GAP創(chuàng)造安全的網(wǎng)絡(luò)辦公環(huán)境

 目前，寬帶網(wǎng)已經(jīng)得到普及，業(yè)界電子商務(wù)的開展，海量的網(wǎng)絡(luò)信息，日趨豐富的網(wǎng)絡(luò)功能使“網(wǎng)上辦公”條件已經(jīng)成熟。隨著我國電子政務(wù)的進(jìn)一步發(fā)展，政府對企事業(yè)單位的管理將更多地在網(wǎng)絡(luò)上進(jìn)行，因此企業(yè)辦公將不再局限于傳統(tǒng)模式。根據(jù)現(xiàn)代辦公的信息化程度，可以將其分成三個(gè)階段。首先是機(jī)械電子設(shè)備代替大量手工操作的階段，主要由電話、早期的計(jì)算機(jī)、打印機(jī)、模擬復(fù)印機(jī)實(shí)現(xiàn)。第二個(gè)階段是辦公自動(dòng)化，辦公室內(nèi)甚至整個(gè)企業(yè)眾多獨(dú)立的計(jì)算機(jī)被局域網(wǎng)連接起來，數(shù)字復(fù)印機(jī)、網(wǎng)絡(luò)打印機(jī)、掃描儀的普遍使用，使得原本分散、孤立的辦公作業(yè)得到集成，初步具備了辦公信息化的雛形。辦公自動(dòng)化的進(jìn)一步發(fā)展就是辦公信息化階段，“網(wǎng)絡(luò)辦公”將實(shí)現(xiàn)“內(nèi)部辦公自動(dòng)化，文件交換無紙化，管理決策網(wǎng)絡(luò)化，服務(wù)用戶電子化”的辦公信息化目標(biāo)。但隨著辦公信息化帶來效率的提高，其安全性，特別是內(nèi)部辦公網(wǎng)絡(luò)的安全問題，也引起人們更大的關(guān)注和思考。

辦公網(wǎng)絡(luò)面臨的內(nèi)部安全威脅

    正如我們所知道的那樣，70％的安全威脅來自網(wǎng)絡(luò)內(nèi)部，其形式主要表現(xiàn)在以下幾個(gè)方面。

內(nèi)部辦公人員安全意識淡漠

    內(nèi)部辦公人員每天都專注于本身的工作，認(rèn)為網(wǎng)絡(luò)安全與己無關(guān)，因此在意識上、行為上忽略了安全的規(guī)則。為了方便，他們常常會(huì)選擇易于記憶但同時(shí)也易于被猜測或被黑客工具破解的密碼，不經(jīng)查殺病毒就使用來歷不明的軟件，隨便將內(nèi)部辦公網(wǎng)絡(luò)的軟硬件配置、拓?fù)浣Y(jié)構(gòu)告之外部無關(guān)人員，給黑客入侵留下隱患。

別有用心的內(nèi)部人員故意破壞

    辦公室別有用心的內(nèi)部人員會(huì)造成十分嚴(yán)重的破壞。防火墻、IDS檢測系統(tǒng)等網(wǎng)絡(luò)安全產(chǎn)品主要針對外部入侵進(jìn)行防范，但面對內(nèi)部人員的不安全行為卻無法阻止。一些辦公人員喜歡休息日在辦公室內(nèi)上網(wǎng)瀏覽網(wǎng)頁，下載軟件或玩網(wǎng)絡(luò)游戲，但受到網(wǎng)絡(luò)安全管理規(guī)定的限制，于是繞過防火墻的檢測偷偷撥號上網(wǎng)，造成黑客可以通過這些撥號上網(wǎng)的計(jì)算機(jī)來攻入內(nèi)部網(wǎng)絡(luò)。而有些辦公人員稍具網(wǎng)絡(luò)知識，又對充當(dāng)網(wǎng)絡(luò)黑客感興趣，于是私自修改系統(tǒng)或找到黑客工具在辦公網(wǎng)絡(luò)內(nèi)運(yùn)行，不知不覺中開啟了后門或進(jìn)行了網(wǎng)絡(luò)破壞還渾然不覺。更為嚴(yán)重的是一些人員已經(jīng)在準(zhǔn)備跳槽或被施利收買，辦公內(nèi)部機(jī)密信息被其私自拷貝、復(fù)制后流失到外部。此外，還有那些被批評、解職、停職的內(nèi)部人員，由于對內(nèi)部辦公網(wǎng)絡(luò)比較熟悉，會(huì)借著各種機(jī)會(huì)（如找以前同事）進(jìn)行報(bào)復(fù)，如使用病毒造成其傳播感染，或刪除一些重要的文件，甚至?xí)�與外部黑客相勾結(jié)，攻擊、控制內(nèi)部辦公網(wǎng)絡(luò)，使得系統(tǒng)無法正常工作，嚴(yán)重時(shí)造成系統(tǒng)癱瘓。

