目前,寬帶網已經得到普及,業界電子商務的開展,海量的網絡信息,日趨豐富的網絡功能使“網上辦公”條件已經成熟。隨着我國電子政務的進一步發展,政府對企事業單位的管理將更多地在網絡上進行,因此企業辦公將不再侷限於傳統模式。根據現代辦公的信息化程度,可以將其分成三個階段。首先是機械電子設備代替大量手工操作的階段,主要由電話、早期的計算機、打印機、模擬複印機實現。第二個階段是辦公自動化,辦公室內甚至整個企業眾多獨立的計算機被局域網連接起來,數字複印機、網絡打印機、掃描儀的普遍使用,使得原本分散、孤立的辦公作業得到集成,初步具備了辦公信息化的雛形。辦公自動化的進一步發展就是辦公信息化階段,“網絡辦公”將實現“內部辦公自動化,文件交換無紙化,管理決策網絡化,服務用户電子化”的辦公信息化目標。但隨着辦公信息化帶來效率的提高,其安全性,特別是內部辦公網絡的安全問題,也引起人們更大的關注和思考。
辦公網絡面臨的內部安全威脅
正如我們所知道的那樣,70%的安全威脅來自網絡內部,其形式主要表現在以下幾個方面。
內部辦公人員安全意識淡漠
內部辦公人員每天都專注於本身的工作,認為網絡安全與己無關,因此在意識上、行為上忽略了安全的規則。為了方便,他們常常會選擇易於記憶但同時也易於被猜測或被黑客工具破解的密碼,不經查殺病毒就使用來歷不明的軟件,隨便將內部辦公網絡的軟硬件配置、拓撲結構告之外部無關人員,給黑客入侵留下隱患。
別有用心的內部人員故意破壞
辦公室別有用心的內部人員會造成十分嚴重的破壞。防火牆、IDS檢測系統等網絡安全產品主要針對外部入侵進行防範,但面對內部人員的不安全行為卻無法阻止。一些辦公人員喜歡休息日在辦公室內上網瀏覽網頁,下載軟件或玩網絡遊戲,但受到網絡安全管理規定的限制,於是繞過防火牆的檢測偷偷撥號上網,造成黑客可以通過這些撥號上網的計算機來攻入內部網絡。而有些辦公人員稍具網絡知識,又對充當網絡黑客感興趣,於是私自修改系統或找到黑客工具在辦公網絡內運行,不知不覺中開啟了後門或進行了網絡破壞還渾然不覺。更為嚴重的是一些人員已經在準備跳槽或被施利收買,辦公內部機密信息被其私自拷貝、複製後流失到外部。此外,還有那些被批評、解職、停職的內部人員,由於對內部辦公網絡比較熟悉,會藉着各種機會(如找以前同事)進行報復,如使用病毒造成其傳播感染,或刪除一些重要的文件,甚至會與外部黑客相勾結,攻擊、控制內部辦公網絡,使得系統無法正常工作,嚴重時造成系統癱瘓。
單位領導對辦公網絡安全沒有足夠重視
有些單位對辦公網絡存在着只用不管的現象,有的領導只關心網絡有沒有建起來,能否連得上,而對其安全沒有概念,甚至對於網絡基本情況,包括網絡規模、網絡結構、網絡設備、網絡出口等概不知情。對內部辦公人員,公司平時很少進行安全技術培訓和安全意識教育,沒有建立相應的辦公網絡安全崗位和安全管理制度,對於黑客的攻擊和內部違規操作則又存在僥倖心理,認為這些是非常遙遠的事情。在硬件上,領導普遍認為只要安裝了防火牆、IDS、IPS,設置了Honeypot就可以高枕無憂。而沒有對新的安全技術和安全產品做及時升級更新,對網絡資源沒有進行細粒度安全級別的劃分,使內部不同密級的網絡資源處於同樣的安全級別,一旦低級別的數據信息出現安全問題,將直接影響核心保密信息的安全和完整。
缺乏足夠的計算機網絡安全專業人才
由於計算機網絡安全在國內起步較晚,許多單位缺乏專門的信息安全人才,使辦公信息化的網絡安全防護只能由一些網絡公司代為進行,但這些網絡安全公司必定不能接觸許多高級機密的辦公信息區域,因此依然存在許多信息安全漏洞和隱患。沒有內部信息安全專業人員對系統實施抗攻擊能力測試,單位則無法掌握自身辦公信息網絡的安全強度和達到的安全等級。同時,網絡系統的漏洞掃描,操作系統的補丁安裝和網絡設備的軟、硬件升級,對辦公網內外數據流的監控和入侵檢測,系統日誌的週期審計和分析等經常性的安全維護和管理也難以得到及時的實行。
網絡隔離技術(GAP)初探
GAP技術
GAP是指通過專用硬件使兩個或兩個以上的網絡在不連通的情況下進行網絡之間的安全數據傳輸和資源共享的技術。簡而言之,就是在不連通的網絡之間提供數據傳輸,但不允許這些網絡間運行交互式協議。GAP一般包括三個部分:內網處理單元、外網處理單元、專用隔離交換單元。其內、外網處理單元各擁有一個網絡接口及相應的IP地址,分別對應連接內網(涉密網)和外網(互聯網),專用隔離交換單元受硬件電路控制高速切換,在任一瞬間僅連接內網處理單元或外網處理單元之一。
