淺談企業遠程辦公安全

李百毅

【摘 要】 隨著Internet技術的飛速發展，不受時間和空間限制的遠程辦公走進了人們的視線，員工可在傳統辦公室以為的任何時間、任何地點處理與業務相關的任何事情。這些技術在提高企業效益的同時，也給企業增加了風險隱患。深入了解風險的來源，將有助于企業有針對性的防護網絡風險，保障網絡安全。

【關鍵詞】 遠程辦公 網絡安全 解決方案

1 前言

隨著計算機技術的飛速發展以及 Internet 寬帶網絡的逐漸普及，傳統企業的工作模式正在發生著巨大的改變，越來越多的企業開始基于計算機技術、網絡技術以及各種應用系統展開業務工作，如ERP、OA、PDM/PLM，等系統。并且隨著Internet寬帶網絡的普及，企業和單位開始連接到互聯網獲取商業機會，與客戶交流，發布商業信息，利用豐富的Internet資源來展開商務活動。稍具規模的企業，都不僅只有一個辦公場所，而是擁有眾多的子公司、辦事處、工廠等。企業信息化應用的進步和商務模式的發展，越來越多的企業分支機構和遠程移動辦公的人員（如出差員工、合作伙伴等）需要使用總部的信息系統。據統計2006年全美就有54%的雇員平時在家時通過遠程接入的方式來辦公，這個比例在未來的兩年內將會上升到80%。而在中國，這種遠程接入辦公的趨勢也同樣越來越明顯。

2 遠程辦公解決方案分析

傳統專網的應用，促使了企業效益的日益增長，但傳統專網難以滿足企業對網絡的靈活性、安全性、經濟性、擴展性等方面的要求。這促使了一種新的替代方案的產生——在現有網絡上模擬傳統專網；這種新的解決方案就是虛擬專用網絡（VPN）。VPN可以通過特殊的加密的通訊協議在連接在Internet上的位于不同地方的兩個或多個企業內部網之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，但是它并不需要真正的去鋪設光纜等物理線路。VPN技術作為一種通過公共Internet基礎設施創建能夠確保機密性和安全性的私有專用網絡，在節省企業開支的同時也在很大程度上促進了企業現代化辦公的發展。但VPN技術通過Internet來實現企業網的遠程訪問，Internet上的潛在不安全因素會對網絡上的任何通信造成威脅，因此也會對VPN通信構成不可忽視的安全隱患。對VPN技術安全隱患進行專門的分析，制定出相應的對策來預防安全事故的發生是非常必要的。

（1）身份認證。身份認證作為訪問控制的基礎，是解決主動攻擊威脅的重要防御措施之一。因為驗證身份的方式一般采用網絡進行的模式而不是直接參與，而且常規驗證身份的方式在網絡上也不是十分地適用，同時大量的黑客還會隨時隨地以冒名頂替的身份向網絡滲透，所以網絡環境下的身份認證特別復雜，而“身份認證如果想要做到準確無誤地對來訪者進行辨別， 同時還必須提供雙向的認證”，必須采用高強度的密碼技術來進行身份認證的建立與完善。（2）訪問控制。進行訪問控制是為了達到控制不同的用戶對信息資源的訪問權限的目的，實質上是針對越權使用資源的一種防御措施。而訪問控制的種類亦可從方式上分為自主式訪問控制和強制式訪問控制兩類。實現的機制可以是通過對訪問屬性控制的訪問控制表的控制，也可以是根據安全標簽、用戶分類以及資源分檔等三類控制實現的多級控制。（3）數據保密。數據保密是為了防止信息泄露所采取的防御措施。數據加密是最為常見的確保通信安全的手段， 但是隨著計算機網絡技術的迅猛發展，傳統的加密方法不斷地被用戶以及黑客們破譯，所以不得不加強對更高強度的加密算法的研究， 以實現最終的數據保密的目的。（4）數據完整性。所謂的數據完整性是針對那些非法篡改信息、文件及業務流等威脅而采取的較為有效的防范措施。實質上就是保護網上所傳輸的數據防以免其被修改、替換、刪除、插入或重發， 從而全面保護合法用戶在接收和使用該數據時的真實性與完整性。

3 遠程辦公安全策略

所謂安全策略，是針對那些被允許進入某一組織，試圖訪問網絡技術資源和信息資源的人所規定的，必須遵守的規定，或者說，是指網絡管理部門根據整個計算機網絡鎖提供的服務內容、網絡運行狀態、網絡安全狀況、安全性需求、易用性、技術實現所需付出的代價和風險、社會因素等許多方面因素所指定的關于網絡安全總體目標、網絡安全操作、網絡安全技術、網絡安全工具、人事管理等方面的規定。在經過了對于計算機網絡的安全認證的創建之后，完善與健全與安全服務有關的安全機制也是必不可少的。第一方面是安全服務方面的安全機制的發展，具體表現為加密機機制、認證交換機制、數字簽名機制、數據完整性機制、訪問控制機制、路由控制機制等多個方面；第二方面是對于與管理有關的安全機制的健全，主要包含有安全審核機制、安全標記機制以及安全恢復機制等三個方面。我們在針對目前互聯網中存在的安全問題，利用各個網絡、網絡安全廠商及其對于自身設備安全的優化達到面對各個網絡安全領域的挑戰，建立一套完整的安全體系。例如：采用與Windows域相關聯作為遠程用戶認證和核心數據庫，對接入用戶權限的分發及管理進行控制。使用IPS入侵防護檢測、防火墻進行攻擊防范、流量監控，有效防范來自外部和內部攻擊、過濾VPN隧道中的非法流量。使用安全隔離網閘設備對遠程用戶訪問業務網段進行控制，并將數據包進行分解或重組為靜態數據，對靜態數據進行安全審查，包括網絡協議檢查和代碼掃描等，確認后的安全數據流入內部單元。對于核心業務系統的訪問須通過安全堡壘機設備，使管理員可以對每個用戶、每個網絡設備、每個主機系統分別進行審計，在安全事故發生后可以最終定位到行為人。

4 結語

任何一個網絡要想得到更好的運用，網絡都要開放，尤其對于企業網絡，不開放意味著無法為戶提供更好的網絡服務。然而一旦敞開網絡大門，在網絡資源優勢得以充分發揮、網絡技術得到發展、應用日漸廣泛、服務質量和效率大大提高的同時，網絡安全問題也隨之出現了。遠程接入是現代化網絡辦公或網上信息交流很好的方式，但其安全問題也不容忽視。