GAP創(chuàng)造安全的網絡辦公環(huán)境

 目前，寬帶網已經得到普及，業(yè)界電子商務的開展，海量的網絡信息，日趨豐富的網絡功能使“網上辦公”條件已經成熟。隨著我國電子政務的進一步發(fā)展，政府對企事業(yè)單位的管理將更多地在網絡上進行，因此企業(yè)辦公將不再局限于傳統(tǒng)模式。根據現代辦公的信息化程度，可以將其分成三個階段。首先是機械電子設備代替大量手工操作的階段，主要由電話、早期的計算機、打印機、模擬復印機實現。第二個階段是辦公自動化，辦公室內甚至整個企業(yè)眾多獨立的計算機被局域網連接起來，數字復印機、網絡打印機、掃描儀的普遍使用，使得原本分散、孤立的辦公作業(yè)得到集成，初步具備了辦公信息化的雛形。辦公自動化的進一步發(fā)展就是辦公信息化階段，“網絡辦公”將實現“內部辦公自動化，文件交換無紙化，管理決策網絡化，服務用戶電子化”的辦公信息化目標。但隨著辦公信息化帶來效率的提高，其安全性，特別是內部辦公網絡的安全問題，也引起人們更大的關注和思考。

辦公網絡面臨的內部安全威脅

    正如我們所知道的那樣，70％的安全威脅來自網絡內部，其形式主要表現在以下幾個方面。

內部辦公人員安全意識淡漠

    內部辦公人員每天都專注于本身的工作，認為網絡安全與己無關，因此在意識上、行為上忽略了安全的規(guī)則。為了方便，他們常常會選擇易于記憶但同時也易于被猜測或被黑客工具破解的密碼，不經查殺病毒就使用來歷不明的軟件，隨便將內部辦公網絡的軟硬件配置、拓撲結構告之外部無關人員，給黑客入侵留下隱患。

別有用心的內部人員故意破壞

    辦公室別有用心的內部人員會造成十分嚴重的破壞。防火墻、IDS檢測系統(tǒng)等網絡安全產品主要針對外部入侵進行防范，但面對內部人員的不安全行為卻無法阻止。一些辦公人員喜歡休息日在辦公室內上網瀏覽網頁，下載軟件或玩網絡游戲，但受到網絡安全管理規(guī)定的限制，于是繞過防火墻的檢測偷偷撥號上網，造成黑客可以通過這些撥號上網的計算機來攻入內部網絡。而有些辦公人員稍具網絡知識，又對充當網絡黑客感興趣，于是私自修改系統(tǒng)或找到黑客工具在辦公網絡內運行，不知不覺中開啟了后門或進行了網絡破壞還渾然不覺。更為嚴重的是一些人員已經在準備跳槽或被施利收買，辦公內部機密信息被其私自拷貝、復制后流失到外部。此外，還有那些被批評、解職、停職的內部人員，由于對內部辦公網絡比較熟悉，會借著各種機會（如找以前同事）進行報復，如使用病毒造成其傳播感染，或刪除一些重要的文件，甚至會與外部黑客相勾結，攻擊、控制內部辦公網絡，使得系統(tǒng)無法正常工作，嚴重時造成系統(tǒng)癱瘓。

單位領導對辦公網絡安全沒有足夠重視

    有些單位對辦公網絡存在著只用不管的現象，有的領導只關心網絡有沒有建起來，能否連得上，而對其安全沒有概念，甚至對于網絡基本情況，包括網絡規(guī)模、網絡結構、網絡設備、網絡出口等概不知情。對內部辦公人員，公司平時很少進行安全技術培訓和安全意識教育，沒有建立相應的辦公網絡安全崗位和安全管理制度，對于黑客的攻擊和內部違規(guī)操作則又存在僥幸心理，認為這些是非常遙遠的事情。在硬件上，領導普遍認為只要安裝了防火墻、IDS、IPS，設置了Honeypot就可以高枕無憂。而沒有對新的安全技術和安全產品做及時升級更新，對網絡資源沒有進行細粒度安全級別的劃分，使內部不同密級的網絡資源處于同樣的安全級別，一旦低級別的數據信息出現安全問題，將直接影響核心保密信息的安全和完整。