單位領(lǐng)導(dǎo)對辦公網(wǎng)絡(luò)安全沒有足夠重視

    有些單位對辦公網(wǎng)絡(luò)存在著只用不管的現(xiàn)象，有的領(lǐng)導(dǎo)只關(guān)心網(wǎng)絡(luò)有沒有建起來，能否連得上，而對其安全沒有概念，甚至對于網(wǎng)絡(luò)基本情況，包括網(wǎng)絡(luò)規(guī)模、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)出口等概不知情。對內(nèi)部辦公人員，公司平時(shí)很少進(jìn)行安全技術(shù)培訓(xùn)和安全意識教育，沒有建立相應(yīng)的辦公網(wǎng)絡(luò)安全崗位和安全管理制度，對于黑客的攻擊和內(nèi)部違規(guī)操作則又存在僥幸心理，認(rèn)為這些是非常遙遠(yuǎn)的事情。在硬件上，領(lǐng)導(dǎo)普遍認(rèn)為只要安裝了防火墻、IDS、IPS，設(shè)置了Honeypot就可以高枕無憂。而沒有對新的安全技術(shù)和安全產(chǎn)品做及時(shí)升級更新，對網(wǎng)絡(luò)資源沒有進(jìn)行細(xì)粒度安全級別的劃分，使內(nèi)部不同密級的網(wǎng)絡(luò)資源處于同樣的安全級別，一旦低級別的數(shù)據(jù)信息出現(xiàn)安全問題，將直接影響核心保密信息的安全和完整。

缺乏足夠的計(jì)算機(jī)網(wǎng)絡(luò)安全專業(yè)人才

    由于計(jì)算機(jī)網(wǎng)絡(luò)安全在國內(nèi)起步較晚，許多單位缺乏專門的信息安全人才，使辦公信息化的網(wǎng)絡(luò)安全防護(hù)只能由一些網(wǎng)絡(luò)公司代為進(jìn)行，但這些網(wǎng)絡(luò)安全公司必定不能接觸許多高級機(jī)密的辦公信息區(qū)域，因此依然存在許多信息安全漏洞和隱患。沒有內(nèi)部信息安全專業(yè)人員對系統(tǒng)實(shí)施抗攻擊能力測試，單位則無法掌握自身辦公信息網(wǎng)絡(luò)的安全強(qiáng)度和達(dá)到的安全等級。同時(shí)，網(wǎng)絡(luò)系統(tǒng)的漏洞掃描，操作系統(tǒng)的補(bǔ)丁安裝和網(wǎng)絡(luò)設(shè)備的軟、硬件升級，對辦公網(wǎng)內(nèi)外數(shù)據(jù)流的監(jiān)控和入侵檢測，系統(tǒng)日志的周期審計(jì)和分析等經(jīng)常性的安全維護(hù)和管理也難以得到及時(shí)的實(shí)行。
網(wǎng)絡(luò)隔離技術(shù)（GAP）初探

GAP技術(shù)

    GAP是指通過專用硬件使兩個(gè)或兩個(gè)以上的網(wǎng)絡(luò)在不連通的情況下進(jìn)行網(wǎng)絡(luò)之間的安全數(shù)據(jù)傳輸和資源共享的技術(shù)。簡而言之，就是在不連通的網(wǎng)絡(luò)之間提供數(shù)據(jù)傳輸，但不允許這些網(wǎng)絡(luò)間運(yùn)行交互式協(xié)議。GAP一般包括三個(gè)部分：內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元、專用隔離交換單元。其內(nèi)、外網(wǎng)處理單元各擁有一個(gè)網(wǎng)絡(luò)接口及相應(yīng)的IP地址，分別對應(yīng)連接內(nèi)網(wǎng)（涉密網(wǎng)）和外網(wǎng)（互聯(lián)網(wǎng)），專用隔離交換單元受硬件電路控制高速切換，在任一瞬間僅連接內(nèi)網(wǎng)處理單元或外網(wǎng)處理單元之一。

    GAP可以切斷網(wǎng)絡(luò)之間的TCP/IP連接，分解或重組TCP/IP數(shù)據(jù)包，進(jìn)行安全審查，包括網(wǎng)絡(luò)協(xié)議檢查和內(nèi)容確認(rèn)等，在同一時(shí)間只和一邊的網(wǎng)絡(luò)連接，與之進(jìn)行數(shù)據(jù)交換。

