行管理，達(dá)到三個方面的要求。

第一、對應(yīng)Windows、Linux、UNIX等各種不同的計算機(jī)系統(tǒng)，以及Pocket PC、Smartphone等移動運算設(shè)備，并能夠驗證其身份及是否符合網(wǎng)絡(luò)安全政策。

第二、系統(tǒng)要能夠靈活設(shè)置用戶身份及角色，根據(jù)內(nèi)部和外部用戶的業(yè)務(wù)需求來決定存取情況。例如CFO和外部核數(shù)師都需要存取財務(wù)系統(tǒng)，但CFO應(yīng)該可以存取整個財務(wù)資源，而核數(shù)師就只可以存取部分財務(wù)數(shù)據(jù)，系統(tǒng)應(yīng)該能夠阻止用戶存取其職權(quán)以外的資源。

第三、同一位用戶可能經(jīng)常到不同地點工作，因此需要在客戶公司內(nèi)、家中甚至街上不同地點進(jìn)入企業(yè)網(wǎng)絡(luò)。不論他們采用可靠（trusted）、半可靠（semi-trusted）甚至不可靠（un-trusted）的網(wǎng)絡(luò)聯(lián)機(jī)和設(shè)備，企業(yè)網(wǎng)絡(luò)也要對應(yīng)其網(wǎng)絡(luò)和設(shè)備。

網(wǎng)絡(luò)架構(gòu)統(tǒng)一化

SSL VPN針對企業(yè)外網(wǎng)傳輸進(jìn)行安全管制，而對內(nèi)網(wǎng)的傳輸就需要依靠統(tǒng)一接入控制 (Unified Access Control, UAC )的方法來進(jìn)行監(jiān)管。UAC方案由三部分組成，首先是根據(jù)以角色為基礎(chǔ)的政策，作出關(guān)于存取權(quán)決策的策略管理服務(wù)器（Infranet Controller），其次就是評估端點設(shè)備是否符合安全標(biāo)準(zhǔn)的小巧軟件代理器（Infranet Agent），最后就是負(fù)責(zé)實時執(zhí)行安全政策的Infranet Enforcers。

UAC使網(wǎng)絡(luò)能夠結(jié)合客戶端點評估和身份及網(wǎng)絡(luò)信息，能夠在整個網(wǎng)絡(luò)內(nèi)實行實時政策管理，既方便用戶存取網(wǎng)絡(luò)資源，也能夠顧及安全控制，讓企業(yè)可以掌握網(wǎng)絡(luò)存取情況、對抗威脅及遵守法規(guī)要求，同時提供安全、可靠的網(wǎng)絡(luò)服務(wù)，在加強(qiáng)協(xié)作和資源共享之余，同時降低網(wǎng)絡(luò)被入侵的風(fēng)險。

除了UAC外，網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的其余部份也要采用靈活的架構(gòu)和開放式標(biāo)準(zhǔn)。因此企業(yè)要采用可信賴計算組織 Trusted Computing Group (TCG)、電氣電子工程師協(xié)會IEEE及互聯(lián)網(wǎng)工程任務(wù)組IETF等業(yè)界團(tuán)體提出的開放式標(biāo)準(zhǔn)，包括RADIUS、802.1X、SSL/TLS及IPSec,才能應(yīng)付市面上五花八門的產(chǎn)品和技術(shù)不可預(yù)計的未來需要。

滲透式網(wǎng)絡(luò)存取是一個復(fù)雜而龐大的架構(gòu)，不可能一蹴而就。企業(yè)必須先計劃周全，尋找適當(dāng)?shù)募夹g(shù)伙伴，然后逐步實行，才能夠成功建立一個靈活、可調(diào)節(jié)規(guī)模及容易管理的系統(tǒng)，以便同時應(yīng)付業(yè)務(wù)、網(wǎng)絡(luò)、安全和IT管理方面的需要，使企業(yè)在安全可靠的環(huán)境下運作。