企業動起來　在外辦公蔚為風潮 透過遠端存取VPN　便利、安全兼得

前言：新時代變革，利用IT協助企業創新，提高生產力，是當下企業追求的目標，由BlackBerry、即時通訊、無線網路的盛行得知，員工已十分仰賴1個快速接收訊息的管道，而Remote Access VPN兼顧便利性和安全性，是人員遠端存取資源不可少的工具，更重要的是，可配合企業IT的網管政策，達到高效益、低風險的目標。

近年來，職場工作形態逐漸轉變，現代企業透過網路與網際網路（Internet）就可與異地的客戶或同事聯繫、分享資料，員工也從帶著1只裝滿樣品的皮箱打天下，變成攜著筆記型電腦（NB）或PDA全球趴趴走。行動工作者比例大增，據IDC報告顯示，2009年全球行動工作者可望達全球工作人口的4分之1。

在Wi-Fi、3G、3.5G無線技術成熟，基礎建設到位、通訊設備普及下，帶動企業遠端存取（Remote Access）需求成長，不論在機場、咖啡館、飯店大廳，隨處可見商務人士低頭敲電腦，或以PDA收發E-mail，「不在辦公室，也能辦公事」貼切形容當代人的工作型態。

簡單來說，遠端存取（Remote Access）係指使用者透過網路技術，存取企業區域網路（Local Area Network；LAN）和資料中心（Data Center）的應用或資料，使用者可能是內部員工、或外部合作夥伴。舉例而言，在機場，透過Wi-Fi和NB，可連回公司下載檔案，或是拜訪客戶時，利用客戶公司的公用電腦，也可以遠端查詢企業報表。

現在企業員工不必身處辦公室，也能辦公；「台灣IBM平均每3位員工，共用1個辦公室座位，IBM歐美分公司甚至5~10人才有1個位子」IBM全球資訊科技服務事業部顧問經理陳俊昌說。台灣思科（Cisco）同樣允許員工在家工作，並由公司支付家中ADSL費用，顯見在外辦公的趨勢。

不過在外辦公，就必須連回公司內網查詢資料、或下載上傳檔案，若無適當的管理政策，公司開放員工透過Internet存取公司資源，暗藏著高度風險，例如易遭駭客入侵，竊取重要資料，所以在開放遠端存取的同時，因便利引發的新問題，以資訊安全最為重要。因此，強調安全的遠端存取虛擬私有網路（Virtual Private Network；VPN）技術，順勢而生。

以IBM為例，IBM資訊部提供員工2種遠端存取VPN（Remote Access VPN）工具：SSL VPN和IPSec VPN，陳俊昌表示，不論同仁在家或飯店，隨時隨地都能透過VPN登入企業網路，再透過網路電話（Voice over IP；VoIP）、即時通訊（Instant Messaging；IM）與其他同事互動，宛如在辦公室工作一般。

◎VPN的應用類型

一般而言，企業的VPN應用類型有3，分別是內網（Intranet）、Remote Access及外網（Extranet）。Intranet VPN用來串連總公司、分公司、Data Center等定點網路，集結成1個整體的企業網絡架構。遠端存取VPN係指，行動員工如業務人員，或少數海外員工，不在企業LAN中存取資源和應用。而Extranet VPN則是向外擴展到企業的合作夥伴，例如供應商及客戶查詢資料或是協同作業等，因此Extranet VPN亦屬遠端存取VPN的1種。

主流Remote Access VPN：IPSec VPN與SSL VPN

Remote Access VPN的概念，是在使用者電腦和企業網路的兩端，建立1條加密的通道（Tunneling），外人、非授權的用戶無法得知隧道中傳送了哪些應用，以及封包內容，破解、竊取難度相當高。

大致上，目前遠端存取VPN有以下4種，PPTP、L2TP、IPSec VPN和SSL VPN。首先，「點對點通道通訊協定」（Point to Point Tunneling Protocol；PPTP）與「第2層通道通訊協定」（Layer 2 Tunneling Protocol；L2TP）的概念相似，皆為第2層（Layer 2）的通道技術，在使用者和PPTP /L2TP伺服器（Server）之間建立1條安全通道，使用者於遠端執行依存在特定網路的應用程式。

