李百毅

【摘 要】 隨著Internet技術的飛速發(fā)展，不受時間和空間限制的遠程辦公走進了人們的視線，員工可在傳統(tǒng)辦公室以為的任何時間、任何地點處理與業(yè)務相關的任何事情。這些技術在提高企業(yè)效益的同時，也給企業(yè)增加了風險隱患。深入了解風險的來源，將有助于企業(yè)有針對性的防護網(wǎng)絡風險，保障網(wǎng)絡安全。

【關鍵詞】 遠程辦公 網(wǎng)絡安全 解決方案

1 前言

隨著計算機技術的飛速發(fā)展以及 Internet 寬帶網(wǎng)絡的逐漸普及，傳統(tǒng)企業(yè)的工作模式正在發(fā)生著巨大的改變，越來越多的企業(yè)開始基于計算機技術、網(wǎng)絡技術以及各種應用系統(tǒng)展開業(yè)務工作，如ERP、OA、PDM/PLM，等系統(tǒng)。并且隨著Internet寬帶網(wǎng)絡的普及，企業(yè)和單位開始連接到互聯(lián)網(wǎng)獲取商業(yè)機會，與客戶交流，發(fā)布商業(yè)信息，利用豐富的Internet資源來展開商務活動。稍具規(guī)模的企業(yè)，都不僅只有一個辦公場所，而是擁有眾多的子公司、辦事處、工廠等。企業(yè)信息化應用的進步和商務模式的發(fā)展，越來越多的企業(yè)分支機構和遠程移動辦公的人員（如出差員工、合作伙伴等）需要使用總部的信息系統(tǒng)。據(jù)統(tǒng)計2006年全美就有54%的雇員平時在家時通過遠程接入的方式來辦公，這個比例在未來的兩年內(nèi)將會上升到80%。而在中國，這種遠程接入辦公的趨勢也同樣越來越明顯。

2 遠程辦公解決方案分析

傳統(tǒng)專網(wǎng)的應用，促使了企業(yè)效益的日益增長，但傳統(tǒng)專網(wǎng)難以滿足企業(yè)對網(wǎng)絡的靈活性、安全性、經(jīng)濟性、擴展性等方面的要求。這促使了一種新的替代方案的產(chǎn)生——在現(xiàn)有網(wǎng)絡上模擬傳統(tǒng)專網(wǎng)；這種新的解決方案就是虛擬專用網(wǎng)絡（VPN）。VPN可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，但是它并不需要真正的去鋪設光纜等物理線路。VPN技術作為一種通過公共Internet基礎設施創(chuàng)建能夠確保機密性和安全性的私有專用網(wǎng)絡，在節(jié)省企業(yè)開支的同時也在很大程度上促進了企業(yè)現(xiàn)代化辦公的發(fā)展。但VPN技術通過Internet來實現(xiàn)企業(yè)網(wǎng)的遠程訪問，Internet上的潛在不安全因素會對網(wǎng)絡上的任何通信造成威脅，因此也會對VPN通信構成不可忽視的安全隱患。對VPN技術安全隱患進行專門的分析，制定出相應的對策來預防安全事故的發(fā)生是非常必要的。

（1）身份認證。身份認證作為訪問控制的基礎，是解決主動攻擊威脅的重要防御措施之一。因為驗證身份的方式一般采用網(wǎng)絡進行的模式而不是直接參與，而且常規(guī)驗證身份的方式在網(wǎng)絡上也不是十分地適用，同時大量的黑客還會隨時隨地以冒名頂替的身份向網(wǎng)絡滲透，所以網(wǎng)絡環(huán)境下的身份認證特別復雜，而“身份認證如果想要做到準確無誤地對來訪者進行辨別， 同時還必須提供雙向的認證”，必須采用高強度的密碼技術來進行身份認證的建立與完善。（2）訪問控制。進行訪問控制是為了達到控制不同的用戶對信息資源的訪問權限的目的，實質上是針對越權使用資源的一種防御措施。而訪問控制的種類亦可從方式上分為自主式訪問控制和強制式訪問控制兩類。實現(xiàn)的機制可以是通過對訪問屬性控制的訪問控制表的控制，也可以是根據(jù)安全標簽、用戶分類以及資源分檔等三類控制實現(xiàn)的多級控制。（3）數(shù)據(jù)保密。數(shù)據(jù)保密是為了防止信息泄露所采取的防御措施。數(shù)據(jù)加密是最為常見的確保通信安全的手段， 但是隨著計算機網(wǎng)絡技術的迅猛發(fā)展，傳統(tǒng)的加密方法不斷地被用戶以及黑客們破譯，所以不得不加強對更高強度的加密算法的研究， 以實現(xiàn)最終的數(shù)據(jù)保密的目的。（4）數(shù)據(jù)完整性。所謂的數(shù)據(jù)完整性是針對那些非法篡改信息、文件及業(yè)務流等威脅而采取的較為有效的防范措施。實質上就是保護網(wǎng)上所傳輸?shù)臄?shù)據(jù)防以免其被修改、替換、刪除、插入或重發(fā)， 從而全面保護合法用戶在接收和使用該數(shù)據(jù)時的真實性與完整性。