缺乏足夠的計算機網絡安全專業(yè)人才

    由于計算機網絡安全在國內起步較晚，許多單位缺乏專門的信息安全人才，使辦公信息化的網絡安全防護只能由一些網絡公司代為進行，但這些網絡安全公司必定不能接觸許多高級機密的辦公信息區(qū)域，因此依然存在許多信息安全漏洞和隱患。沒有內部信息安全專業(yè)人員對系統(tǒng)實施抗攻擊能力測試，單位則無法掌握自身辦公信息網絡的安全強度和達到的安全等級。同時，網絡系統(tǒng)的漏洞掃描，操作系統(tǒng)的補丁安裝和網絡設備的軟、硬件升級，對辦公網內外數據流的監(jiān)控和入侵檢測，系統(tǒng)日志的周期審計和分析等經常性的安全維護和管理也難以得到及時的實行。
網絡隔離技術（GAP）初探

GAP技術

    GAP是指通過專用硬件使兩個或兩個以上的網絡在不連通的情況下進行網絡之間的安全數據傳輸和資源共享的技術。簡而言之，就是在不連通的網絡之間提供數據傳輸，但不允許這些網絡間運行交互式協(xié)議。GAP一般包括三個部分：內網處理單元、外網處理單元、專用隔離交換單元。其內、外網處理單元各擁有一個網絡接口及相應的IP地址，分別對應連接內網（涉密網）和外網（互聯網），專用隔離交換單元受硬件電路控制高速切換，在任一瞬間僅連接內網處理單元或外網處理單元之一。

    GAP可以切斷網絡之間的TCP/IP連接，分解或重組TCP/IP數據包，進行安全審查，包括網絡協(xié)議檢查和內容確認等，在同一時間只和一邊的網絡連接，與之進行數據交換。

GAP的數據傳遞過程

    內網處理單元代理內網用戶的網絡服務請求，將數據通過專用隔離硬件交換單元轉移至外網處理單元，外網處理單元負責向外網服務器發(fā)出連接請求并取得網絡數據，然后通過專用隔離交換單元將數據轉移回內網處理單元，再由其返回給內網用戶。

GAP具有的高安全性

    GAP設備具有安全隔離、內核防護、協(xié)議轉換、病毒查殺、訪問控制、安全審計和身份認證等安全功能。由于GAP斷開鏈路層并切斷所有的TCP連接，并對應用層的數據交換按安全策略進行安全檢查，因此能夠保證數據的安全性并防止未知病毒的感染破壞。

使用網絡隔離技術（GAP）進行內部防護

    我們知道，單臺的計算機出現感染病毒或操作錯誤是難以避免的，而這種局部的問題較易解決并且?guī)�來的損失較小。但是，在辦公信息化的條件下，如果這種錯誤在網絡所允許的范圍內無限制地擴大，則造成的損失和破壞就難以想象。因此，對辦公內部網絡的安全防范不是確保每一臺網絡內的計算機不發(fā)生安全問題，而是確保發(fā)生的安全問題只限于這一臺計算機或這一小范圍，控制其影響的區(qū)域。目前，對內網采取“多安全域劃分”的技術較好地解決了這個問題，而GAP系統(tǒng)的一個典型的應用就是對內網的多個不同信任域的信息交換和訪問進行控制。因此，使用GAP系統(tǒng)來實現辦公內網的“多安全域劃分”，是一個比較理想的方法。

“多安全域劃分”技術

    “多安全域劃分”技術就是根據內網的安全需求將內網中具有不同信任度（安全等級）網段劃分成獨立的安全域，通過在這些安全域間加載獨立的訪問控制策略來限制內網中不同信任度網絡間的相互訪問。這樣，即使某個低安全級別區(qū)域出現了安全問題，其他安全域也不會受到影響。
利用網絡隔離技術（GAP）實現辦公內網的“多安全域劃分”

