公司在努力为远程和移动的工作人员授权，在不危害安全性的情况下提高他们的生产率。确保只有经过授权的用户才能访问，这一点至关重要。

　　企业越来越需要为员工、合作伙伴甚至客户提供简单且具有成本效益的，对公司应用程序和资源的移动访问和远程访问。确保只有经过授权的用户才能访问，这一点至关重要。为了提供真正的网络安全，访问方法本身必须足够坚固，并且必须设定一些控制来管理访问网络资源的人的身份。

　　安全套接层(SSL)与强大的双因素认证解决方案的结合，可以让各种规模的组织具有成本效益地保护公司网络，同时可以让经过授权的用户便于进行远程访问。EMC的信息安全事业部RSA，提供了强大的双因素认证安全解决方案，可以让组织保护基于SSL的虚拟私有网络(VPNS)。RSA SecurID 双因素认证解决方案，作为RSA的身份保证组合中的核心组成部分，是非常灵活的，可升级的，并且易于管理的，因此企业可以很有效率地提供对企业SSL VPN的移动和远程的访问，同时保护信息和应用程序。

　　阐述远程访问趋势

　　随着组织在性质上越来越具有全球性，如今工作人员的环境也正在发生变化，从集中控制变成了具有流动性。随着流动的和远程工作人员数量的增加，当今的许多组织所面临的一个挑战就是如何提供有效的技术工具，来实现远程和流动工人的生产率，同时保持公司关键信息的高度安全性。开放对企业的访问会给那些没有进行预先防范来保护珍贵信息的组织带来风险。

　　大多数组织都只有有限的资源来管理越来越多的流动工作人员，而且VPNs通常太复杂以至于不能适当保证敏感的公司信息得到适当保护。因此需要易于整合到现有基础设施中，并能为终端用户提供“自助服务”补救措施的创新解决方案。这反过来可以简化终端用户的总体体验，把对持续技术支持的需求降到最低。组织需要具备实施符合远程访问趋势的安全解决方案的能力，包括：

　　劳动力日益增加的流动性

　　远程和流动工作人员的数量在持续增加，越来越多的员工都开始在家工作。公司面临着随时随地为员工、客户和合作伙伴提供访问敏感信息的需求，同时还要保证用户的身份，包括信息资源。

　　越来越多地使用未加管理的装置进行远程访问

　　工作人员需要从不同的地方访问公司信息，而且经常是通过企业几乎没有任何控制的未加以管理的装置。使用移动装置进行远程访问的也越来越多，像智能手机、平板电脑和PDAs，终端用户还在酒店和机场候机亭接入网络。组织在面临着随时随地支持访问的巨大压力，同时还要保护企业网络免受入侵。

　　法规遵从

　　Sarbanes-Oxley、Gramm-Leach-Bliley、支付卡行业数据安全标准和健康保险流通以及责任法案(HIPAA)，只是要求公司保护对信息访问的立法要求中的几个。要遵守相关法规要求，不仅要求组织采取措施保护对信息的访问，还鼓励组织仔细保存符合信息保护法规要求的访问日志和文件。

　　安全攻击的复杂性日益提高

　　保护企业免遭非法的信息访问，不仅是企业运营的要求，而且对于保护品牌价值和公司声誉也非常重要。黑客在不断开发能够偷窃信息和公开打击公司声望的复杂攻击。

　　业务的可持续性

　　正如我们最近所看到的那样，自然灾害经常是完全无法预期的，直到他们发生未知，没有人可以对它们进行规划。发生这些事情时，由于不可避免地会有某些程度的社会距离问题，所以对于沟通的需求会更大。当人们受到事件的影响时，他们希望能够给其他人发电子邮件和打电话，不仅是为了确保每一个人都是安全的，还为了在灾难发生期间能够相互帮助。拥有一种即时且安全有效的合作方式，对于组织从灾难中恢复过来，并保证业务的有效持续和生存至关重要。一个成功企业持续的方法需要能够让组织迅速从灾难中恢复过来，能够联系到所有的利益相关者，并在灾难发生之后保持生产率。不幸的是，在经历过大灾难的企业中，有60%以上都无法继续经营，通常在灾难发生后的第二年之内就倒闭了。因此，鉴于这些令人沮丧的统计数字，组织逐渐意识到应该将业务的可持续性计划纳入他们的远程访问总体计划中。

　　对企业的意义

　　组织需要制定一种全面的方法来保护远程访问，以便于：

　　– 确保传输期间信息的安全性

　　– 保证要求访问信息的终端用户的身份

　　– 审计谁在访问资源

　　同时，公司在努力授权远程和流动工作人员，并在不牺牲安全的前提下提高他们的生产率。组织还面临着确保远程和流动用户人群能够安全使用公司网络的挑战，以保证他们无论实际上位于何地都能完成工作。公司一直在设法平衡安全与生产率，并通过互联网提供对内部私有网络随时随地的访问。