其實Windows 2000/XP作業系統已內建微軟（Microsoft）Windows VPN Client，用戶可選擇以PPTP或L2TP連線，進入企業內部網路。不過，使用者需額外設定且程續複雜，如輸入VPN Server的IP位址，技術門檻高，一般使用者不易成功，故採用意願較低。

隨著技術演進，市場上也推出新的遠端存取VPN方式，「網際網路層安全協定」（IP Security Protocol；IPSec）是目前市場主流。IPSec屬第3層（Layer 3）的通道技術，應用方式有2：

第1、提供site to site的VPN連結，例如總公司和分公司，第2、另外亦可滿足行動員工需求，將IPSec VPN用戶端軟體安裝在NB，啟動連線後，同樣可連回企業存取資源。

奇異（GE）公共資訊服務部亞太區專案經理嚴家曜在外進行簡報時，利用3G網卡連線，並透過IPSec軟體登入GE內部網站，擷取資料，就是標準的行動辦公模式。

除IPSec VPN外，利用瀏覽器（Web browser）HTTPS加密連線的SSL VPN，也逐漸受到重視。SSL VPN係網頁伺服器（Web Server）和瀏覽器之間的互動全經過加/解密，確保資料傳輸的安全。由於終端設備皆內建Web browser，無須安裝用戶端軟體，對於IT人力不足的企業來說，管理上較為便利，使用者只要輸入特定URL網址，（例如：https://intra.abc.com)，再輸入使用者帳號、密碼後，即可連線至公司網路，使用上相當便利。

以桃園縣教育網路為例，「為落實使用者認證，和達到傳輸加密的安全，是導入SSL VPN的主要原因」桃園縣教育網路中心網管工程師莊斯凱表示。由於桃園縣教育網路中心負責桃園縣240所中小學師生無線網路（WLAN）的認證工作，為了統一管理，桃園縣教網中心採行集中式的網路架構，所有想要使用無線網路的使用者，必須連到教網中心的網路進行登入，認證完畢方可啟動連線。不過，240所中小學代表的是多達2萬名的使用者，管理上是個挑戰，為了有效管理使用者認證及傳輸安全，於2006年初導入SSL VPN。

桃園縣網中心將儲存使用者帳號的資料庫、FreeRADIUS伺服器與SSL VPN整合，一來做到使用者認證和權限管理，二來可防止帳號、密碼透過無線電波傳送時，遭人竊取。

技術無誰好誰壞 只有適不適用　企業視需求選擇最佳方案

目前遠端存取VPN技術以IPSec為主，不過，隨著企業Web-based應用增多，以及透過Web browser連線，使用方便的特點，SSL VPN也呈現穩定成長，尤其金融業、網路銀行、電子商務網站等應用最普及。

華僑銀行資訊部組長劉邦仁表示，當初採用SSL VPN是為了預防日後發生類似SARS事件，提供員工1個在家工作的資訊存取平台，而SSL VPN安裝簡易，是獲得青睞的主要原因。

另外，深耕零售業的POS系統整合廠商輔翼科技董事長丁台生也指出，零售業對SSL VPN需求相當明顯，由於零售業多分點、專櫃，IT人力少，因此使用便利的SSL VPN獲得青睞，主要讓專櫃人員連回總公司查詢庫存、訂單、公告等資料，例如化妝品業者台灣芳珂的企業資源規劃（Enterprise Resource Planning；ERP）即為Web-based，為方便專櫃人員查詢，在導入POS時，便同步引進了SSL VPN。台灣資生堂資訊資訊部資訊課課長黃世強亦表示，正在評估百貨專櫃使用SSL VPN與總部連線，在安全的架構下即時傳送當日營運表單。

