安全網(wǎng)絡(luò)辦公環(huán)境論文
時間:2022-09-03 10:15:00
導(dǎo)語:安全網(wǎng)絡(luò)辦公環(huán)境論文一文來源于網(wǎng)友上傳,不代表本站觀點(diǎn),若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。
目前,寬帶網(wǎng)已經(jīng)得到普及,業(yè)界電子商務(wù)的開展,海量的網(wǎng)絡(luò)信息,日趨豐富的網(wǎng)絡(luò)功能使“網(wǎng)上辦公”條件已經(jīng)成熟。隨著我國電子政務(wù)的進(jìn)一步發(fā)展,政府對企事業(yè)單位的管理將更多地在網(wǎng)絡(luò)上進(jìn)行,因此企業(yè)辦公將不再局限于傳統(tǒng)模式。根據(jù)現(xiàn)代辦公的信息化程度,可以將其分成三個階段。首先是機(jī)械電子設(shè)備代替大量手工操作的階段,主要由電話、早期的計(jì)算機(jī)、打印機(jī)、模擬復(fù)印機(jī)實(shí)現(xiàn)。第二個階段是辦公自動化,辦公室內(nèi)甚至整個企業(yè)眾多獨(dú)立的計(jì)算機(jī)被局域網(wǎng)連接起來,數(shù)字復(fù)印機(jī)、網(wǎng)絡(luò)打印機(jī)、掃描儀的普遍使用,使得原本分散、孤立的辦公作業(yè)得到集成,初步具備了辦公信息化的雛形。辦公自動化的進(jìn)一步發(fā)展就是辦公信息化階段,“網(wǎng)絡(luò)辦公”將實(shí)現(xiàn)“內(nèi)部辦公自動化,文件交換無紙化,管理決策網(wǎng)絡(luò)化,服務(wù)用戶電子化”的辦公信息化目標(biāo)。但隨著辦公信息化帶來效率的提高,其安全性,特別是內(nèi)部辦公網(wǎng)絡(luò)的安全問題,也引起人們更大的關(guān)注和思考。
辦公網(wǎng)絡(luò)面臨的內(nèi)部安全威脅
正如我們所知道的那樣,70%的安全威脅來自網(wǎng)絡(luò)內(nèi)部,其形式主要表現(xiàn)在以下幾個方面。
內(nèi)部辦公人員安全意識淡漠
內(nèi)部辦公人員每天都專注于本身的工作,認(rèn)為網(wǎng)絡(luò)安全與己無關(guān),因此在意識上、行為上忽略了安全的規(guī)則。為了方便,他們常常會選擇易于記憶但同時也易于被猜測或被黑客工具破解的密碼,不經(jīng)查殺病毒就使用來歷不明的軟件,隨便將內(nèi)部辦公網(wǎng)絡(luò)的軟硬件配置、拓?fù)浣Y(jié)構(gòu)告之外部無關(guān)人員,給黑客入侵留下隱患。
別有用心的內(nèi)部人員故意破壞
辦公室別有用心的內(nèi)部人員會造成十分嚴(yán)重的破壞。防火墻、IDS檢測系統(tǒng)等網(wǎng)絡(luò)安全產(chǎn)品主要針對外部入侵進(jìn)行防范,但面對內(nèi)部人員的不安全行為卻無法阻止。一些辦公人員喜歡休息日在辦公室內(nèi)上網(wǎng)瀏覽網(wǎng)頁,下載軟件或玩網(wǎng)絡(luò)游戲,但受到網(wǎng)絡(luò)安全管理規(guī)定的限制,于是繞過防火墻的檢測偷偷撥號上網(wǎng),造成黑客可以通過這些撥號上網(wǎng)的計(jì)算機(jī)來攻入內(nèi)部網(wǎng)絡(luò)。而有些辦公人員稍具網(wǎng)絡(luò)知識,又對充當(dāng)網(wǎng)絡(luò)黑客感興趣,于是私自修改系統(tǒng)或找到黑客工具在辦公網(wǎng)絡(luò)內(nèi)運(yùn)行,不知不覺中開啟了后門或進(jìn)行了網(wǎng)絡(luò)破壞還渾然不覺。更為嚴(yán)重的是一些人員已經(jīng)在準(zhǔn)備跳槽或被施利收買,辦公內(nèi)部機(jī)密信息被其私自拷貝、復(fù)制后流失到外部。此外,還有那些被批評、解職、停職的內(nèi)部人員,由于對內(nèi)部辦公網(wǎng)絡(luò)比較熟悉,會借著各種機(jī)會(如找以前同事)進(jìn)行報(bào)復(fù),如使用病毒造成其傳播感染,或刪除一些重要的文件,甚至?xí)c外部黑客相勾結(jié),攻擊、控制內(nèi)部辦公網(wǎng)絡(luò),使得系統(tǒng)無法正常工作,嚴(yán)重時造成系統(tǒng)癱瘓。
