歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
校園資安系列(一)SSL VPN在校園內適合扮演何種角色?
2009 / 08 / 27
林蒲英
學術校園網路環境跟大部分企業網路大不同,校園適用SSL VPN嗎?
常常有人問:「校園為什麼要建置SSL VPN?」,實際上這是一個很好的問題,典型的學術校園環境跟大部分企業網路有極大的不同,而許多網路專家在談到學術網路時會忽視這一點。
討論的要點大致如下:(1)典型的大學校園網路是由行政人員、教職員、學生和任何走進校園圖書館的街頭訪客所構成的混合體,如果只循著校園範圍設置一個大型的SSL VPN系統,實際上提供不了多少保護。(2)假如使用VPN技術來提供全部的存取服務,傳輸瓶頸所造成的代價非常高昂。(3)有開放原始碼和免費下載的產品可用,我不需要為此技術購買供應商的產品。
最好的處理方法就是回歸基本原則:判斷在學術校園環境中建置SSL VPN技術是否跟其他安全分析有所不同?您要保護的資產價值(或是損害所產生的費用) 必須大於保護的成本(建議最好提出證明)。
根據亞太地區學術環境的銷售情況,了解解決方案建置規模與地點時,看起來大家似乎都有做好分析工作,將SSL VPN技術用來保護最有價值的資產。也就是說,並非循著校園範圍建置一個很大型的系統,而是在網路深處佈署(有時候多個)小型系統來保護最需要保護的東西。這類建置案通常可以容納大約50~100位同步上線用戶。
在過程中,他們同時防止來自校園內外的攻擊。這也是我們一直主張的以分層式防禦的方式多方保護資產。最常見保護對象是學生的資訊系統,因為從全校園各角落都需要存取和更新這些系統,所以使用實體網路設計來隔離系統並不合適。而它們也需要最高度的保護,因為其被損毀或遭竊的成本都極高。
保護這些系統在技術層面上的需求是非常高的,因為:(1)不論是在「誰可以看見什麼」,還是「誰可以更新什麼」,都有不同的存取等級。(2)需要有萬無一失的登錄記錄。因為當資料庫稽核記錄涵蓋此項資訊時,將確認過的存取記錄儲存在加密的平台上非常有用。(3)在某些情況下,資料保護必須符合政府的規定。(4)一些使用者需要在自己的PC上執行應用程式用戶端,有時候則需要完整的網路連線功能(如IPSec安全通道)。(5)某種終端安全性是必要的。最安全的資訊系統防護措施也會被安裝在用戶端PC的按鍵側錄軟體擊敗。
顯然地,只使用單純的IPSec安全通道來授予簡單的開關式二元存取功能,並無法滿足這些需求,而開放原始碼的SSL VPN產品通常也不提供這些功能。但好消息是,大概一套建構開放原始碼系統所需的價格,就可安裝一部能夠處理50~100個同時進行的工作階段的SSL VPN裝置。如果把運作費用算進去,這部裝置成本更低,功能也一定更強大。SSL VPN在校園內還有另外一個主要的應用,就是保護無線區域網路的存取。
我們和其他大部分的IT專家一樣,都還在學習這種SSL VPN技術適合的用途以及建置的方法。
校園
網路
SSL VPN
最新活動
2024.05.24
AI新技術 全面捍衛網路安全
2024.04.26
建構智慧製造對應資安解方媒合交流會
2024.04.29
軟協XBSI強強聯手【資安學院】4/29-4/30 ISO/IEC 27001:2022資訊安全管理系統 主導稽核員「轉版」訓練課程 (二日)
看更多活動
大家都在看
思科示警VPN、SSH服務遭大規模暴力撞庫攻擊
Palo Alto Networks:全球多重勒索軟體攻擊激增 49%,台灣製造業、高科技業、營建業受影響深
零壹科技成立「聯壹數位」子公司強化雲策略布局
趨勢科技公佈「Operation Cronos」癱瘓LockBit細節
思科 Duo遭供應鏈攻擊!用戶多因子身分驗證日誌外洩
資安人科技網
文章推薦
工控領域的安全開發!迷思與重要觀念
碩泰網通宣布取得Tenable台灣區代理權
Check Point 推出具進階威脅防護能力的創新單一介面電子郵件管理解決方案