远程访问除VPN外的其他选择2

远程访问除VPN外的其他选择2

　网络管理员事先设置访问权限和认证形式，根据不同的用户以及他登陆位置的安全程度等因素制定不同的规则。如果用户从公共信息亭电话拨入，那么他将看不到那些他从家中经过许可的设备上登录所能看到的信息，如病例档案——如果网络管理员设置正确的话。你不会希望你的医生在机场查看你的病历——因为他有可能忘记退出系统，那样的话，其他机场的旅客也将会有机会对你的病历进行一下分析。

　　以上是SSL VPN的一个安全问题。另一个SSL VPN的安全问题是，最近发现，尽管VPN具有清除自己缓存的工具，但是本地的桌面搜索引擎会保留SSL VPN会话，并对其建立索引。目前已经出现了一些SSL VPN制造商提供的工具来对付这一新的安全威胁。

　　终端服务（Terminal Services）

　　微软终端服务使用户从远程以精简客户机形式使用应用程序。终端服务，作为Windows NT Server 4.0 Terminal Services版、Windows 2000 以及 .NET Server的一部分，对许多具有身份胸牌的企业和远程访问时须出示认证标识的职员来说是一个历史悠久的制度。从用户登录起，每30秒用户得到一个新的密码号，用户需要将此信息连同他的登录信息一起输入。这当然只是认证的方法之一。

　　“终端服务器”从最初发布的时候，就象它的前辈Citrix Systems公司的Citrix WinFrame一样，成为对诸多企业颇具吸引力的一种提供员工远程登录的方式，至今仍然如此。融合了Citrix的’ Secure ICA Services，128位端到端加密，Term Server的数据流变得更加安全。但你不得不去考虑那些在安全登录以后发生的情况。

　　远程控制

　　也许最易于设置，成本最低的远程职员接入方法就是远程控制，例如Symantec的PC Anywhere。这些产品使远程用户可以控制远端办公室中的设备。开放源码的VNC是一种选择，它可以在Windows、Mac、Linux 和其他平台上运行，它使用起来比较复杂，而且需要掌握相当的额外技能。但你只需在你觉得它胜任的情况下才为它埋单。

　　一些远程控制软件，如Netopia 的Timbuktu Version 7，在将你屏幕的备份通过internet发送的时候，采用非标准化的加密。目前，Timbuktu采用私有的方法将位打乱，并将屏幕的部分随机处理。专家建议不要采用私有的加密方法，因为，即使是很出名的方法也常常经不起严格的检测，此外，对于一种私有的加密方法来说，你很有可能会碰上挂羊头卖狗肉的情况。（Netopia称，在下一版本的Timbuktu中，它们将采用一种目前尚未公布的标准加密方法。）

　　目前，Altiri公司的Carbon Copy软件只在认证时采用128位的MD5加密方法，在2004年曝光的MD5所具有的冲突性弱点对Carbon Copy来说将不会是个问题。Carbon Copy的数据流通过对每个发送的数据包采用64位的私有加密密钥进行防护。用户可以任意定义对数据流进行认证的密钥——如果他们能提供密钥的话。

　　Symantec刚刚发布了具备同时为认证和数据流进行AES加密（达到256位加密长度）的PC Anywhere11.5。此一新版本的PCAnywhere同样提供了主机地址屏蔽，13种认证方法（包括RSA SecurID认证），可以识别TCP/IP 地址和子网以决定是否允许接入，以及将PC Anywhere主机从TCP/IP浏览器列表中隐藏的选项。

　　在购买产品前，需要仔细阅读安全规范说明，因为情况在不停地变化，到BugTraq根据产品名录查找（按时间顺序）相关的安全报告。

　　同时，确定你可以清空办公室电脑的屏幕显示，这样远程职员就不会担心他们在家中所做的事情被其他人看到。