春节复工有章法 远程访问需安全

如何合理、合规、高效地配置VPN，才能保障远程办公的安全性、便捷性呢？

如同疫情防护过程中的风险区域划分，病毒/威胁可能出现的或已经出现的区域被划为高风险区域，将高风险地区的资源/人控制在高风险区域，以街道、社区、单元甚至住户为单位进行分区隔离，对不同区域实行不同的管控政策。同样，配置VPN网关时，需将网络、资源做好分区、分域隔离，把“网络病毒传播”的风险降到最低的同时不影响业务的快捷访问。

1. 使用VPN设备的多个不同网络端口将内网资源在逻辑上划分为多个安全域；

2. 根据各个安全区域内运行业务的重要程度、类别，配置对应级别的防护策略；

3. 对进入内网的流量保持持续监测。

戴口罩、穿防护服是疫情期间最常用、最高效的防护手段，而且是一种双向的安全保护。同样，在配置VPN的第二个阶段，需要采用最常用、最高效的访问控制策略为手段，为网络穿上“防护服”甚至“隐身衣”。

1. 配置身份控制策略：通过对用户身份的鉴别与授权、网元和终端的识别、用户网络接入位置的识别，保证只有安全的账号、安全的位置、安全的终端状态才能与内网的业务建立VPN连接；

2. 配置访问控制策略：针对不同的业务资源配置不同的访问控制列表并形成配置模板，提升访问安全的同时也提高了配置效率；

3. AI可信分析：开启客户端与网关针对异常检测与行为分析的功能，分析异常操作行为并根据访问资源的重要性进行告警或提醒。

核酸证明是春节期间识别流动人口安全状态的有效手段。网络访问也是如此，终端和资源只有在按需动态检测并保证在安全状态时才能被访问，以保护网络和应用的安全。做好VPN客户端和访问资源的安全检测，防止恶意代码或程序被传输到内网。

1. 网关本地攻击检测：天融信VPN网关内置的抗攻击模块、入侵防御模块、防病毒模块，通过特征匹配、行为分析，让数据夹带的恶意软件和攻击无所遁形；

2. 客户端检测：天融信VPN客户端内置病毒查杀模块，对于VPN客户端的终端进行安全状态检测，只有通过安全检测的终端才能启动VPN连接。

通过天融信VPN工程师的经验分享，想必您已经升级了VPN更优配置的新技能。此外，天融信建议您在开展远程办公期间持续观察VPN隧道内的网络流量，按需开启访问控制、入侵防御、病毒防御等功能，把远程访问带来的网络安全风险尽可能降到最低。