3 遠程辦公安全策略

所謂安全策略，是針對那些被允許進入某一組織，試圖訪問網(wǎng)絡技術資源和信息資源的人所規(guī)定的，必須遵守的規(guī)定，或者說，是指網(wǎng)絡管理部門根據(jù)整個計算機網(wǎng)絡鎖提供的服務內(nèi)容、網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全狀況、安全性需求、易用性、技術實現(xiàn)所需付出的代價和風險、社會因素等許多方面因素所指定的關于網(wǎng)絡安全總體目標、網(wǎng)絡安全操作、網(wǎng)絡安全技術、網(wǎng)絡安全工具、人事管理等方面的規(guī)定。在經(jīng)過了對于計算機網(wǎng)絡的安全認證的創(chuàng)建之后，完善與健全與安全服務有關的安全機制也是必不可少的。第一方面是安全服務方面的安全機制的發(fā)展，具體表現(xiàn)為加密機機制、認證交換機制、數(shù)字簽名機制、數(shù)據(jù)完整性機制、訪問控制機制、路由控制機制等多個方面；第二方面是對于與管理有關的安全機制的健全，主要包含有安全審核機制、安全標記機制以及安全恢復機制等三個方面。我們在針對目前互聯(lián)網(wǎng)中存在的安全問題，利用各個網(wǎng)絡、網(wǎng)絡安全廠商及其對于自身設備安全的優(yōu)化達到面對各個網(wǎng)絡安全領域的挑戰(zhàn)，建立一套完整的安全體系。例如：采用與Windows域相關聯(lián)作為遠程用戶認證和核心數(shù)據(jù)庫，對接入用戶權限的分發(fā)及管理進行控制。使用IPS入侵防護檢測、防火墻進行攻擊防范、流量監(jiān)控，有效防范來自外部和內(nèi)部攻擊、過濾VPN隧道中的非法流量。使用安全隔離網(wǎng)閘設備對遠程用戶訪問業(yè)務網(wǎng)段進行控制，并將數(shù)據(jù)包進行分解或重組為靜態(tài)數(shù)據(jù)，對靜態(tài)數(shù)據(jù)進行安全審查，包括網(wǎng)絡協(xié)議檢查和代碼掃描等，確認后的安全數(shù)據(jù)流入內(nèi)部單元。對于核心業(yè)務系統(tǒng)的訪問須通過安全堡壘機設備，使管理員可以對每個用戶、每個網(wǎng)絡設備、每個主機系統(tǒng)分別進行審計，在安全事故發(fā)生后可以最終定位到行為人。

4 結語

任何一個網(wǎng)絡要想得到更好的運用，網(wǎng)絡都要開放，尤其對于企業(yè)網(wǎng)絡，不開放意味著無法為戶提供更好的網(wǎng)絡服務。然而一旦敞開網(wǎng)絡大門，在網(wǎng)絡資源優(yōu)勢得以充分發(fā)揮、網(wǎng)絡技術得到發(fā)展、應用日漸廣泛、服務質量和效率大大提高的同時，網(wǎng)絡安全問題也隨之出現(xiàn)了。遠程接入是現(xiàn)代化網(wǎng)絡辦公或網(wǎng)上信息交流很好的方式，但其安全問題也不容忽視。