導語：安全網(wǎng)絡辦公環(huán)境論文一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

目前，寬帶網(wǎng)已經(jīng)得到普及，業(yè)界電子商務的開展，海量的網(wǎng)絡信息，日趨豐富的網(wǎng)絡功能使“網(wǎng)上辦公”條件已經(jīng)成熟。隨著我國電子政務的進一步發(fā)展，政府對企事業(yè)單位的管理將更多地在網(wǎng)絡上進行，因此企業(yè)辦公將不再局限于傳統(tǒng)模式。根據(jù)現(xiàn)代辦公的信息化程度，可以將其分成三個階段。首先是機械電子設備代替大量手工操作的階段，主要由電話、早期的計算機、打印機、模擬復印機實現(xiàn)。第二個階段是辦公自動化，辦公室內(nèi)甚至整個企業(yè)眾多獨立的計算機被局域網(wǎng)連接起來，數(shù)字復印機、網(wǎng)絡打印機、掃描儀的普遍使用，使得原本分散、孤立的辦公作業(yè)得到集成，初步具備了辦公信息化的雛形。辦公自動化的進一步發(fā)展就是辦公信息化階段，“網(wǎng)絡辦公”將實現(xiàn)“內(nèi)部辦公自動化，文件交換無紙化，管理決策網(wǎng)絡化，服務用戶電子化”的辦公信息化目標。但隨著辦公信息化帶來效率的提高，其安全性，特別是內(nèi)部辦公網(wǎng)絡的安全問題，也引起人們更大的關(guān)注和思考。

辦公網(wǎng)絡面臨的內(nèi)部安全威脅

正如我們所知道的那樣，70％的安全威脅來自網(wǎng)絡內(nèi)部，其形式主要表現(xiàn)在以下幾個方面。

內(nèi)部辦公人員安全意識淡漠

內(nèi)部辦公人員每天都專注于本身的工作，認為網(wǎng)絡安全與己無關(guān)，因此在意識上、行為上忽略了安全的規(guī)則。為了方便，他們常常會選擇易于記憶但同時也易于被猜測或被黑客工具破解的密碼，不經(jīng)查殺病毒就使用來歷不明的軟件，隨便將內(nèi)部辦公網(wǎng)絡的軟硬件配置、拓撲結(jié)構(gòu)告之外部無關(guān)人員，給黑客入侵留下隱患。

別有用心的內(nèi)部人員故意破壞

辦公室別有用心的內(nèi)部人員會造成十分嚴重的破壞。防火墻、IDS檢測系統(tǒng)等網(wǎng)絡安全產(chǎn)品主要針對外部入侵進行防范，但面對內(nèi)部人員的不安全行為卻無法阻止。一些辦公人員喜歡休息日在辦公室內(nèi)上網(wǎng)瀏覽網(wǎng)頁，下載軟件或玩網(wǎng)絡游戲，但受到網(wǎng)絡安全管理規(guī)定的限制，于是繞過防火墻的檢測偷偷撥號上網(wǎng)，造成黑客可以通過這些撥號上網(wǎng)的計算機來攻入內(nèi)部網(wǎng)絡。而有些辦公人員稍具網(wǎng)絡知識，又對充當網(wǎng)絡黑客感興趣，于是私自修改系統(tǒng)或找到黑客工具在辦公網(wǎng)絡內(nèi)運行，不知不覺中開啟了后門或進行了網(wǎng)絡破壞還渾然不覺。更為嚴重的是一些人員已經(jīng)在準備跳槽或被施利收買，辦公內(nèi)部機密信息被其私自拷貝、復制后流失到外部。此外，還有那些被批評、解職、停職的內(nèi)部人員，由于對內(nèi)部辦公網(wǎng)絡比較熟悉，會借著各種機會（如找以前同事）進行報復，如使用病毒造成其傳播感染，或刪除一些重要的文件，甚至會與外部黑客相勾結(jié)，攻擊、控制內(nèi)部辦公網(wǎng)絡，使得系統(tǒng)無法正常工作，嚴重時造成系統(tǒng)癱瘓。

單位領(lǐng)導對辦公網(wǎng)絡安全沒有足夠重視

有些單位對辦公網(wǎng)絡存在著只用不管的現(xiàn)象，有的領(lǐng)導只關(guān)心網(wǎng)絡有沒有建起來，能否連得上，而對其安全沒有概念，甚至對于網(wǎng)絡基本情況，包括網(wǎng)絡規(guī)模、網(wǎng)絡結(jié)構(gòu)、網(wǎng)絡設備、網(wǎng)絡出口等概不知情。對內(nèi)部辦公人員，公司平時很少進行安全技術(shù)培訓和安全意識教育，沒有建立相應的辦公網(wǎng)絡安全崗位和安全管理制度，對于黑客的攻擊和內(nèi)部違規(guī)操作則又存在僥幸心理，認為這些是非常遙遠的事情。在硬件上，領(lǐng)導普遍認為只要安裝了防火墻、IDS、IPS，設置了Honeypot就可以高枕無憂。而沒有對新的安全技術(shù)和安全產(chǎn)品做及時升級更新，對網(wǎng)絡資源沒有進行細粒度安全級別的劃分，使內(nèi)部不同密級的網(wǎng)絡資源處于同樣的安全級別，一旦低級別的數(shù)據(jù)信息出現(xiàn)安全問題，將直接影響核心保密信息的安全和完整。