單位領(lǐng)導(dǎo)對辦公網(wǎng)絡(luò)安全沒有足夠重視
有些單位對辦公網(wǎng)絡(luò)存在著只用不管的現(xiàn)象,有的領(lǐng)導(dǎo)只關(guān)心網(wǎng)絡(luò)有沒有建起來,能否連得上,而對其安全沒有概念,甚至對于網(wǎng)絡(luò)基本情況,包括網(wǎng)絡(luò)規(guī)模、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)出口等概不知情。對內(nèi)部辦公人員,公司平時很少進(jìn)行安全技術(shù)培訓(xùn)和安全意識教育,沒有建立相應(yīng)的辦公網(wǎng)絡(luò)安全崗位和安全管理制度,對于黑客的攻擊和內(nèi)部違規(guī)操作則又存在僥幸心理,認(rèn)為這些是非常遙遠(yuǎn)的事情。在硬件上,領(lǐng)導(dǎo)普遍認(rèn)為只要安裝了防火墻、IDS、IPS,設(shè)置了Honeypot就可以高枕無憂。而沒有對新的安全技術(shù)和安全產(chǎn)品做及時升級更新,對網(wǎng)絡(luò)資源沒有進(jìn)行細(xì)粒度安全級別的劃分,使內(nèi)部不同密級的網(wǎng)絡(luò)資源處于同樣的安全級別,一旦低級別的數(shù)據(jù)信息出現(xiàn)安全問題,將直接影響核心保密信息的安全和完整。
缺乏足夠的計(jì)算機(jī)網(wǎng)絡(luò)安全專業(yè)人才
由于計(jì)算機(jī)網(wǎng)絡(luò)安全在國內(nèi)起步較晚,許多單位缺乏專門的信息安全人才,使辦公信息化的網(wǎng)絡(luò)安全防護(hù)只能由一些網(wǎng)絡(luò)公司代為進(jìn)行,但這些網(wǎng)絡(luò)安全公司必定不能接觸許多高級機(jī)密的辦公信息區(qū)域,因此依然存在許多信息安全漏洞和隱患。沒有內(nèi)部信息安全專業(yè)人員對系統(tǒng)實(shí)施抗攻擊能力測試,單位則無法掌握自身辦公信息網(wǎng)絡(luò)的安全強(qiáng)度和達(dá)到的安全等級。同時,網(wǎng)絡(luò)系統(tǒng)的漏洞掃描,操作系統(tǒng)的補(bǔ)丁安裝和網(wǎng)絡(luò)設(shè)備的軟、硬件升級,對辦公網(wǎng)內(nèi)外數(shù)據(jù)流的監(jiān)控和入侵檢測,系統(tǒng)日志的周期審計(jì)和分析等經(jīng)常性的安全維護(hù)和管理也難以得到及時的實(shí)行。
網(wǎng)絡(luò)隔離技術(shù)(GAP)初探
GAP技術(shù)
GAP是指通過專用硬件使兩個或兩個以上的網(wǎng)絡(luò)在不連通的情況下進(jìn)行網(wǎng)絡(luò)之間的安全數(shù)據(jù)傳輸和資源共享的技術(shù)。簡而言之,就是在不連通的網(wǎng)絡(luò)之間提供數(shù)據(jù)傳輸,但不允許這些網(wǎng)絡(luò)間運(yùn)行交互式協(xié)議。GAP一般包括三個部分:內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元、專用隔離交換單元。其內(nèi)、外網(wǎng)處理單元各擁有一個網(wǎng)絡(luò)接口及相應(yīng)的IP地址,分別對應(yīng)連接內(nèi)網(wǎng)(涉密網(wǎng))和外網(wǎng)(互聯(lián)網(wǎng)),專用隔離交換單元受硬件電路控制高速切換,在任一瞬間僅連接內(nèi)網(wǎng)處理單元或外網(wǎng)處理單元之一。