    首先，必須根據辦公內網的實際情況將內網劃分出不同的安全區(qū)域，根據需要賦予這些安全區(qū)域不同的安全級別。安全級別越高則相應的信任度越高，安全級別較低則相應的信任度較低，然后安全人員按照所劃分的安全區(qū)域對GAP設備進行安裝。系統(tǒng)管理員依照不同安全區(qū)域的信任度高低，設置GAP設備的連接方向。GAP設備的內網處理單元安裝在高安全級別區(qū)域，GAP設備的外網處理單元安裝在低信任度的安全區(qū)域，專用隔離硬件交換單元則布置在這兩個安全區(qū)域之間。內網處理單元代理高安全級別區(qū)域（假設為A區(qū)域）用戶的網絡服務請求，外網處理單元負責從低安全級別區(qū)域（設為B區(qū)域）取得網絡數據，專用隔離硬件則將B區(qū)域的網絡數據轉移至A區(qū)域，最終該網絡數據返回給發(fā)出網絡服務請求的A區(qū)域用戶。這樣，A區(qū)域內用戶可通過GAP系統(tǒng)訪問B區(qū)域內的服務器、郵件服務器、進行郵件及網頁瀏覽等。同時，A區(qū)域內管理員可以進行A區(qū)域與B區(qū)域之間的批量數據傳輸、交互操作，而B區(qū)域的用戶則無法訪問A區(qū)域的資源。這種訪問的不對稱性符合不同安全區(qū)域信息交互的要求，實現信息只能從低安全級別區(qū)域流向高安全級別區(qū)域的“安全隔離與信息單向傳輸”。

    這樣，較易出現安全問題的低安全區(qū)（包括人員和設備）就不會對高安全區(qū)造成安全威脅，保證了核心信息的機密性和完整性。同時，由于在GAP外網單元上集成了入侵檢測和防火墻模塊，其本身也綜合了訪問控制、代理檢測、內容過濾、病毒查殺，因此，GAP可限制指定格式的文件，采用專用映射協(xié)議實現系統(tǒng)內部的純數據傳輸，限定了內網局部安全問題只能影響其所在的那個安全級別區(qū)域，控制了其擴散的范圍。

“多安全域劃分”的防護效果

    由于GAP實現內網的信任度劃分和安全區(qū)域設定，使辦公內網的安全性極大提高，辦公內網易出現的安全問題得到有效控制。

    首先，安裝GAP設備并進行內網的信任度劃分，會使單位領導形成內網安全級別的概念，明白其所在的安全區(qū)域具有較高的安全級別，因而對于網絡基本情況，包括網絡規(guī)模、網絡結構、網絡設備、網絡出口等情況有更多的了解，提高他們的安全意識。

    此外，對于內部辦公人員，無論其安全意識是否淡漠或別有用心進行破壞，在GAP設備的有效防護下，內部人員無法拷貝到核心的機密信息或將其修改刪除，因為他們所在的區(qū)域根本就不被允許對高安全級別的區(qū)域進行訪問。即使內部人員實施了不安全的行為，如私自撥號上網或在辦公計算機上運行黑客軟件等，也只能將損失限制在其所在的低安全區(qū)域，不會給整個辦公內部網絡造成太大的影響，而且根據發(fā)生安全問題的區(qū)域還能夠很快找出越軌的內部人員。同時，網絡病毒在內網的廣泛傳播也將得到有效的遏制。

【GAP創(chuàng)造安全的網絡辦公環(huán)境】相關文章：

Gap08-09

Generation Gap(代溝)08-09

淺談網絡環(huán)境下的創(chuàng)造性思維培養(yǎng)08-07

創(chuàng)造英語環(huán)境 培養(yǎng)學習興趣08-12

如何創(chuàng)造美與和諧的成長環(huán)境08-12

創(chuàng)造語言環(huán)境 培養(yǎng)語言能力08-17

為學生創(chuàng)造更多的英語學習環(huán)境08-23

應努力給學生創(chuàng)造快樂成長的環(huán)境08-17

網絡營銷應該以“網絡”為中心創(chuàng)造營銷鏈08-05