增强SSL VPN的安全性—提高网络保护

　　Web成为标准平台已势不可挡，越来越多的企业开始将ERP、CRM、SCM移植到Web上。SSL VPN将是Web应用热潮的直接受益者，它被认为是实现远程安全访问Web应用的最佳手段。不过，在大规模部署实施之前，SSL VPN需要加强自身的安全性。

　　在SSL问世之初，安全专家就指出了SSL存在的安全隐患：身份验证网络服务器所使用的数字证书面临被偷窃的危险；大量SSL会话所需要的密码计算会降低身份验证网络服务器的性能。针对以上问题，人们相继提出了硬件安全模块和SSL加速器技术来加以解决。尽管如此，仍有专家认为SSL的安全性不够。具体到SSL VPN而言，基于应用层加密的SSL容易受到木马、键盘敲击记录软件的攻击，同时别有用心者也会利用SSL VPN不设防的客户端非法访问企业内部资源。

　　额外增加安全措施

　　针对SSL VPN所面临的安全风险，安全厂商采取额外安全措施来增强SSL VPN的安全性。一是采用远程监控机制，加强对客户端、远程接入设备的安全扫描，禁止存在安全隐患的设备远程登录访问；二是增加身份识别系统，防止非法访问者进入。

　　诺基亚在其新推出的SSL VPN产品中加入了远程扫描安全机制。无独有偶，美国彩虹公司别具匠心地将智能卡身份识别系统与SSL VPN结合在一起，推出IPW（Instant Private Web，快速专用网）解决方案。IPW解决方案包括采用USB接口的客户端硬件身份认证令牌ikey和NetSwift iGate网关。ikey用来完成最终用户的身份确认；部署在企业防火墙和应用服务器之间的NetSwift iGate集成了SSL VPN网关和身份认证管理功能。员工使用ikey来登录网络，不同员工拥有不同级别的文件访问权限。管理员在NetSwift iGate设置访问权限并控制远程登录和退出。NetSwift iGate不影响现有网络设置。总之，IPW解决方案在保持了SSL VPN易用性的基础上，大大增强了SSL VPN安全性。

　　可借鉴的应用案例

　　德意志银行允许近三分之一的员工进行远程访问，其中20%的员工使用基于浏览器的SSL VPN。该银行负责全球远程访问的主管乔治认为，一旦SSL VPN　客户端被植入木马，恶意代码就会接管SSL对话和窃取数据。乔治在实际SSL远程访问过程中，增加了扫描客户端或手持设备的安全机制，一旦发现存在隐患的设备，立即拒绝使用该设备的用户进入直到问题被解决。每当用户通过SSL VPN会话远程访问Intranet时，远程扫描功能就被启动，几秒钟就可以完成扫描。用户只有输入一个指定的URL地址和密码后，才能经过Neoteris SSL VPN网关获得一个访问授权。

　　德意志银行还采取使用一性登录口令的安全措施，这是因为重复使用的口令更容易面临危险。该银行为每一位员工和合作伙伴都安装了RSA　SecurID身份认证系统，以使其能够动态使用独一无二的口令。一旦口令认证过程结束，装有Confidence Online扫描软件的服务器便会启动扫描。Confidence Online向首次发出远程访问请求的设备发出ActiveX或Netscape插件，扫描每一次访问。