　　基于互联网的VPNs 可以消除与传统广域网有关的令人头疼的行政管理和财务问题，从而让远程和流动用户拥有更高的生产率。他们可以提高生产率，同时又不会对公司私有网络中的计算机系统和数据的安全性和整合性产生负面影响。

　　远程访问考虑因素

　　在不远的过去，信息的收集都是时间和资源的函数。如今，任何人接入互联网都能获得大量信息。互联网的普及使得各种规模的组织都站在了同一个竞争舞台上，彼此公平竞争。实时的远程访问和流动访问以前是拥有IT基础设施、预算和资源来确保安全的大型公司所独有的。然而，有了新型的创新解决方案，各种规模的公司现在都可以安全地接入互联网了。

　　VPN可以让组织以一种安全且私密的方式使用像互联网这样的公众网络来发送和接收私人数据。IETF开发了互联网协议安全(IPSec)标准，它定义了提供网络层面上的认证、访问控制、加密、信息整合和重播保护，以此来保证网络装置与应用程序之间的传播。IPSec会分析通过网络界面发送和接收的IP数据包，让那些符合设置的安全政策的数据包通过，丢弃那些不符合安全政策的数据包。IPSec用于早期的VPN实施中，直至SSL被作为替代品开发出来。

　　组织在允许用户进行VPN访问之前要验证他们的真实性，这一点非常重要。

　　双因素用户认证

　　每60秒变换一次的口令代码意味着终端用户的密码每60秒变化一次。

　　尽管对于站点对站点连通性的需求已经由IPSec VPNs服务的很好，但是对于组织来说，更复杂的挑战是“高感触”端点的管理和远程或者移动职工的动态访问需求。对于包含一定数量的可信赖的用户访问来自所管理企业的PCs的LAN来说，IPSec VPNs是一个很好的解决方案，并且他们的理想是实现站点对站点连接，这对于LAN的体验也是非常必要的。

　　SSL是一个经过证实的适合于通过互联网传输私人文件的网络协议。它通过一个私人密钥对在SSL连接状态传输的数据进行加密而发挥作用，并且所有流行的网络浏览器都支持SSL，它还是在线交易的一个领先标准。对于管理任何数量的来自不同地方、使用不同的设备以及拥有多种多样的安全权限的用户来说，SSL VPNs都是一个很好的解决方案。他们通过互联网提供安全传输，而无需配置和操纵专业的客户软件，并且通过基于网络的PCs界面和智能手机以及PDAs，都能非常灵活的支持远程访问。

　　SSL通过任何网络浏览器软件都可以使安全的远程访问成为可能，并且它还能实现较高级的管理控制，提高用户灵活性并对经过授权的用户进行企业资源细粒度访问控制。SSL比IPSec更易于配置和管理，并且它允许企业通过任何基于标准的网络浏览器递送安全的远程访问。

　　有了SSL VPNs，组织便能通过电子邮件和其他的软件向远程工作者、在家办公的员工、旅途中的员工和不在办公室而依靠移动设备的用户提供安全的远程访问。SSL VPNs能为企业合伙人提供安全的入口、外联网解决方案以及简化的访问解决方案。

　　总体拥有成本

　　总体拥有成本可以被定义为购置成本加上使用成本以及随着时间推移出现的维修成本。自大部分组织对成本变得敏感之后，远程访问VPN解决方案的购买成本便成为一个主要的考虑因素。在选择一个安全的VPN解决方案之前，组织也不得不谨慎地评价其使用成本和维修成本，以便保证企业不会由于正在进行的操作成本而负担过重。VPN解决方案只需现有资源便可支持，并且对终端用户来说，它更易于获得远程访问，便于确保总体拥有成本(TCO)仍然很低生产力又很高。

　　解决方案要求在用户的PCs上安装软件，不可避免地会给已经拘泥的IT资源造成支持负担。非技术性用户需要一个简单易用的解决方案，并且组织常常更喜欢避开IPSec VPNs，因为成本、安装客户软件时的麻烦、配置、教导员工如何使用还要在遇到困难时给予支持。

　　安全

　　还有另一种重要的需要考虑的事项，那就是安全性。开放式的IPSec VPN隧道也是进入公司LAN的一个通道。隧道本身已加密并且安全，但是如果连接末端向外界开放(“分离隧道”)，那么这种安全性便会大大减弱。显然，就站点对站点连接来说，假定在两家知名实体间的VPN连接是合理的，但通过远程用户通道进入LAN的不是这种情形。如今的远程访问安全关注的中心围绕着通过这个通道能起什么作用，利用VPN开会时，经常将用户置于开放状态。对于大大小小的组织来说，即使是一个较小的安全裂口都意味着对品牌名誉无可挽回的巨大损失，足以导致企业垮台。虽然VPNs保护传输中的数据，但关键是组织验证用户，目的是在访问VPN之前确保这些用户确实是要求进入的那些用户。