GAP可以切斷網(wǎng)絡(luò)之間的TCP/IP連接,分解或重組TCP/IP數(shù)據(jù)包,進(jìn)行安全審查,包括網(wǎng)絡(luò)協(xié)議檢查和內(nèi)容確認(rèn)等,在同一時間只和一邊的網(wǎng)絡(luò)連接,與之進(jìn)行數(shù)據(jù)交換。
GAP的數(shù)據(jù)傳遞過程
內(nèi)網(wǎng)處理單元內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)服務(wù)請求,將數(shù)據(jù)通過專用隔離硬件交換單元轉(zhuǎn)移至外網(wǎng)處理單元,外網(wǎng)處理單元負(fù)責(zé)向外網(wǎng)服務(wù)器發(fā)出連接請求并取得網(wǎng)絡(luò)數(shù)據(jù),然后通過專用隔離交換單元將數(shù)據(jù)轉(zhuǎn)移回內(nèi)網(wǎng)處理單元,再由其返回給內(nèi)網(wǎng)用戶。
GAP具有的高安全性
GAP設(shè)備具有安全隔離、內(nèi)核防護(hù)、協(xié)議轉(zhuǎn)換、病毒查殺、訪問控制、安全審計(jì)和身份認(rèn)證等安全功能。由于GAP斷開鏈路層并切斷所有的TCP連接,并對應(yīng)用層的數(shù)據(jù)交換按安全策略進(jìn)行安全檢查,因此能夠保證數(shù)據(jù)的安全性并防止未知病毒的感染破壞。
使用網(wǎng)絡(luò)隔離技術(shù)(GAP)進(jìn)行內(nèi)部防護(hù)
我們知道,單臺的計(jì)算機(jī)出現(xiàn)感染病毒或操作錯誤是難以避免的,而這種局部的問題較易解決并且?guī)淼膿p失較小。但是,在辦公信息化的條件下,如果這種錯誤在網(wǎng)絡(luò)所允許的范圍內(nèi)無限制地?cái)U(kuò)大,則造成的損失和破壞就難以想象。因此,對辦公內(nèi)部網(wǎng)絡(luò)的安全防范不是確保每一臺網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)不發(fā)生安全問題,而是確保發(fā)生的安全問題只限于這一臺計(jì)算機(jī)或這一小范圍,控制其影響的區(qū)域。目前,對內(nèi)網(wǎng)采取“多安全域劃分”的技術(shù)較好地解決了這個問題,而GAP系統(tǒng)的一個典型的應(yīng)用就是對內(nèi)網(wǎng)的多個不同信任域的信息交換和訪問進(jìn)行控制。因此,使用GAP系統(tǒng)來實(shí)現(xiàn)辦公內(nèi)網(wǎng)的“多安全域劃分”,是一個比較理想的方法。
“多安全域劃分”技術(shù)
“多安全域劃分”技術(shù)就是根據(jù)內(nèi)網(wǎng)的安全需求將內(nèi)網(wǎng)中具有不同信任度(安全等級)網(wǎng)段劃分成獨(dú)立的安全域,通過在這些安全域間加載獨(dú)立的訪問控制策略來限制內(nèi)網(wǎng)中不同信任度網(wǎng)絡(luò)間的相互訪問。這樣,即使某個低安全級別區(qū)域出現(xiàn)了安全問題,其他安全域也不會受到影響。
利用網(wǎng)絡(luò)隔離技術(shù)(GAP)實(shí)現(xiàn)辦公內(nèi)網(wǎng)的“多安全域劃分”
首先,必須根據(jù)辦公內(nèi)網(wǎng)的實(shí)際情況將內(nèi)網(wǎng)劃分出不同的安全區(qū)域,根據(jù)需要賦予這些安全區(qū)域不同的安全級別。安全級別越高則相應(yīng)的信任度越高,安全級別較低則相應(yīng)的信任度較低,然后安全人員按照所劃分的安全區(qū)域?qū)AP設(shè)備進(jìn)行安裝。系統(tǒng)管理員依照不同安全區(qū)域的信任度高低,設(shè)置GAP設(shè)備的連接方向。GAP設(shè)備的內(nèi)網(wǎng)處理單元安裝在高安全級別區(qū)域,GAP設(shè)備的外網(wǎng)處理單元安裝在低信任度的安全區(qū)域,專用隔離硬件交換單元則布置在這兩個安全區(qū)域之間。