GAP的數(shù)據(jù)傳遞過程

    內(nèi)網(wǎng)處理單元代理內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)服務(wù)請求，將數(shù)據(jù)通過專用隔離硬件交換單元轉(zhuǎn)移至外網(wǎng)處理單元，外網(wǎng)處理單元負(fù)責(zé)向外網(wǎng)服務(wù)器發(fā)出連接請求并取得網(wǎng)絡(luò)數(shù)據(jù)，然后通過專用隔離交換單元將數(shù)據(jù)轉(zhuǎn)移回內(nèi)網(wǎng)處理單元，再由其返回給內(nèi)網(wǎng)用戶。

GAP具有的高安全性

    GAP設(shè)備具有安全隔離、內(nèi)核防護(hù)、協(xié)議轉(zhuǎn)換、病毒查殺、訪問控制、安全審計(jì)和身份認(rèn)證等安全功能。由于GAP斷開鏈路層并切斷所有的TCP連接，并對應(yīng)用層的數(shù)據(jù)交換按安全策略進(jìn)行安全檢查，因此能夠保證數(shù)據(jù)的安全性并防止未知病毒的感染破壞。

使用網(wǎng)絡(luò)隔離技術(shù)（GAP）進(jìn)行內(nèi)部防護(hù)

    我們知道，單臺(tái)的計(jì)算機(jī)出現(xiàn)感染病毒或操作錯(cuò)誤是難以避免的，而這種局部的問題較易解決并且?guī)�來的損失較小。但是，在辦公信息化的條件下，如果這種錯(cuò)誤在網(wǎng)絡(luò)所允許的范圍內(nèi)無限制地?cái)U(kuò)大，則造成的損失和破壞就難以想象。因此，對辦公內(nèi)部網(wǎng)絡(luò)的安全防范不是確保每一臺(tái)網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)不發(fā)生安全問題，而是確保發(fā)生的安全問題只限于這一臺(tái)計(jì)算機(jī)或這一小范圍，控制其影響的區(qū)域。目前，對內(nèi)網(wǎng)采取“多安全域劃分”的技術(shù)較好地解決了這個(gè)問題，而GAP系統(tǒng)的一個(gè)典型的應(yīng)用就是對內(nèi)網(wǎng)的多個(gè)不同信任域的信息交換和訪問進(jìn)行控制。因此，使用GAP系統(tǒng)來實(shí)現(xiàn)辦公內(nèi)網(wǎng)的“多安全域劃分”，是一個(gè)比較理想的方法。

“多安全域劃分”技術(shù)

    “多安全域劃分”技術(shù)就是根據(jù)內(nèi)網(wǎng)的安全需求將內(nèi)網(wǎng)中具有不同信任度（安全等級）網(wǎng)段劃分成獨(dú)立的安全域，通過在這些安全域間加載獨(dú)立的訪問控制策略來限制內(nèi)網(wǎng)中不同信任度網(wǎng)絡(luò)間的相互訪問。這樣，即使某個(gè)低安全級別區(qū)域出現(xiàn)了安全問題，其他安全域也不會(huì)受到影響。
利用網(wǎng)絡(luò)隔離技術(shù)（GAP）實(shí)現(xiàn)辦公內(nèi)網(wǎng)的“多安全域劃分”

    首先，必須根據(jù)辦公內(nèi)網(wǎng)的實(shí)際情況將內(nèi)網(wǎng)劃分出不同的安全區(qū)域，根據(jù)需要賦予這些安全區(qū)域不同的安全級別。安全級別越高則相應(yīng)的信任度越高，安全級別較低則相應(yīng)的信任度較低，然后安全人員按照所劃分的安全區(qū)域?qū)�GAP設(shè)備進(jìn)行安裝。系統(tǒng)管理員依照不同安全區(qū)域的信任度高低，設(shè)置GAP設(shè)備的連接方向。GAP設(shè)備的內(nèi)網(wǎng)處理單元安裝在高安全級別區(qū)域，GAP設(shè)備的外網(wǎng)處理單元安裝在低信任度的安全區(qū)域，專用隔離硬件交換單元?jiǎng)t布置在這兩個(gè)安全區(qū)域之間。內(nèi)網(wǎng)處理單元代理高安全級別區(qū)域（假設(shè)為A區(qū)域）用戶的網(wǎng)絡(luò)服務(wù)請求，外網(wǎng)處理單元負(fù)責(zé)從低安全級別區(qū)域（設(shè)為B區(qū)域）取得網(wǎng)絡(luò)數(shù)據(jù)，專用隔離硬件則將B區(qū)域的網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)移至A區(qū)域，最終該網(wǎng)絡(luò)數(shù)據(jù)返回給發(fā)出網(wǎng)絡(luò)服務(wù)請求的A區(qū)域用戶。這樣，A區(qū)域內(nèi)用戶可通過GAP系統(tǒng)訪問B區(qū)域內(nèi)的服務(wù)器、郵件服務(wù)器、進(jìn)行郵件及網(wǎng)頁瀏覽等。同時(shí)，A區(qū)域內(nèi)管理員可以進(jìn)行A區(qū)域與B區(qū)域之間的批量數(shù)據(jù)傳輸、交互操作，而B區(qū)域的用戶則無法訪問A區(qū)域的資源。這種訪問的不對稱性符合不同安全區(qū)域信息交互的要求，實(shí)現(xiàn)信息只能從低安全級別區(qū)域流向高安全級別區(qū)域的“安全隔離與信息單向傳輸”。

