淺談企業(yè)遠(yuǎn)程辦公安全

李百毅

【摘 要】 隨著Internet技術(shù)的飛速發(fā)展，不受時(shí)間和空間限制的遠(yuǎn)程辦公走進(jìn)了人們的視線，員工可在傳統(tǒng)辦公室以為的任何時(shí)間、任何地點(diǎn)處理與業(yè)務(wù)相關(guān)的任何事情。這些技術(shù)在提高企業(yè)效益的同時(shí)，也給企業(yè)增加了風(fēng)險(xiǎn)隱患。深入了解風(fēng)險(xiǎn)的來(lái)源，將有助于企業(yè)有針對(duì)性的防護(hù)網(wǎng)絡(luò)風(fēng)險(xiǎn)，保障網(wǎng)絡(luò)安全。

【關(guān)鍵詞】 遠(yuǎn)程辦公 網(wǎng)絡(luò)安全 解決方案

1 前言

隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展以及 Internet 寬帶網(wǎng)絡(luò)的逐漸普及，傳統(tǒng)企業(yè)的工作模式正在發(fā)生著巨大的改變，越來(lái)越多的企業(yè)開(kāi)始基于計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)以及各種應(yīng)用系統(tǒng)展開(kāi)業(yè)務(wù)工作，如ERP、OA、PDM/PLM，等系統(tǒng)。并且隨著Internet寬帶網(wǎng)絡(luò)的普及，企業(yè)和單位開(kāi)始連接到互聯(lián)網(wǎng)獲取商業(yè)機(jī)會(huì)，與客戶交流，發(fā)布商業(yè)信息，利用豐富的Internet資源來(lái)展開(kāi)商務(wù)活動(dòng)。稍具規(guī)模的企業(yè)，都不僅只有一個(gè)辦公場(chǎng)所，而是擁有眾多的子公司、辦事處、工廠等。企業(yè)信息化應(yīng)用的進(jìn)步和商務(wù)模式的發(fā)展，越來(lái)越多的企業(yè)分支機(jī)構(gòu)和遠(yuǎn)程移動(dòng)辦公的人員（如出差員工、合作伙伴等）需要使用總部的信息系統(tǒng)。據(jù)統(tǒng)計(jì)2006年全美就有54%的雇員平時(shí)在家時(shí)通過(guò)遠(yuǎn)程接入的方式來(lái)辦公，這個(gè)比例在未來(lái)的兩年內(nèi)將會(huì)上升到80%。而在中國(guó)，這種遠(yuǎn)程接入辦公的趨勢(shì)也同樣越來(lái)越明顯。

2 遠(yuǎn)程辦公解決方案分析

傳統(tǒng)專網(wǎng)的應(yīng)用，促使了企業(yè)效益的日益增長(zhǎng)，但傳統(tǒng)專網(wǎng)難以滿足企業(yè)對(duì)網(wǎng)絡(luò)的靈活性、安全性、經(jīng)濟(jì)性、擴(kuò)展性等方面的要求。這促使了一種新的替代方案的產(chǎn)生——在現(xiàn)有網(wǎng)絡(luò)上模擬傳統(tǒng)專網(wǎng)；這種新的解決方案就是虛擬專用網(wǎng)絡(luò)（VPN）。VPN可以通過(guò)特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜等物理線路。VPN技術(shù)作為一種通過(guò)公共Internet基礎(chǔ)設(shè)施創(chuàng)建能夠確保機(jī)密性和安全性的私有專用網(wǎng)絡(luò)，在節(jié)省企業(yè)開(kāi)支的同時(shí)也在很大程度上促進(jìn)了企業(yè)現(xiàn)代化辦公的發(fā)展。但VPN技術(shù)通過(guò)Internet來(lái)實(shí)現(xiàn)企業(yè)網(wǎng)的遠(yuǎn)程訪問(wèn)，Internet上的潛在不安全因素會(huì)對(duì)網(wǎng)絡(luò)上的任何通信造成威脅，因此也會(huì)對(duì)VPN通信構(gòu)成不可忽視的安全隱患。對(duì)VPN技術(shù)安全隱患進(jìn)行專門的分析，制定出相應(yīng)的對(duì)策來(lái)預(yù)防安全事故的發(fā)生是非常必要的。

（1）身份認(rèn)證。身份認(rèn)證作為訪問(wèn)控制的基礎(chǔ)，是解決主動(dòng)攻擊威脅的重要防御措施之一。因?yàn)轵?yàn)證身份的方式一般采用網(wǎng)絡(luò)進(jìn)行的模式而不是直接參與，而且常規(guī)驗(yàn)證身份的方式在網(wǎng)絡(luò)上也不是十分地適用，同時(shí)大量的黑客還會(huì)隨時(shí)隨地以冒名頂替的身份向網(wǎng)絡(luò)滲透，所以網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證特別復(fù)雜，而“身份認(rèn)證如果想要做到準(zhǔn)確無(wú)誤地對(duì)來(lái)訪者進(jìn)行辨別， 同時(shí)還必須提供雙向的認(rèn)證”，必須采用高強(qiáng)度的密碼技術(shù)來(lái)進(jìn)行身份認(rèn)證的建立與完善。（2）訪問(wèn)控制。進(jìn)行訪問(wèn)控制是為了達(dá)到控制不同的用戶對(duì)信息資源的訪問(wèn)權(quán)限的目的，實(shí)質(zhì)上是針對(duì)越權(quán)使用資源的一種防御措施。而訪問(wèn)控制的種類亦可從方式上分為自主式訪問(wèn)控制和強(qiáng)制式訪問(wèn)控制兩類。實(shí)現(xiàn)的機(jī)制可以是通過(guò)對(duì)訪問(wèn)屬性控制的訪問(wèn)控制表的控制，也可以是根據(jù)安全標(biāo)簽、用戶分類以及資源分檔等三類控制實(shí)現(xiàn)的多級(jí)控制。（3）數(shù)據(jù)保密。數(shù)據(jù)保密是為了防止信息泄露所采取的防御措施。數(shù)據(jù)加密是最為常見(jiàn)的確保通信安全的手段， 但是隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，傳統(tǒng)的加密方法不斷地被用戶以及黑客們破譯，所以不得不加強(qiáng)對(duì)更高強(qiáng)度的加密算法的研究， 以實(shí)現(xiàn)最終的數(shù)據(jù)保密的目的。（4）數(shù)據(jù)完整性。所謂的數(shù)據(jù)完整性是針對(duì)那些非法篡改信息、文件及業(yè)務(wù)流等威脅而采取的較為有效的防范措施。實(shí)質(zhì)上就是保護(hù)網(wǎng)上所傳輸?shù)臄?shù)據(jù)防以免其被修改、替換、刪除、插入或重發(fā)， 從而全面保護(hù)合法用戶在接收和使用該數(shù)據(jù)時(shí)的真實(shí)性與完整性。