缺乏足夠的計算機網(wǎng)絡安全專業(yè)人才

由于計算機網(wǎng)絡安全在國內(nèi)起步較晚，許多單位缺乏專門的信息安全人才，使辦公信息化的網(wǎng)絡安全防護只能由一些網(wǎng)絡公司代為進行，但這些網(wǎng)絡安全公司必定不能接觸許多高級機密的辦公信息區(qū)域，因此依然存在許多信息安全漏洞和隱患。沒有內(nèi)部信息安全專業(yè)人員對系統(tǒng)實施抗攻擊能力測試，單位則無法掌握自身辦公信息網(wǎng)絡的安全強度和達到的安全等級。同時，網(wǎng)絡系統(tǒng)的漏洞掃描，操作系統(tǒng)的補丁安裝和網(wǎng)絡設備的軟、硬件升級，對辦公網(wǎng)內(nèi)外數(shù)據(jù)流的監(jiān)控和入侵檢測，系統(tǒng)日志的周期審計和分析等經(jīng)常性的安全維護和管理也難以得到及時的實行。

網(wǎng)絡隔離技術(shù)（GAP）初探

GAP技術(shù)

GAP是指通過專用硬件使兩個或兩個以上的網(wǎng)絡在不連通的情況下進行網(wǎng)絡之間的安全數(shù)據(jù)傳輸和資源共享的技術(shù)。簡而言之，就是在不連通的網(wǎng)絡之間提供數(shù)據(jù)傳輸，但不允許這些網(wǎng)絡間運行交互式協(xié)議。GAP一般包括三個部分：內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元、專用隔離交換單元。其內(nèi)、外網(wǎng)處理單元各擁有一個網(wǎng)絡接口及相應的IP地址，分別對應連接內(nèi)網(wǎng)（涉密網(wǎng)）和外網(wǎng)（互聯(lián)網(wǎng)），專用隔離交換單元受硬件電路控制高速切換，在任一瞬間僅連接內(nèi)網(wǎng)處理單元或外網(wǎng)處理單元之一。

GAP可以切斷網(wǎng)絡之間的TCP/IP連接，分解或重組TCP/IP數(shù)據(jù)包，進行安全審查，包括網(wǎng)絡協(xié)議檢查和內(nèi)容確認等，在同一時間只和一邊的網(wǎng)絡連接，與之進行數(shù)據(jù)交換。

GAP的數(shù)據(jù)傳遞過程

內(nèi)網(wǎng)處理單元內(nèi)網(wǎng)用戶的網(wǎng)絡服務請求，將數(shù)據(jù)通過專用隔離硬件交換單元轉(zhuǎn)移至外網(wǎng)處理單元，外網(wǎng)處理單元負責向外網(wǎng)服務器發(fā)出連接請求并取得網(wǎng)絡數(shù)據(jù)，然后通過專用隔離交換單元將數(shù)據(jù)轉(zhuǎn)移回內(nèi)網(wǎng)處理單元，再由其返回給內(nèi)網(wǎng)用戶。

GAP具有的高安全性

GAP設備具有安全隔離、內(nèi)核防護、協(xié)議轉(zhuǎn)換、病毒查殺、訪問控制、安全審計和身份認證等安全功能。由于GAP斷開鏈路層并切斷所有的TCP連接，并對應用層的數(shù)據(jù)交換按安全策略進行安全檢查，因此能夠保證數(shù)據(jù)的安全性并防止未知病毒的感染破壞。

使用網(wǎng)絡隔離技術(shù)（GAP）進行內(nèi)部防護

我們知道，單臺的計算機出現(xiàn)感染病毒或操作錯誤是難以避免的，而這種局部的問題較易解決并且?guī)淼膿p失較小。但是，在辦公信息化的條件下，如果這種錯誤在網(wǎng)絡所允許的范圍內(nèi)無限制地擴大，則造成的損失和破壞就難以想象。因此，對辦公內(nèi)部網(wǎng)絡的安全防范不是確保每一臺網(wǎng)絡內(nèi)的計算機不發(fā)生安全問題，而是確保發(fā)生的安全問題只限于這一臺計算機或這一小范圍，控制其影響的區(qū)域。目前，對內(nèi)網(wǎng)采取“多安全域劃分”的技術(shù)較好地解決了這個問題，而GAP系統(tǒng)的一個典型的應用就是對內(nèi)網(wǎng)的多個不同信任域的信息交換和訪問進行控制。因此，使用GAP系統(tǒng)來實現(xiàn)辦公內(nèi)網(wǎng)的“多安全域劃分”，是一個比較理想的方法。