對企業應用而言，比較上述Remote Access VPN技術，技術本身無孰優孰劣之分，只有適不適合的問題。Juniper Networks先進技術資深經理林佶駿表示，SSL VPN能達到詳細的權限設定，依據以下3點，提供不同的使用權限：

第1、使用者身分：內部員工或外部供應商，職等是一般員工或主管，工作單位是業務部或研發部；第2、終端設備：公司配發/核可的電腦，還是使用者家中電腦、機場、網咖的公眾電腦，有無更新病毒碼、下載patch等；第3、網路環境：企業區域網路、外部網路，IT人員可透過細項分類，制定差異化權限，以達到更嚴格的控管。舉例來說，員工透過機場公用電腦連線，為避免資料外流，MIS可設定僅限於線上查詢，禁止另存新檔案、列印，甚至自動刪除瀏覽器中的快取紀錄。

而PPTP、L2TP偏重通道的建立，據尚富煜技術部資深經理蔡旻甫指出，IPSec VPN可依照使用者身分給予簡單的權限劃分，但對於像是禁止特定員工使用特定程式、模組，或儲存、列印檔案等，細部存取權限和使用者規範多不支援，因此僅能提供粗略的權限控管。

「由於SSL VPN能提供較多的細項功能，所以部份人士可能會認為SSL VPN技術較佳，不過，這種想法並不正確」Check Point台灣技術顧問陳建宏說，並強調SSL VPN透過Web browser連線，若帳號、密碼遭竊，或是公眾電腦已被植入視窗監控或鍵盤側錄程式，駭客輕易取得帳號、密碼，堂而皇之進入企業內網，但IPSec須安裝軟體，駭客光有密碼也無法登入，先做到第1層的阻隔，IPSec安全防護反而較完整，而且能提供固定地點和行動用戶2種遠端存取模式，反觀SSL以行動工作者為主；所以目前VPN市場仍以IPSec為主流，市佔率達7成以上。

該選擇何種技術　4大評估項目供參考

遠端存取技術成熟，但使用方式、功能不盡相同，究竟哪1種技術才適合自家企業，以下提供4項評估要點，供企業IT人員參考。

第1、便利性：便利性又可分為2個層面：一般使用者的操作便利性，以及IT人員的管理便利性。由於遠端存取使用者可能是IT技術人員、一般員工、或外部廠商，若使用者為一般人員，不適合使用設定複雜的技術，因此建議採用藉瀏覽器連線的SSL VPN，和利用軟體登入的IPSec VPN。反之，IT人員具備基本的網路技能，則無此疑慮。

凹凸科技（O2Micro）業務經理林封文提醒，使用IPSec VPN可能面臨遭防火牆、網路位址轉換器（Network Address Transform；NAT）阻擋的情況，由於IPSec VPN走的是特殊埠（Port）UDP 500，而非一般使用的Port 80、Port 443（SSL VPN），因此在某些國家或飯店可能會關閉這些特殊Port，造成使用者無法順利連線，影響工作進度。

在管理便利性部分，若採用IPSec VPN，管理人員必須先在使用者終端安裝軟體，一旦使用人數多，甚至包含外部供應鏈夥伴，對導入工作和後續維護造成很大的困擾。

第2、權限管理：為增強安全管理，多會擬定依據身分給予不同使用權限的IT政策，而SSL VPN除了提供簡單的權限劃分外，還可配合IT政策，擬定詳細的管理機制，例如使用者職等、所屬部門、終端設備等政策，指派可用的應用程式及權限，適合有高度權限劃分需求的企業使用。

第3、SSL VPN支援平台的完整度：若企業有意導入SSL VPN，因SSL VPN係透過作業系統內建的browser進行連線，不過市面上SSL VPN設備支援程度不同，企業應詳細比較支援作業系統的種類，如微軟（Microsoft）的Windows或蘋果的Mac、作業系統版本，如XP或Vista、瀏覽器種類和版本，如IE 7或Firefox、行動終端的作業系統和版本，如Windows Mobile或Symbian等，避免無法使用、當機或穩定度不佳的情況發生。