3 遠(yuǎn)程辦公安全策略

所謂安全策略，是針對(duì)那些被允許進(jìn)入某一組織，試圖訪問(wèn)網(wǎng)絡(luò)技術(shù)資源和信息資源的人所規(guī)定的，必須遵守的規(guī)定，或者說(shuō)，是指網(wǎng)絡(luò)管理部門根據(jù)整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)鎖提供的服務(wù)內(nèi)容、網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全狀況、安全性需求、易用性、技術(shù)實(shí)現(xiàn)所需付出的代價(jià)和風(fēng)險(xiǎn)、社會(huì)因素等許多方面因素所指定的關(guān)于網(wǎng)絡(luò)安全總體目標(biāo)、網(wǎng)絡(luò)安全操作、網(wǎng)絡(luò)安全技術(shù)、網(wǎng)絡(luò)安全工具、人事管理等方面的規(guī)定。在經(jīng)過(guò)了對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)的安全認(rèn)證的創(chuàng)建之后，完善與健全與安全服務(wù)有關(guān)的安全機(jī)制也是必不可少的。第一方面是安全服務(wù)方面的安全機(jī)制的發(fā)展，具體表現(xiàn)為加密機(jī)機(jī)制、認(rèn)證交換機(jī)制、數(shù)字簽名機(jī)制、數(shù)據(jù)完整性機(jī)制、訪問(wèn)控制機(jī)制、路由控制機(jī)制等多個(gè)方面；第二方面是對(duì)于與管理有關(guān)的安全機(jī)制的健全，主要包含有安全審核機(jī)制、安全標(biāo)記機(jī)制以及安全恢復(fù)機(jī)制等三個(gè)方面。我們?cè)卺槍?duì)目前互聯(lián)網(wǎng)中存在的安全問(wèn)題，利用各個(gè)網(wǎng)絡(luò)、網(wǎng)絡(luò)安全廠商及其對(duì)于自身設(shè)備安全的優(yōu)化達(dá)到面對(duì)各個(gè)網(wǎng)絡(luò)安全領(lǐng)域的挑戰(zhàn)，建立一套完整的安全體系。例如：采用與Windows域相關(guān)聯(lián)作為遠(yuǎn)程用戶認(rèn)證和核心數(shù)據(jù)庫(kù)，對(duì)接入用戶權(quán)限的分發(fā)及管理進(jìn)行控制。使用IPS入侵防護(hù)檢測(cè)、防火墻進(jìn)行攻擊防范、流量監(jiān)控，有效防范來(lái)自外部和內(nèi)部攻擊、過(guò)濾VPN隧道中的非法流量。使用安全隔離網(wǎng)閘設(shè)備對(duì)遠(yuǎn)程用戶訪問(wèn)業(yè)務(wù)網(wǎng)段進(jìn)行控制，并將數(shù)據(jù)包進(jìn)行分解或重組為靜態(tài)數(shù)據(jù)，對(duì)靜態(tài)數(shù)據(jù)進(jìn)行安全審查，包括網(wǎng)絡(luò)協(xié)議檢查和代碼掃描等，確認(rèn)后的安全數(shù)據(jù)流入內(nèi)部單元。對(duì)于核心業(yè)務(wù)系統(tǒng)的訪問(wèn)須通過(guò)安全堡壘機(jī)設(shè)備，使管理員可以對(duì)每個(gè)用戶、每個(gè)網(wǎng)絡(luò)設(shè)備、每個(gè)主機(jī)系統(tǒng)分別進(jìn)行審計(jì)，在安全事故發(fā)生后可以最終定位到行為人。

4 結(jié)語(yǔ)

任何一個(gè)網(wǎng)絡(luò)要想得到更好的運(yùn)用，網(wǎng)絡(luò)都要開(kāi)放，尤其對(duì)于企業(yè)網(wǎng)絡(luò)，不開(kāi)放意味著無(wú)法為戶提供更好的網(wǎng)絡(luò)服務(wù)。然而一旦敞開(kāi)網(wǎng)絡(luò)大門，在網(wǎng)絡(luò)資源優(yōu)勢(shì)得以充分發(fā)揮、網(wǎng)絡(luò)技術(shù)得到發(fā)展、應(yīng)用日漸廣泛、服務(wù)質(zhì)量和效率大大提高的同時(shí)，網(wǎng)絡(luò)安全問(wèn)題也隨之出現(xiàn)了。遠(yuǎn)程接入是現(xiàn)代化網(wǎng)絡(luò)辦公或網(wǎng)上信息交流很好的方式，但其安全問(wèn)題也不容忽視。