“多安全域劃分”技術(shù)

“多安全域劃分”技術(shù)就是根據(jù)內(nèi)網(wǎng)的安全需求將內(nèi)網(wǎng)中具有不同信任度（安全等級）網(wǎng)段劃分成獨立的安全域，通過在這些安全域間加載獨立的訪問控制策略來限制內(nèi)網(wǎng)中不同信任度網(wǎng)絡間的相互訪問。這樣，即使某個低安全級別區(qū)域出現(xiàn)了安全問題，其他安全域也不會受到影響。

利用網(wǎng)絡隔離技術(shù)（GAP）實現(xiàn)辦公內(nèi)網(wǎng)的“多安全域劃分”

首先，必須根據(jù)辦公內(nèi)網(wǎng)的實際情況將內(nèi)網(wǎng)劃分出不同的安全區(qū)域，根據(jù)需要賦予這些安全區(qū)域不同的安全級別。安全級別越高則相應的信任度越高，安全級別較低則相應的信任度較低，然后安全人員按照所劃分的安全區(qū)域?qū)AP設備進行安裝。系統(tǒng)管理員依照不同安全區(qū)域的信任度高低，設置GAP設備的連接方向。GAP設備的內(nèi)網(wǎng)處理單元安裝在高安全級別區(qū)域，GAP設備的外網(wǎng)處理單元安裝在低信任度的安全區(qū)域，專用隔離硬件交換單元則布置在這兩個安全區(qū)域之間。內(nèi)網(wǎng)處理單元高安全級別區(qū)域（假設為A區(qū)域）用戶的網(wǎng)絡服務請求，外網(wǎng)處理單元負責從低安全級別區(qū)域（設為B區(qū)域）取得網(wǎng)絡數(shù)據(jù)，專用隔離硬件則將B區(qū)域的網(wǎng)絡數(shù)據(jù)轉(zhuǎn)移至A區(qū)域，最終該網(wǎng)絡數(shù)據(jù)返回給發(fā)出網(wǎng)絡服務請求的A區(qū)域用戶。這樣，A區(qū)域內(nèi)用戶可通過GAP系統(tǒng)訪問B區(qū)域內(nèi)的服務器、郵件服務器、進行郵件及網(wǎng)頁瀏覽等。同時，A區(qū)域內(nèi)管理員可以進行A區(qū)域與B區(qū)域之間的批量數(shù)據(jù)傳輸、交互操作，而B區(qū)域的用戶則無法訪問A區(qū)域的資源。這種訪問的不對稱性符合不同安全區(qū)域信息交互的要求，實現(xiàn)信息只能從低安全級別區(qū)域流向高安全級別區(qū)域的“安全隔離與信息單向傳輸”。

這樣，較易出現(xiàn)安全問題的低安全區(qū)（包括人員和設備）就不會對高安全區(qū)造成安全威脅，保證了核心信息的機密性和完整性。同時，由于在GAP外網(wǎng)單元上集成了入侵檢測和防火墻模塊，其本身也綜合了訪問控制、檢測、內(nèi)容過濾、病毒查殺，因此，GAP可限制指定格式的文件，采用專用映射協(xié)議實現(xiàn)系統(tǒng)內(nèi)部的純數(shù)據(jù)傳輸，限定了內(nèi)網(wǎng)局部安全問題只能影響其所在的那個安全級別區(qū)域，控制了其擴散的范圍。

“多安全域劃分”的防護效果

由于GAP實現(xiàn)內(nèi)網(wǎng)的信任度劃分和安全區(qū)域設定，使辦公內(nèi)網(wǎng)的安全性極大提高，辦公內(nèi)網(wǎng)易出現(xiàn)的安全問題得到有效控制。

首先，安裝GAP設備并進行內(nèi)網(wǎng)的信任度劃分，會使單位領(lǐng)導形成內(nèi)網(wǎng)安全級別的概念，明白其所在的安全區(qū)域具有較高的安全級別，因而對于網(wǎng)絡基本情況，包括網(wǎng)絡規(guī)模、網(wǎng)絡結(jié)構(gòu)、網(wǎng)絡設備、網(wǎng)絡出口等情況有更多的了解，提高他們的安全意識。

此外，對于內(nèi)部辦公人員，無論其安全意識是否淡漠或別有用心進行破壞，在GAP設備的有效防護下，內(nèi)部人員無法拷貝到核心的機密信息或?qū)⑵湫薷膭h除，因為他們所在的區(qū)域根本就不被允許對高安全級別的區(qū)域進行訪問。即使內(nèi)部人員實施了不安全的行為，如私自撥號上網(wǎng)或在辦公計算機上運行黑客軟件等，也只能將損失限制在其所在的低安全區(qū)域，不會給整個辦公內(nèi)部網(wǎng)絡造成太大的影響，而且根據(jù)發(fā)生安全問題的區(qū)域還能夠很快找出越軌的內(nèi)部人員。同時，網(wǎng)絡病毒在內(nèi)網(wǎng)的廣泛傳播也將得到有效的遏制。