VPN：最大安全隐患来自用户（1）

　　许多远程办公人员和马路勇士（road warrior）还使用电脑系统处理工作以外的事情，然后通过VPN连接至企业网络，这一事实使这些远程PC上糟糕的安全策略自然成了关注企业网络的话题。 这关系有多大呢？Cahners In-Stat的研究表明，2001年专职或兼职远程办公人员共有3200万名，其中70%可以接入因特网。这些员工当中很大一部分受雇于小企业，但相当多的人（大约500万）供职于企业级公司，可能经常使用VPN连接。

　　连接到企业网络的数量如此多的异地系统带来了两大类安全问题：

　　宽带：显然，人们担心的第一个问题就是，许多远程办公人员使用宽带连接如DSL和线缆获得足够带宽来处理工作。这使他们成为攻击目标，而一旦攻击者闯入了家用电脑系统，他就能通过VPN趁机进入企业网络。

　　数据安全：另一个主要问题是数据安全。远程办公人员和马路勇士常常把公司的大量数据保存在电脑上。虽然找到并闯入远程用户的系统需要一定技能，但窃取马路勇士的电脑手提箱，或闯入远程办公人员的家里偷走可能存有大量机密商业数据的电脑却相当容易。

　　如何开始着手？

　　大多数公司每次都是逐步实行远程办公的，从一名或若干要求至少偶尔提供在家办公这种便利的重要员工开始着手。有时，开始提供这种安排是因为某位重要的员工患有疾病、正从术后康复或者延长产假。

　　不管是什么情况，远程办公开始的时候几乎总是逐步过程：对不同用户给予个别对待。也就是说，在大多数情况下，各种软硬件在使用，远程办公人员处理一系列众多事务――这对要管理计算环境的IT专业人员来说无异是个恶梦。

　　此外，因为恐怕无法对远程员工直接采取通常的企业网络政策，所以正式的安全或使用政策就不可能落实到位。你也根本无法对远程员工实施办公室政策。企业的许多政策对远程员工来讲根本就没有意义，对他们还要作另外考虑。有时，抛弃不合理的规则比增添合理规则还要重要。这完全涉及到人性：如果你试图强加不可行的不合理规则，员工对合理规则往往也会置之不理。

　　控制这种新型工作环境所要做的头件事就是制订一项政策，内容涉及所有远程员工，而且禁止任何例外存在。这后一个要求意味着可能有、而且往往应该有分成几小类的员工及基于任务类别的特定准则。

　　不妨详细解释一下，为下面三种用户确保系统安全存在很大区别：只是偶尔在家办公期间回复一些电子邮件的远程办公人员、肩负企业重大责任的兼职或专职远程办公人员，以及经常随身携带装有企业大量机密数据的便携式电脑的高层主管或技术专家。

　　这三类用户显然需要在安全及其它问题方面实行不同规则，但他们应该归属于适用于每个人的　一系列通行规则。 适用于全体员工的一般性远程员工政策只是现有网络用户规则在内容上的延伸或修改。现有的用户规则涵盖下列方面：不许与别人共享有关系统的细节、未经授权不许修改电子表格程序的公式或宏、不许共享口令、不许打开电子邮件的附件、不许访问色情网站、不许回复垃圾邮件、定期进行备份等等。

　　因为远程员工面临不同情况，就要对现有的计算机使用政策后作一些明智的修改及删除。如果你已经有了合理的计算机使用政策，这项工作应该很简单。如果还没有，最好现在就制订。接下来制订远程员工使用政策时要用到它。

　　制订政策的建议

　　建议为远程员工政策定义两大类用户：完全使用或完全接入的远程办公人员，偶尔使用的远程办公人员。马路勇士需要增加一些针对他们的规则，但属于这两大类当中的一种。

　　这几类用户可从技术上来加以定义。譬如说，该员工是否可以连接到办公室网络的VPN（完全接入）？还是仅仅处理独立研究和文件报告，没有口令也不能直接链接到办公室网络（偶尔用户）？你还可以根据所处理的数据的种类（换句话说，数据的机密或重要程度），把用户分成几类。

　　如果大组织有许多远程办公人员处理截然不同的任务，那就要分成更多的类别。视员工处理的数据种类而定，说不定要把两类技术用户各自分成几个小类。

　　针对远程办公人员的其它规则主要来自于上面这一基本要求及需要使每台计算机上的安全配置保持最新。譬如说，我强烈建议为连接到企业VPN的所有远程办公人员提供归企业所有的计算机。如果考虑一下，你会发现如今这确实不是什么大投资。大多数远程办公人员需要的只是一套基本的系统。Dell牌子的最新P4电脑就适用于大多数高级用户，整套系统成本还不到1000美元。

　　由公司管理计算机可以消除法律和管理上的许多潜在问题。例如，倘若远程办公人员用自己的机器办公，公司如何要求员工升级软硬件或者强制遵守这类要求？ 公司有了这种管理权，要求计算机只用于办公就变得很容易。这解决了公私兼有的活动及文件带来的所有问题，同时避免了小孩子删掉重要文件