移動設備和網絡連接技術已經蓄勢待發，但企業若要充分發揮這方面的效益，仍然要建立相應的網絡架構，即滲透式網絡存取（Pervasive Network Access, PNA），才能獲得安全而有效的網絡基建，以滿足業務需要。

滲透式網絡存取
滲透式網絡存取（Pervasive Network Access, PNA）是安全的網絡存取架構，而且能夠靈活設置，無論面對怎樣的用戶、端點設備和網絡技術的組合，也能夠實行存取及業務政策。一個成功的滲透式網絡，必須同時應用SSL VPN及UAC兩種解決方案，同時對外聯網絡及內聯網絡傳輸進行管理，以達到下面的要求：

• 對應Windows、Linux、UNIX等各種不同的計算機系統，以及Pocket PC、Smartphone等移動運算設備，並能夠驗証其身份及是否符合網絡安全政策。

• 系統要能夠靈活設置用戶身份及角色，根據內部和外部用戶的業務需求來決定存取情況，例如CFO和外部核數師都需要存取財務系統，但CFO應該可以存取整個財務資源，而核數師就只可以存取部分財務數據，系統應該能夠阻止用戶存取其職權以外的資源。

• 同一位用戶可能經常到不同地點工作，因此需要在客戶公司內、家中甚至街上不同地點進入企業網絡；因此系統要能夠滿足用戶的不同需要。既然用戶身在公司內、街上甚至海外也有需要連接企業網絡，不論他們採用可靠（trusted）、半可靠（semi-trusted）甚至不可靠（un-trusted）的網絡聯機和設備，企業網絡也要對應其網絡和設備。若用戶于可靠性和安全性較低的環境下存取網絡（例如咖啡室內的計算機），系統應該拒絕讓他們連接企業的機密數據。

以統一接入控制技術建立滲透式網絡架構

SSL VPN針對外聯網絡傳輸進行安全管制，而對內聯網絡傳輸就需要依靠統一接入控制 (Unified Access Control, UAC ) 方案來進行監管。UAC方案由三部分組成，首先是根據以角色為基礎的政策，作出關于存取權決策的戰略管理服務器（Infranet Controller），其次就是評估端點設備是否符合安全標准的小巧軟件代理器（Infranet Agent），最後就是負責實時執行安全政策的Infranet Enforcers。

UAC使網絡能夠結合客戶端點評估和身份及網絡信息，能夠在整個網絡內實行實時政策管理，既方便用戶存取網絡資源，也能夠顧及安全控制，讓企業可以掌握網絡存取情況、對抗威脅及遵守法規要求，同時提供安全、可靠的網絡服務，在加強協作和資源共享之余，同時減低網絡被入侵的風險。

除了UAC外，網絡基建的其余部份也要採用靈活的架構和開放式標准。企業要對應各種不同的用戶角色和業務程序，同時系統要具有豐富的設置選項，以對應不同的政策和執行技術，因此要採用可信賴計算組織 Trusted Computing Group (TCG)、電氣電子工程師協會IEEE及互聯網工程任務組IETF等業界團體提出的開放式標准，包括 RADIUS、802.1X、SSL/TLS及IPSec，才能應付市面上五花八百的產品和技術和不可預計的未來需要。

滲透式網絡存取是一個複雜而龐大的架構，不可能一蹴即就。企業必須先計劃周全，尋找適當的技術伙伴，然後逐步實行，才能夠成功建立一個靈活、可調節規模及容易管理的系統，以便同時應付業務、網絡、安全和IT管理方面的需要，使企業在安全可靠的環境下運作。

- 新聞稿有效日期，至2007/10/18為止

上一篇：企業如何修煉統一安全防御能力
下一篇：富士通發表12.1吋手寫筆記型電腦