桃園縣教網中心就曾遇到使用者終端版本更新而無法使用的問題，莊斯凱指出，導入後不久，恰巧面臨IE版本升級，近期則有Vista新作業系統推出，部分使用者更換系統而無法登入的狀況，最後請廠商更新韌體解決問題。因此建議企業在採購產品前做好功課，才能了解設備是否支援不同版本或平台的設備，以及廠商是否支援版本更新和升級，避免造成部分終端無法使用的窘境。

◎SSL VPN設備與HTTPS有不同嗎？

部份企業沒有採購SSL VPN設備，僅利用瀏覽器內建的連線加密功能（HTTPS），建立1套安全連線方式，常見於網路銀行、電子商務網站等交易系統，在技術上與功能上，此法與市售的SSL VPN設備有何差異呢？

HTTPS為一安全技術標準，而SSL VPN設備同樣採用HTTPS加密技術，所以在技術上並無差異。不過，在功能部分，SSL VPN業者確實設計較嚴謹、多樣的控管機制，以滿足企業日新月異的安全管理需求。

舉例而言，單純以HTTPS方式連線，可能面臨以下4點問題：第1、除非MIS人員自行撰寫程式配合，否則無法執行權限控管；第2、僅限於Web-based應用，因此無法存取部分企業應用，如網路芳鄰、FTP或非Web-based的企業資源規劃系統（ERP）等。第3、應用程式和伺服器暴露在網際網路上，風險高。第4、無法檢查端點的安全和執行動作控管，例如是否安裝防毒軟體、禁止列印、自動在連線結束後，清除瀏覽器的快取等。不過，要選擇哪1種方式，端視企業需求而定，若企業應用為Web-based，也無嚴格權限控管需求，採用瀏覽器內建功能或許就足夠。

M化、行動連線也要安全保護

除了利用NB在外辦公之外，商務人士利用智慧型手機（Smart Phone）、PDA接收E-mail、上網瀏覽資訊亦十分普及，此外，開始有企業導入M化應用，例如物流業透過專屬PDA系統進行行動化盤點，以及金融證券、房仲業的業務人員利用PDA查詢資料、下單交易等，皆代表行動化接收資訊的應用逐漸發酵。

不過，目前多數行動裝置並未內建足夠的安全機制，加上Wi-Fi、GPRS、3G/3.5G等無線傳輸技術，端視技術、系統差異而有不同的安全設計，因此在存取資料的過程中，其實隱藏潛在威脅，與其依賴手機廠商設計更安全的模組，或是電信業者提供加密線路，企業不如自己動手捍衛資訊安全，透過行動終端遠端存取資料的安全議題，不可輕忽。

企業同樣可利用IPSec VPN和SSL VPN，加強行動連線的安全，將IPSec軟體灌入行動終端，或是利用系統內建瀏覽器，執行SSL VPN。F5 Networks台灣/香港總經理許慧嫻表示，澳門自來水公司人員便結合PDA和SSL VPN，進行家戶檢視作業，防止有心人士在空中攔截資訊。不過，現階段利用Remote Access VPN防護行動連線安全的企業仍屬少數，日後行動存取資料普及，將帶動需求上漲。

若企業有意採取上述方案，不妨參考以下幾點注意事項。第1、由於VPN技術和設備廠牌、行動終端的作業系統、Web browser版本不同，例如目前PDA商務手機作業系統有Windows Mobile、Symbian、Palm、Linux等數種，支援的功能不一，但是目前多數IPSec VPN、SSL VPN設備僅限支援微軟系統，因此IT單位必須做好功課以及測試比較，避免不適用、效果不佳等現象。第2、調查使用行動裝置遠端存取的員工有多少，以便評估各種VPN技術、管理人數，選擇最簡易安裝和有效管理的方式。第3、事前教育訓練不可少，MIS按部就班教導同仁熟稔操作，從網路連線、開啟VPN功能、上傳/下載檔案等程序，降低操作門檻。