COVID-19疫情导致数百万人在家工作和学习。我们看到企业虚拟专用网快速扩展的同时,也看到很多远程办公人员使用不安全的家庭网络–使用消费类电子产品所构建。
为了应对疫情,企业迅速扩展其容量,还有很多企业被迫放宽安全标准。此外,现在在公司网站或LinkedIn有很多重要的雇员信息,导致更多的泄漏点。而且,很多国家现在都有数字财产记录,这使得很容易查找某人的住处。
这些问题足以使网络安全团队噩梦连连。
严格要求以确保网络安全
那么,企业如何保护员工的远程访问并确保安全的网络环境呢?首先,企业需要开始严格要求其系统和流程。
其中重要的一步是重新建立标准。对于增加容量,企业必须使用完全支持安全标准的永久性设计,而不是临时更改。这些标准本身需要根据企业的新标准进行重新评估。这将包括部署或重新部署基本保护,例如:
保护家庭网络
家庭网络系统使用个人设备或由宽带提供商提供的系统。网络安全团队必须与员工合作通过以下步骤来增强家庭网络的安全性:
建立端点保护
为了管理网络安全环境,团队必须重新建立端点保护,这需要执行以下步骤:
此过程可以包括要求访问员工的家庭网络工具包。这样做的目的是,为员工使用的宽带提供商和家庭网络建立软件级别,并开发标准配置。
这听起来像是复杂而困难的过程,但在美国大多数地区,超过90%的用户会集中使用两家提供商。例如,在我所在的地区,我们超过90%的员工都是用Fios或Xfinity。尽管某些员工可能会认为这侵犯其隐私(因为大多数员工不是网络和安全工程师),但他们可能会欢迎对这些系统的支持。
如果员工距离太远而无法访问其家用路由器,团队可以提供建议配置并要求员工提供证明。
团队可以扫描并查看这些网络是否具有SecOps或者是否使用建议的配置。请考虑以下问题:
这些问题的答案很重要,因为访客账户和弱密码可能导致相邻房屋或公寓使用相同家庭网络系统。 考虑新的创新的替代方案 曾经,企业会提供具有传统安全性的在家办公系统,但是随着BYOD的出现和宽带普及,这种做法不复存在。企业可能会发现,对于关键员工和企业管理人员,重新恢复这种做法很有必要–根据与员工的访问权限和能力相关的风险状况。
当然,现在很多新技术正在开发中。我们看到超安全系统的出现,例如Attila Security,它提供基于硬件的安全选项,经认证可用于美国国防部。其他选项包括完全替代技术的新软件选项,例如Elisity的Cognitive Access Service,它提供端点的纳米细分。
个人收款码与个人经营收款码有何不同?
个人收款码与个人经营收款码的不同点有三个:1、个人经营收款码服务更便利,如可接受信用卡付款;2、普通个人偶尔转账、收钱,个人收款码足够;3、个人静态收款码远程收款或受限。
会计助理和会计实习生的区别是什么?
会计助理和会计实习生的区别如下:会计师助理是会计中的初级职称,担任助理会计师的基本条件是:掌握一般的财务会计基础理论和专业知识;熟悉并能正确执行有关知的财经;方针、政策和财务会道计法规、制度;能担负一个方面或某个重要岗位的财务会计工作;报名参加会计专业技术初级资格考试的人员,除具备以上基本条件外,还必须具备教育部门认可的高中毕业以上学历。 会计实习生就是一个帮手,类似于文员,没有实权。 会计助理可参加初级会计专业技术资内格考试,又容称初级会计职称考试、助理会计师考试,是全国统一组织、统一考试时间、统一命题、统一合格标准的考试,对考试合格者颁发人事部统一印制,人事部、财政部用印的《会计专业技术资格证书》,该证书在全国范围内有效。 在国家机关、社会团体、企业、事业单位和其他组织中从事会计工作,并符合报名条件的人员,均可报考。
vpn是什么?
虚拟专用网络
VPN英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。 vpn被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定隧道。 使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。
网络功能
VPN属于远程访问技术,简单地说就是利用公用网络架设专用网络。 例如某公司员工出差到外地,他想访问企业内网的服务器资源,这种访问就属于远程访问。
在传统的企业网络配置中,要进行远程访问,传统的方法是租用DDN(数字数据网)专线或帧中继,这样的通讯方案必然导致高昂的网络通讯和维护费用。 对于移动用户(移动办公人员)与远端个人用户而言,一般会通过拨号线路(Internet)进入企业的局域网,但这样必然带来安全上的隐患。
让外地员工访问到内网资源,利用VPN的解决方法就是在内网中架设一台VPN服务器。 外地员工在当地连上互联网后,通过互联网连接VPN服务器,然后通过VPN服务器进入企业内网。 为了保证数据安全,VPN服务器和客户机之间的通讯数据都进行了加密处理。 有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样,但实际上VPN使用的是互联网上的公用链路,因此VPN称为虚拟专用网络,其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。 有了VPN技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用VPN访问内网资源,这就是VPN在企业中应用得如此广泛的原因。
工作原理
通常情况下,VPN网关采取双网卡结构,外网卡使用公网IP接入Internet。
网络一(假定为公网internet)的终端A访问网络二(假定为公司内网)的终端B,其发出的访问数据包的目标地址为终端B的内部IP地址。
网络一的VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查,如果目标地址属于网络二的地址,则将该数据包进行封装,封装的方式根据所采用的VPN技术不同而不同,同时VPN网关会构造一个新VPN数据包,并将封装后的原数据包作为VPN数据包的负载,VPN数据包的目标地址为网络二的VPN网关的外部地址。
网络一的VPN网关将VPN数据包发送到Internet,由于VPN数据包的目标地址是网络二的VPN网关的外部地址,所以该数据包将被Internet中的路由正确地发送到网络二的VPN网关。
网络二的VPN网关对接收到的数据包进行检查,如果发现该数据包是从网络一的VPN网关发出的,即可判定该数据包为VPN数据包,并对该数据包进行解包处理。 解包的过程主要是先将VPN数据包的包头剥离,再将数据包反向处理还原成原始的数据包。
网络二的VPN网关将还原后的原始数据包发送至目标终端B,由于原始数据包的目标地址是终端B的IP,所以该数据包能够被正确地发送到终端B。 在终端B看来,它收到的数据包就和从终端A直接发过来的一样。
从终端B返回终端A的数据包处理过程和上述过程一样,这样两个网络内的终端就可以相互通讯了。 [1]
通过上述说明可以发现,在VPN网关对数据包进行处理时,有两个参数对于VPN通讯十分重要:原始数据包的目标地址(VPN目标地址)和远程VPN网关地址。 根据VPN目标地址,VPN网关能够判断对哪些数据包进行VPN处理,对于不需要处理的数据包通常情况下可直接转发到上级路由;远程VPN网关地址则指定了处理后的VPN数据包发送的目标地址,即VPN隧道的另一端VPN网关地址。 由于网络通讯是双向的,在进行VPN通讯时,隧道两端的VPN网关都必须知道VPN目标地址和与此对应的远端VPN网关地址。
发表评论