筆記本電腦、掌上電腦、Smartphone、終極移動(dòng)pc（Ultra-Mobile PC）和筆控輸入 PC（Tablet PC）等移動(dòng)設(shè)備的技術(shù)在近年突飛猛進(jìn)，3G及WiMax等寬帶網(wǎng)絡(luò)連接技術(shù)將會(huì)成為市場主流，我們正在進(jìn)入移動(dòng)運(yùn)算的新時(shí)代。企業(yè)夢(mèng)寐以求的“移動(dòng)辦公室”終于實(shí)現(xiàn)，員工在外出時(shí)，仍然能夠存取企業(yè)網(wǎng)絡(luò)，和在辦公室內(nèi)工作一樣方便。事實(shí)上，業(yè)界預(yù)測(cè)掌上移動(dòng)設(shè)備2007年第一季的全球銷量將達(dá)到二億至三億，約等于2007年全年的預(yù)計(jì)PC總銷量。

移動(dòng)設(shè)備和網(wǎng)絡(luò)連接技術(shù)已經(jīng)蓄勢(shì)待發(fā)，但企業(yè)若要充分發(fā)揮這方面的效益，仍然要建立相應(yīng)的網(wǎng)絡(luò)架構(gòu)，即滲透式網(wǎng)絡(luò)存?。≒ervasive Network Access, PNA），才能獲得安全而有效的網(wǎng)絡(luò)基建，以滿足業(yè)務(wù)需要。

滲透式網(wǎng)絡(luò)存取

滲透式網(wǎng)絡(luò)存取（Pervasive Network Access, PNA）是安全的網(wǎng)絡(luò)存取架構(gòu)，而且能夠靈活設(shè)置，無論面對(duì)怎樣的用戶、端點(diǎn)設(shè)備和網(wǎng)絡(luò)技術(shù)的組合，也能夠?qū)嵭写嫒〖皹I(yè)務(wù)政策。一個(gè)成功的滲透式網(wǎng)絡(luò)，必須同時(shí)應(yīng)用SSL VPN及UAC兩種解決方案，同時(shí)對(duì)外聯(lián)網(wǎng)絡(luò)及內(nèi)聯(lián)網(wǎng)絡(luò)傳輸進(jìn)行管理，以達(dá)到下面的要求：

•對(duì)應(yīng)Windows、Linux、UNIX等各種不同的計(jì)算機(jī)系統(tǒng)，以及Pocket PC、Smartphone等移動(dòng)運(yùn)算設(shè)備，并能夠驗(yàn)證其身份及是否符合網(wǎng)絡(luò)安全政策。

•系統(tǒng)要能夠靈活設(shè)置用戶身份及角色，根據(jù)內(nèi)部和外部用戶的業(yè)務(wù)需求來決定存取情況，例如CFO和外部核數(shù)師都需要存取財(cái)務(wù)系統(tǒng)，但CFO應(yīng)該可以存取整個(gè)財(cái)務(wù)資源，而核數(shù)師就只可以存取部分財(cái)務(wù)數(shù)據(jù)，系統(tǒng)應(yīng)該能夠阻止用戶存取其職權(quán)以外的資源。

•同一位用戶可能經(jīng)常到不同地點(diǎn)工作，因此需要在客戶公司內(nèi)、家中甚至街上不同地點(diǎn)進(jìn)入企業(yè)網(wǎng)絡(luò)；因此系統(tǒng)要能夠滿足用戶的不同需要。既然用戶身在公司內(nèi)、街上甚至海外也有需要連接企業(yè)網(wǎng)絡(luò)，不論他們采用可靠（trusted）、半可靠（semi-trusted）甚至不可靠（un-trusted）的網(wǎng)絡(luò)聯(lián)機(jī)和設(shè)備，企業(yè)網(wǎng)絡(luò)也要對(duì)應(yīng)其網(wǎng)絡(luò)和設(shè)備。若用戶于可靠性和安全性較低的環(huán)境下存取網(wǎng)絡(luò)（例如咖啡室內(nèi)的計(jì)算機(jī)），系統(tǒng)應(yīng)該拒絕讓他們連接企業(yè)的機(jī)密數(shù)據(jù)。

以統(tǒng)一接入控制技術(shù)建立滲透式網(wǎng)絡(luò)架構(gòu)

SSL VPN針對(duì)外聯(lián)網(wǎng)絡(luò)傳輸進(jìn)行安全管制，而對(duì)內(nèi)聯(lián)網(wǎng)絡(luò)傳輸就需要依靠統(tǒng)一接入控制 (Unified Access Control, UAC ) 方案來進(jìn)行監(jiān)管。UAC方案由三部分組成，首先是根據(jù)以角色為基礎(chǔ)的政策，作出關(guān)于存取權(quán)決策的策略管理服務(wù)器（Infranet Controller），其次就是評(píng)估端點(diǎn)設(shè)備是否符合安全標(biāo)準(zhǔn)的小巧軟件代理器（Infranet Agent），最后就是負(fù)責(zé)實(shí)時(shí)執(zhí)行安全政策的Infranet Enforcers。

UAC使網(wǎng)絡(luò)能夠結(jié)合客戶端點(diǎn)評(píng)估和身份及網(wǎng)絡(luò)信息，能夠在整個(gè)網(wǎng)絡(luò)內(nèi)實(shí)行實(shí)時(shí)政策管理，既方便用戶存取網(wǎng)絡(luò)資源，也能夠顧及安全控制，讓企業(yè)可以掌握網(wǎng)絡(luò)存取情況、對(duì)抗威脅及遵守法規(guī)要求，同時(shí)提供安全、可靠的網(wǎng)絡(luò)服務(wù)，在加強(qiáng)協(xié)作和資源共享之余，同時(shí)減低網(wǎng)絡(luò)被入侵的風(fēng)險(xiǎn)。

除了UAC外，網(wǎng)絡(luò)基建的其余部份也要采用靈活的架構(gòu)和開放式標(biāo)準(zhǔn)。企業(yè)要對(duì)應(yīng)各種不同的用戶角色和業(yè)務(wù)程序，同時(shí)系統(tǒng)要具有豐富的設(shè)置選項(xiàng)，以對(duì)應(yīng)不同的政策和執(zhí)行技術(shù)，因此要采用可信賴計(jì)算組織 Trusted Computing Group (TCG)、電氣電子工程師協(xié)會(huì)IEEE及互聯(lián)網(wǎng)工程任務(wù)組IETF等業(yè)界團(tuán)體提出的開放式標(biāo)準(zhǔn)，包括 RADIUS、802.1X、SSL/TLS及IPSec，才能應(yīng)付市面上五花八百的產(chǎn)品和技術(shù)和不可預(yù)計(jì)的未來需要。

滲透式網(wǎng)絡(luò)存取是一個(gè)復(fù)雜而龐大的架構(gòu)，不可能一蹴即就。企業(yè)必須先計(jì)劃周全，尋找適當(dāng)?shù)募夹g(shù)伙伴，然后逐步實(shí)行，才能夠成功建立一個(gè)靈活、可調(diào)節(jié)規(guī)模及容易管理的系統(tǒng)，以便同時(shí)應(yīng)付業(yè)務(wù)、網(wǎng)絡(luò)、安全和IT管理方面的需要，使企業(yè)在安全可靠的環(huán)境下運(yùn)作。