　　保护企业

　　SSL VPNs利用的不但是互联网，而且还使用某些固有的协议。SSL加密协议最初开发时是为了保护在线金融交易并且也是网络商业的根本之一。SSL是所有的标准网络浏览器的一部分，因此，发动保护客户软件数据传输已经存在于终端用户的PCs和移动设备上。

　　在有效地关闭敏感信息的同时，使之对于非技术性远程操控来说非常简单和移动终端用户着手其工作时的非常好的实践中利用安全之间，组织正试图在这二者间找到平衡。为了完成真实的可靠的远程和移动访问，一个有效的安全解决方案必须同时满足这两个目标。以弗雷斯特研究调查为基础，对组织来说最大的挑战是在管理不断增加的移动和远程劳动力的同时保证高度安全，还要使终端用户生产力毫无漏洞。

　　密码的局限性

　　对于保护SSL VPNs访问来说，密码是不够的。虽然密码容易创造和使用，并且近几年在组织中已经迅速增长，但对组织来说，它们惊人地昂贵并且还存在一些密钥弱点，因此越来越促使组织转向强认证选择。密码常常被盗并且容易错用。经常需要写下来或者存储在桌面文件夹里，便于用户轻松访问，潜在地将组织暴露于某些人不必要地访问中，这些人一般通过非法途径获得存储密码。

　　“分层次的安全”方法

　　– 在 VPN被建立之前，强认证是强迫的。

　　– 可以轻松地附加，作为一个额外的认证层(如PKI/AD/LDAP)

　　– 在VPN被建立之前，端点安全状态能并且应该进行评价

　　只通过密码，组织要遵从调整要求便会非常困难，因为不能保证在偏远的地方要求进行信息访问的人恰好是对的人。终端用户由于密码受挫也变得越来越受到关注。用户希望有一个更简单以及可调和的认证方法，尽管他们表示也会受挫且担心管理不够安全，但这些系统的管理成本逐步攀升失去控制。当员工努力回忆起他们的密码时，浪费了时间。每次用户被锁并不得不打电话到企业寻求帮助时，生产力也受到伤害。

　　如果考虑到员工损失的工作效率，以及与通过内部IT人员或外包的IT服务供应商回复用户有关的费用，那么支持这些呼叫的一般管理费用将是非常昂贵的。在许多组织中，有三分之一对总台的呼叫都是关于密码重设的。重设密码会导致员工浪费获取新密码的时间，迫使组织设立帮助人员来支持大量的例行事宜和本可以避免的用户请求。

　　尽管员工表达了对密码的不满，IT管理人员也在担心其薄弱的安全性，但管理密码的成本却在脱离控制般的逐步攀升。当员工努力记住他们的密码时，也就浪费了时间，当用户每一次被锁住，不得不呼叫总台寻求帮助时，都会有损生产率。SSL VPN面临着更大的攻击风险，密码不能提供足够的身份保证，来证明通过VPN对企业的关键信息进行远程访问的合理性。

　　一种安全的远程访问解决方案

　　有了强大的认证，终端用户需要提供两种因素来证明自己的身份，最后的结果使得每一个用户在接入SSL VPN之前，身份都得到了适当的验证。任何希望彻底创建VPN环境，有效保护传输中的数据的组织，都应该采取额外的措施来确保通过VPN认证的用户确实是他们本人。双因素认证提供了一种分层次保护远程访问的方法，其中强大的认证是必须执行的，在设立VPN之前，要适当评估端点的安全状态。

　　组织可以部署RSA SecurID 认证解决方案来提供对SSL VPNs安全的远程访问。远程用户需要输入他们所知道的(他们的个人身份编号)(PIN)，以及它们所拥有的(RSA SecurID硬件或软件认证器上不断变化的口令代码)。RSA认证管理器可以被集中部署，来加强RSA SecurID解决方案的认证，组织也可以部署RSA SecurID装置，从一种整合的安装在支架上的硬件装置中受益。

　　只有当用户输入有效的RSA SecurID密代码时，才能被允许访问SSL VPN;否则将被拒绝访问。一旦用户的身份得到确认，通过了认证框架，就可以将这些资源限制在被允许访问的用户中。有了RSA双因素认证解决方案，组织可以实现劳动力的流动性，支持同时使用同一实体装置的远距离工作者和马路骑士。通过允许随时随地的访问，可以提高生产率，员工也能通过访问安全的网络资源来更快地应对业务需求。这种解决方案可以帮助组织将法规遵从的非常好的惯例与保护信息的规章要求结合在一起。