內(nèi)網(wǎng)處理單元高安全級別區(qū)域(假設(shè)為A區(qū)域)用戶的網(wǎng)絡(luò)服務(wù)請求,外網(wǎng)處理單元負(fù)責(zé)從低安全級別區(qū)域(設(shè)為B區(qū)域)取得網(wǎng)絡(luò)數(shù)據(jù),專用隔離硬件則將B區(qū)域的網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)移至A區(qū)域,最終該網(wǎng)絡(luò)數(shù)據(jù)返回給發(fā)出網(wǎng)絡(luò)服務(wù)請求的A區(qū)域用戶。這樣,A區(qū)域內(nèi)用戶可通過GAP系統(tǒng)訪問B區(qū)域內(nèi)的服務(wù)器、郵件服務(wù)器、進(jìn)行郵件及網(wǎng)頁瀏覽等。同時,A區(qū)域內(nèi)管理員可以進(jìn)行A區(qū)域與B區(qū)域之間的批量數(shù)據(jù)傳輸、交互操作,而B區(qū)域的用戶則無法訪問A區(qū)域的資源。這種訪問的不對稱性符合不同安全區(qū)域信息交互的要求,實(shí)現(xiàn)信息只能從低安全級別區(qū)域流向高安全級別區(qū)域的“安全隔離與信息單向傳輸”。
這樣,較易出現(xiàn)安全問題的低安全區(qū)(包括人員和設(shè)備)就不會對高安全區(qū)造成安全威脅,保證了核心信息的機(jī)密性和完整性。同時,由于在GAP外網(wǎng)單元上集成了入侵檢測和防火墻模塊,其本身也綜合了訪問控制、檢測、內(nèi)容過濾、病毒查殺,因此,GAP可限制指定格式的文件,采用專用映射協(xié)議實(shí)現(xiàn)系統(tǒng)內(nèi)部的純數(shù)據(jù)傳輸,限定了內(nèi)網(wǎng)局部安全問題只能影響其所在的那個安全級別區(qū)域,控制了其擴(kuò)散的范圍。
“多安全域劃分”的防護(hù)效果
由于GAP實(shí)現(xiàn)內(nèi)網(wǎng)的信任度劃分和安全區(qū)域設(shè)定,使辦公內(nèi)網(wǎng)的安全性極大提高,辦公內(nèi)網(wǎng)易出現(xiàn)的安全問題得到有效控制。
首先,安裝GAP設(shè)備并進(jìn)行內(nèi)網(wǎng)的信任度劃分,會使單位領(lǐng)導(dǎo)形成內(nèi)網(wǎng)安全級別的概念,明白其所在的安全區(qū)域具有較高的安全級別,因而對于網(wǎng)絡(luò)基本情況,包括網(wǎng)絡(luò)規(guī)模、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)出口等情況有更多的了解,提高他們的安全意識。
此外,對于內(nèi)部辦公人員,無論其安全意識是否淡漠或別有用心進(jìn)行破壞,在GAP設(shè)備的有效防護(hù)下,內(nèi)部人員無法拷貝到核心的機(jī)密信息或?qū)⑵湫薷膭h除,因?yàn)樗麄兯诘膮^(qū)域根本就不被允許對高安全級別的區(qū)域進(jìn)行訪問。即使內(nèi)部人員實(shí)施了不安全的行為,如私自撥號上網(wǎng)或在辦公計(jì)算機(jī)上運(yùn)行黑客軟件等,也只能將損失限制在其所在的低安全區(qū)域,不會給整個辦公內(nèi)部網(wǎng)絡(luò)造成太大的影響,而且根據(jù)發(fā)生安全問題的區(qū)域還能夠很快找出越軌的內(nèi)部人員。同時,網(wǎng)絡(luò)病毒在內(nèi)網(wǎng)的廣泛傳播也將得到有效的遏制。
熱門標(biāo)簽
安全管理論文 安全生產(chǎn)論文 安全隱患 安全工程論文 安全宣傳教育 安全教育論文 安全保衛(wèi)論文 安全文化論文 安全生產(chǎn)匯報(bào)材料 安全建設(shè)論文 心理培訓(xùn) 人文科學(xué)概論