網絡隔離技術的探索與實踐

宗琦

摘要：本文探討網絡隔離的相關技術，從網絡隔離的概念，說明網絡隔離技術的發展沿革與網絡隔離技術的作法，進而探討實體隔離網閘的技術原理，并從相關信息安全標準所建議之實務規范，匯整與網絡存取相關的管理控制措施。

關鍵詞：網絡隔離；信息安全；管理

一、網絡隔離的觀念

當內部網絡與因特網連接后，就陸續出現了很多的網絡安全問題，在沒有解決網絡安全問題之前，一般來說最簡單的作法是先將網路完全斷開，使得內部網絡與因特網不能直接進行網絡聯機，以防止網絡的入侵攻擊。因此對網絡隔離的普遍認知，是指在兩個網絡之間，實體線路互不連通，互相斷開。但是沒有網絡聯機就沒有隔離的必要，因此網絡隔離的技術是在需要數據交換及資源共享的情況下出現。不需要數據交換的網絡隔離容易實現，只要將網絡完全斷開，互不聯機即可達成。但在需要數據交換的網絡隔離卻不容易實現。在本研究所探討的網絡隔離技術，是指需要數據交換的網絡隔離技術。

事實上在大多數的政府機關或企業的內部網絡，仍然需要與外部網絡（或是因特網）進行信息交換。實施網絡斷開的實體隔離，雖然切斷兩個網絡之間的直接數據交換，但是在單機最安全的情況下，也可能存在著復制數據時遭受病毒感染與破壞的風險。

二、網絡安全管理

（一）網絡控制措施

在「10.6.1網絡控制措施」控件中，說明應采用的控制措施，對于網絡應該要適當的加以管理與控制，使其不會受到安全的威脅，并且維護網絡上所使用的系統與應用程序的安全（包括傳輸中的資訊）。

建議組織應采用適當的作法，以維護網絡聯機安全。網絡管理者應該建立計算機網絡系統的安全控管機制，以確保網絡傳輸數據的安全，保護網絡連線作業，防止未經授權的系統存取。特別需列入考慮的項目如下：

1、盡可能將網絡和計算機作業的權責區隔，以降低組織設備遭未經授權的修改或誤用之機會；2、建立遠程設備（包括使用者區域的設備）的管理責任和程序，例如管制遠程登入設備，以避免未經授權的使用；3、建立安全的加密機制控制措施，保護透過公眾網絡或無線網絡所傳送數據的機密性與完整性，并保護聯機的系統與應用程序，以維持網絡服務和所聯機計算機的正常運作；4、實施適當的錄像存錄與監視，以取得相關事件紀錄；5、密切協調計算機及網絡管理作業，以確保網絡安全措施可在跨部門的基礎架構上運作。

（二）網絡服務的安全

1、組織應賦予管理者稽核的權力，透過定期的稽核，監督管理負責網絡服務的廠商；2、組織應確認負責網絡服務的廠商，有實作特殊的服務所必需的安全措施，例如該項服務的安全特性、服務的安全等級和管理方法。歸納“網絡控制措施”及“網絡服務的安全”的控制措施，建議組織在網絡安全的控管措施，主要以采用防火墻、入侵偵測系統等控制措施，及運用網絡服務安全性的技術，例如認證、加密及網絡聯機控制技術等，以建立安全的網絡環境與網絡聯機的安全。

三、網絡隔離技術與應配合之控制措施

（一）采用完全實體隔離的管理措施

1、安全區域作業程序。組織需根據存取政策訂定安全區域的標準作業程序，以便相關人員能夠據以確實執行，避免人為疏忽造成數據泄漏。標準作業程序應制作成文件讓需要的所有使用者都可以取得。對于每一位使用者，都需要清楚的定義存取政策，這個政策必須依照組織的要求，設定允許存取的權限，一般的原則為僅提供使用者必要的權限，盡可能減少不必要的權限。并應區分職務與責任的范圍，以降低遭受未經授權或故意的進入安全區域之機會；2、資料存取稽核。數據存取的記錄，包括成功及不成功之登入系統之紀錄、存取資料之紀錄及使用的系統紀錄等。在完全實體隔離的作業下相關的稽核記錄，需要實施人工的稽核作業，特別是登入錯誤時的紀錄，需要逐筆的稽核作業。并不定期稽核數據存取作業是否符合組織的存取政策與標準作業程序，并且需要特別稽核下列事項：（1）對于被授權的特權使用者，其存取紀錄應定期稽核；（2）對于特權存取事件，應檢查是否被冒用的情形發生。

（二）網絡存取控制措施

在實體隔離的政策要求下，將內部網絡與外部網絡隔離為兩個互不相連的網絡，數據交換時透過數據交換人員定時，或是不定時根據使用者的申請，至數據交換作業區域之專屬設備，以人工執行數據交換作業。因為內部網絡與外部網絡間采用網絡線路的實體隔離作業，主要的網絡存取控制措施則著重在作業區域的管理控制措施。

為確保數據交換作業區域的數據存取安全，除將內部網絡與外部網絡隔離為兩個互不相連的網絡外，對數據交換作業區域的專屬設備，需實施不同于外部網絡及內部網絡的存取安全政策，確保網絡安全環境，以降低可能的安全風險。例如：內部網絡處理機敏性數據、外部網絡處理一般辦公環境數據及數據交換作業區域的安全環境。機敏性數據建置于內部網絡的專屬數據庫或檔案區內，機敏性信息系統亦僅限于內部網絡運用，員工必須在內部網絡的計算機進行信息處理作業。另為防止機敏性數據的外泄，在內部網絡的終端計算機需要禁止使用下列設備，包含磁盤片、光盤片、隨身碟或行動碟等可攜式儲存媒體。

為防止因特網的直接存取數據交換作業區域的專屬計算機，應依照組織的存取政策，采用邏輯隔離技術，將不同等級的作業分隔在不同的網段，例如：將數據交換作業與一般信息作業的網段區隔，藉由適當的封包過濾機制，防止未經授權的網絡流量互相流通，同時可管制數據的存取，避免數據被誤用之機會。而且需要建置入侵偵測系統，偵測組織內網絡封包的進出，以便提早發現可能的入侵行為