无线网络能否成为未来公共部门的救星

　　ZDNET网络频道 9月24日 编译：根据Ecommnet公司懂事兼总经理罗伯特·坎贝尔的看法，目前，对于英国政府而言仍然需要面对些一些重大的问题。这主要体现在对一些组织的成本削减上，对公共部门来说，这几乎成为了噩梦。英国国家医疗服务系统、儿童服务、住房和再生事业、当地政府和警察部队——无论哪个地方，到处都存在着对引入整改以节省资金的呼声。

　　一个比较流行的倡议，是将这些部门通过集中管理的方式来巩固他们的组织机构和对成员的管理。这样将使国民保健服务、教育、理事会员工和其他人员都聚集在一个中心里面，以减少财务成本。虽然从表面上看，这似乎是一个实用的解决方案，但对IT管理团队来讲却提出了一个难题。

　　物理网络结构的安全性

　　如果可能的话，假设现有的各部门都在自己的场所中办公。部分基础设施通常包括一个物理IT网络。就像一个大楼有墙壁保护里面的设施一样，网络也会有障碍和防止外部访问的网关。

　　随着各个组织聚集到一起，在同一个网络环境中，要具备像往常一样的网络功能，这正是复杂性的所在。这就好比，如果你给了某人前门的钥匙，但却没有考虑建筑物内部的安全性，那么这个人就会自由的进入所有楼层、走廊、办公室并且可能随便搜寻没有上锁的抽屉和文件柜。同样，一个物理网络是由几层构成的并且它基于某人身份来锁定所有的地区或隔间，以防止未经授权的访问。

　　解决这个问题的当务之急是一个公司要首先确认每个人有权访问哪些服务、应用程序和信息以及来自哪里。他们还需要确保每个个体的实际情况与他们所声称的一致。虽然这、听起来这似乎相当简单直接，但如果没有正确的工具来进行有效管理，这很可能会是一个非常复杂的问题。值得澄清的是，不充分的数据保护将会给企业带来一大堆的麻烦。

　　无线网络连接及访问控制管理

　　现在最流行的为每个组织构建取代单独物理或严格结构网络的方法是，创建一个网络来专门控制来自输入点上的储存服务和数据对网络的访问。

　　无线网络连接很好的避免了对网络物理构造的依赖性,而转向依赖于个人在组织内部的角色。使用访问控制技术，如Cryptzone的AppGate安全服务器，每个个体被授权访问的服务和信息将取决于他们试图连接到的网络。再次回到建筑类比上，这类似于每个人有自己独特的进入大楼的钥匙，当他们打开建筑的大门，在建筑里所有的门自动打开，他们可以合法地进入，但同时也有密封的门是他们无法进入的。

　　访问可以通过设备被用来连接的类型和身份验证进一步进行控制。例如,如果一个用户从个人电脑连接到组织内部的网络，那么他就可以访问所有需要履行职责的文件和信息。然而，如果他们是从家里的笔记本连接，那么他们可能仅仅限于对日历信息或基本应用程序的访问。将这一概念再推进一步，访问可以通过一周的一天或每天的时间进一步控制，这个人是访问网络来确定所能做的操作和查看的数据。虽然可能听起来非常复杂，但从根本上说无网络连接更加灵活，并且底层基础设施更容易构建和管理。

　　双因素身份验证

　　正如前面提到的,一个关键的安全问题是确保用户提供的个人信息是真实准确的。以往,一般访问网关都需要个人来输入用户名和密码的组合来验证其身份。这种方式可能足够应对独立区域的组织功能,但对于进行集中管理,甚至允许远程访问的方式，单单靠这种身份验证是绝对不足以应对这种访问需要的。

　　为此双因素身份验证(2FA)的引入越来越受到立法和安全需要的推动。双因素身份验证从根本上说是三元件中两种因素的结合

　　•  用户名或密码等(个人知道的一些信息)
　   •  一个认证设备如智能卡等等(个人拥有的一些设备)
　   •  例如涉及视网膜的生物统计学或指纹扫描仪等。(个人感兴趣的一些方式)

　　因此我们可以非常明显的看出，用户名和密码的组合不属于两因素身份验证范畴，因为它只是第一种元素的变体，即两件个人知道的信息。既然我们已经确定了双因素身份验证是什么，那么其都具备哪些选项呢。基本上有两种主要形式的身份验证设备：

　　•  物理标记或智能卡
　   •  一个虚拟的令牌-手机用于接收通过SMS消息的密码或通过一个应用程序生成代码。

　　由于物理标记的方式已经使用了很长时间，所以很多人会认为它是一项过时的技术。除了要对每项业务进行令牌配置，以及分配给相应的人员，这些令牌还会有使用期限的问题(通常两到三年)。相比之下，在智能手机上实现虚拟令牌的管理会更加经济(通常是通过一个自助服务门户)，几乎每个用户都会使用手持设备，使用手机会更加方便，所以用户体验会很好。

　　无线网络接入方式加上强大的双因素身份验证的安全保障，使得在连接时间里提供一个完全的动态设置，允许简单的用户访问而不存在限制。所以，无论你是合并、再合并、分离或仅仅想要引入一个更灵活的工作体验，无疑是要确保未来的成本效益。所以，是时候开始思考在物理网络环境之外设计我们的安全网络区域了。