GAP可以切斷網絡之間的TCP/IP連接,分解或重組TCP/IP數據包,進行安全審查,包括網絡協議檢查和內容確認等,在同一時間只和一邊的網絡連接,與之進行數據交換。
GAP的數據傳遞過程
內網處理單元代理內網用户的網絡服務請求,將數據通過專用隔離硬件交換單元轉移至外網處理單元,外網處理單元負責向外網服務器發出連接請求並取得網絡數據,然後通過專用隔離交換單元將數據轉移回內網處理單元,再由其返回給內網用户。
GAP具有的高安全性
GAP設備具有安全隔離、內核防護、協議轉換、病毒查殺、訪問控制、安全審計和身份認證等安全功能。由於GAP斷開鏈路層並切斷所有的TCP連接,並對應用層的數據交換按安全策略進行安全檢查,因此能夠保證數據的安全性並防止未知病毒的感染破壞。
使用網絡隔離技術(GAP)進行內部防護
我們知道,單台的計算機出現感染病毒或操作錯誤是難以避免的,而這種局部的問題較易解決並且帶來的損失較小。但是,在辦公信息化的條件下,如果這種錯誤在網絡所允許的範圍內無限制地擴大,則造成的損失和破壞就難以想象。因此,對辦公內部網絡的安全防範不是確保每一台網絡內的計算機不發生安全問題,而是確保發生的安全問題只限於這一台計算機或這一小範圍,控制其影響的區域。目前,對內網採取“多安全域劃分”的技術較好地解決了這個問題,而GAP系統的一個典型的應用就是對內網的多個不同信任域的信息交換和訪問進行控制。因此,使用GAP系統來實現辦公內網的“多安全域劃分”,是一個比較理想的方法。
“多安全域劃分”技術
“多安全域劃分”技術就是根據內網的安全需求將內網中具有不同信任度(安全等級)網段劃分成獨立的安全域,通過在這些安全域間加載獨立的訪問控制策略來限制內網中不同信任度網絡間的相互訪問。這樣,即使某個低安全級別區域出現了安全問題,其他安全域也不會受到影響。
利用網絡隔離技術(GAP)實現辦公內網的“多安全域劃分”
首先,必須根據辦公內網的實際情況將內網劃分出不同的安全區域,根據需要賦予這些安全區域不同的安全級別。安全級別越高則相應的信任度越高,安全級別較低則相應的信任度較低,然後安全人員按照所劃分的安全區域對GAP設備進行安裝。系統管理員依照不同安全區域的信任度高低,設置GAP設備的連接方向。GAP設備的內網處理單元安裝在高安全級別區域,GAP設備的外網處理單元安裝在低信任度的安全區域,專用隔離硬件交換單元則佈置在這兩個安全區域之間。內網處理單元代理高安全級別區域(假設為A區域)用户的網絡服務請求,外網處理單元負責從低安全級別區域(設為B區域)取得網絡數據,專用隔離硬件則將B區域的網絡數據轉移至A區域,最終該網絡數據返回給發出網絡服務請求的A區域用户。這樣,A區域內用户可通過GAP系統訪問B區域內的服務器、郵件服務器、進行郵件及網頁瀏覽等。同時,A區域內管理員可以進行A區域與B區域之間的批量數據傳輸、交互操作,而B區域的用户則無法訪問A區域的資源。這種訪問的不對稱性符合不同安全區域信息交互的要求,實現信息只能從低安全級別區域流向高安全級別區域的“安全隔離與信息單向傳輸”。
這樣,較易出現安全問題的低安全區(包括人員和設備)就不會對高安全區造成安全威脅,保證了核心信息的機密性和完整性。同時,由於在GAP外網單元上集成了入侵檢測和防火牆模塊,其本身也綜合了訪問控制、代理檢測、內容過濾、病毒查殺,因此,GAP可限制指定格式的文件,採用專用映射協議實現系統內部的純數據傳輸,限定了內網局部安全問題只能影響其所在的那個安全級別區域,控制了其擴散的範圍。
“多安全域劃分”的防護效果
由於GAP實現內網的信任度劃分和安全區域設定,使辦公內網的安全性極大提高,辦公內網易出現的安全問題得到有效控制。
首先,安裝GAP設備並進行內網的信任度劃分,會使單位領導形成內網安全級別的概念,明白其所在的安全區域具有較高的安全級別,因而對於網絡基本情況,包括網絡規模、網絡結構、網絡設備、網絡出口等情況有更多的瞭解,提高他們的安全意識。
此外,對於內部辦公人員,無論其安全意識是否淡漠或別有用心進行破壞,在GAP設備的有效防護下,內部人員無法拷貝到核心的機密信息或將其修改刪除,因為他們所在的區域根本就不被允許對高安全級別的區域進行訪問。即使內部人員實施了不安全的行為,如私自撥號上網或在辦公計算機上運行黑客軟件等,也只能將損失限制在其所在的低安全區域,不會給整個辦公內部網絡造成太大的影響,而且根據發生安全問題的區域還能夠很快找出越軌的內部人員。同時,網絡病毒在內網的廣泛傳播也將得到有效的遏制。