    這樣，較易出現(xiàn)安全問題的低安全區(qū)（包括人員和設(shè)備）就不會(huì)對高安全區(qū)造成安全威脅，保證了核心信息的機(jī)密性和完整性。同時(shí)，由于在GAP外網(wǎng)單元上集成了入侵檢測和防火墻模塊，其本身也綜合了訪問控制、代理檢測、內(nèi)容過濾、病毒查殺，因此，GAP可限制指定格式的文件，采用專用映射協(xié)議實(shí)現(xiàn)系統(tǒng)內(nèi)部的純數(shù)據(jù)傳輸，限定了內(nèi)網(wǎng)局部安全問題只能影響其所在的那個(gè)安全級別區(qū)域，控制了其擴(kuò)散的范圍。

“多安全域劃分”的防護(hù)效果

    由于GAP實(shí)現(xiàn)內(nèi)網(wǎng)的信任度劃分和安全區(qū)域設(shè)定，使辦公內(nèi)網(wǎng)的安全性極大提高，辦公內(nèi)網(wǎng)易出現(xiàn)的安全問題得到有效控制。

    首先，安裝GAP設(shè)備并進(jìn)行內(nèi)網(wǎng)的信任度劃分，會(huì)使單位領(lǐng)導(dǎo)形成內(nèi)網(wǎng)安全級別的概念，明白其所在的安全區(qū)域具有較高的安全級別，因而對于網(wǎng)絡(luò)基本情況，包括網(wǎng)絡(luò)規(guī)模、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)出口等情況有更多的了解，提高他們的安全意識。

    此外，對于內(nèi)部辦公人員，無論其安全意識是否淡漠或別有用心進(jìn)行破壞，在GAP設(shè)備的有效防護(hù)下，內(nèi)部人員無法拷貝到核心的機(jī)密信息或?qū)⑵湫薷膭h除，因?yàn)樗麄兯�在的區(qū)域根本就不被允許對高安全級別的區(qū)域進(jìn)行訪問。即使內(nèi)部人員實(shí)施了不安全的行為，如私自撥號上網(wǎng)或在辦公計(jì)算機(jī)上運(yùn)行黑客軟件等，也只能將損失限制在其所在的低安全區(qū)域，不會(huì)給整個(gè)辦公內(nèi)部網(wǎng)絡(luò)造成太大的影響，而且根據(jù)發(fā)生安全問題的區(qū)域還能夠很快找出越軌的內(nèi)部人員。同時(shí)，網(wǎng)絡(luò)病毒在內(nèi)網(wǎng)的廣泛傳播也將得到有效的遏制。

【GAP創(chuàng)造安全的網(wǎng)絡(luò)辦公環(huán)境】相關(guān)文章：

Gap08-09

Generation Gap(代溝)08-09

淺談網(wǎng)絡(luò)環(huán)境下的創(chuàng)造性思維培養(yǎng)08-07

創(chuàng)造英語環(huán)境 培養(yǎng)學(xué)習(xí)興趣08-12

如何創(chuàng)造美與和諧的成長環(huán)境08-12

創(chuàng)造語言環(huán)境 培養(yǎng)語言能力08-17

為學(xué)生創(chuàng)造更多的英語學(xué)習(xí)環(huán)境08-23

應(yīng)努力給學(xué)生創(chuàng)造快樂成長的環(huán)境08-17

網(wǎng)絡(luò)營銷應(yīng)該以“網(wǎng)絡(luò)”為中心創(chuàng)造營銷鏈08-05