　　SSL VPNs 的一个主要的实际优势是，它们不需要客户在终端用户PCs安装和保有任何软件，用户可以通过任何公共的无线接入点来访问SSL VPNs。不过，尽管SSL VPNs使得更多终端用户更容易从任何地方接入企业网络，但也有可能导致容易受到安全攻击，因为用户可能来自未加管理的、不可信任的PCs。

　　组织可以通过为SSL VPNs部署RSA SecurID认证解决方案来满足当前和将来的远程访问需求。尽管SSL VPNs 可以提供加密技术，来确保静止数据或传输中数据的机密性和完整性，但对于用户的身份实际上是不是合法并没有担保，最终数据很有可能仍然落入错误的人手中。

　　功能要求

　　RSA SecurID认证旨在保护远程和流动员工的远程访问。远程用户只需要在他们的RSA SecurID认证器中输入他们的PIN和不断变化的代码，就能访问网络了，就像他们的PCs与公司网络真的连接在一起一样。

　　RSA提供具有各种形式因子的RSA SecurID认证器，还提供基于软件的认证器，可以让远程用户使用自己的个人装置访问网络，像PDAs和智能手机。用户不再需要记住几乎难以理解的密码，能够很容易获得接入网络的认证，利用SSL建立加密的通道。解决方案能够方便地整合进现有的安全基础设施中，可以利用现有的账户数据库，因而组织可以增强它们的安全状态，迅速实现安全的远程访问。

　　拥有的总成本

　　RSA SSL VPN 双因素认证解决方案的定价可以适应任何组织的需求和预算，不管是大型企业还是小型企业。RSA SecurID认证器可以避免重新审定密码的成本和麻烦，能够提供更大的安全。用户不再需要记住几乎想要写下来的复杂密码，写下来有可能会妨碍信息安全，使企业遭受攻击。获得授权的用户只需要键入他们的PINs和当前的口令代码，一旦获得认证，他们就从事进行在线业务了。

　　有了 RSA的双因素认证解决方案，就可以避免对丢失或忘记了密码的用户的支持成本，还可以为每个用户设定一个可用于多个应用程序的单一身份。允许一位新用户访问变得非常简单，只需要添加他们的姓名、证书和访问控制或利用现有的用户名录。不需要进行其他配置，为了发行一个新的SecurID口令，只需快速实施一个简单的用户激活流程。

　　安全

　　SSL使用强大的加密技术，是对敏感性交易的现场测试全球标准。RSA双因素认证解决方案可以让组织确保访问网络的人确实是他自己声称的那个人，以此来保护SSL通道。双因素认证可以与政策的执行整合在一起，组织可以集中定义适用于用户群体的政策。组织可以利用现有的用户账户名录和终端安全实施，同时保护对企业的远程和流动保护。

　　证书管理

　　一种有效的身份保证解决方案的重要考虑因素是它向用户分配、撤销和管理证书的能力。 RSA 证书管理器，是RSA的身份保证组合的核心部分，为RSA SecurID证书提供整个生命周期内的管理。 RSA 证书管理器的一个特征是，集中管理RSA SecurID口令的部署，并定义生命周期政策。RSA证书管理器还包含加速工作流程的设置和自动化的工具，让用户管理他们日常口令使用的许多方面。

　　报告

　　因为法规遵从和安全的原因，组织监控和保护用户的行为和对系统的使用变得非常重要。RSA认证管理器提供了各种标准化的报告，也允许用户生成定制化的报告。若需要更稳健的安全信息和事件管理系统，可以为RSA enVision™平台提供RSA SecurID事件数据，该平台是已经得到证明的市场领先技术，可以将整个企业的数据转换为自动遵从法规和安全的信息。

　　可升级性

　　组织可以通过为SSL VPNs部署RSA SecurID认证解决方案来满足当前和将来的远程访问需求。 RSA的双因素认证解决方案可支持具有成本效益的升级，因此你可以很方便地添加新用户，让整个过程变得非常简单明了。

　　总结

　　RSA提供了非常灵活、易于管理和非常稳健的强大的安全解决方案。RSA强大的双因素认证技术已被成千上万的公司所采用，被全世界数百万的用户使用。RSA SecurID双因素认证解决方案能够让组织保护SSL VPNs，实现对企业应用程序和信息的方便而又安全的远程和流动性访问。组织可以通过实施RSA SecurID安全解决方案来安全地部署SSL VPNs，保护对信息的访问，他们可以利用RSA enVision从VPN平台和其他网络装置上收集、分析和关联数据，RSA的解决方案可以让组织安全且具有成本效益地部署SSL VPNs，同时保护企业的信息，确保远程用户在被允许通过SSL VPN访问企业信息之前经过了集中认证。