网络安全徐爱国 基干网络隔离技术信息安全管理探讨
基于网络隔离技术的信息安全管理研究 摘要本文探讨网络隔离的相关技术,从网络隔离的概念,说明网络隔离技术的发展沿革与网络隔离技术的作法,进而探讨实体隔离网闸的技术原理,并从相关信息安全标准所建议之实务规范,汇整与网络存取相关的管理控制措施关键词网络隔离信息安全管理中图分类号:TN711文献标识码:A1网络隔离的观念当内部网络与公共网络连接后,就陆续出现了很多的网络安全问题,在没有解决网络安全问题之前,一般来说最简单的作法是先将网路完全断开,使得内部网络与公共网络物理隔离,以防止网络的入侵攻击。
因此对网络隔离的普遍认知,是指在两个网络之间,实体线路互不连通,互相断开。但是没有网络联机就没有隔离的必要,因此网络隔离的技术是在需要数据交换及资源共享的情况下出现。
不需要数据交换的网络隔离容易实现,只要将网络完全断开,互不联机即可达成。但在需要数据交换的系统间的网络隔离却不容易实现。本研究所探讨的网络隔离技术,是指需要数据交换的网络隔离技术随着信息化社会的不断发展,事实上在大多数的政府机关或企事业单位的内部网络,仍然需要与外部网络(或是公共网络)进行信息交换。
实施网络断开的物理隔离,虽然切断两个网络之间的直接数据交换,但是在单机最安全的情况下,也可能存在着复制数据时遭受病毒感染与破坏的风险2网络安全管理2.
1网络控制措施在网络控制措施控件中,说明应采用的控制措施,对于网络应该要适当的加以管理与控制,使其不会受到安全的威胁,并且维护网络上所使用的系统与应用程序的安全(包括传输中的资讯)建议组织应采用适当的作法,以维护网络联机安全。
网络管理者应该建立计算机网络系统的安全控管机制,以确保网络传输数据的安全,保护网络连线作业,防止未经授权的系统存取。
特别需列入考虑的项目如下:(1)尽可能将网络和计算机作业的权责区隔,以降低组织设备遭未经授权的修改或误用之机会;(2)建立远程设备(包括使用者区域的设备)的管理责任和程序,例如管制远程登入设备,以避免未经授权的使用;(3)建立安全的加密机制控制措施,保护透过公众网络或无线网络所传送数据的机密性与完整性,并保护联机的系统与应用程序,以维持网络服务和所联机计算机的正常运作;(4)实施适当的录像存录与监视,以取得相关事件纪录;(5)密切协调计算机及网络管理作业,以确保网络安全措施可在跨部门的基础架构上运作2.
2网络服务的安全(1)组织应赋予管理者稽核的权力,透过定期的稽核,监督管理负责网络服务的厂商;(2)组织应确认负责网络服务的厂商,有实作特殊的服务所必需的安全措施,例如该项服务的安全特性、服务的安全等级和管理方法。
归纳“网络控制措施”及“网络服务的安全”的控制措施,建议组织在网络安全的控管措施,主要以采用防火墙、入侵侦测系统等控制措施,及运用网络服务安全性的技术,例如认证、加密及网络联机控制技术等,以建立安全的网络环境与网络联机的安全3网络隔离技术与应配合之控制措施3.
1采用完全实体隔离的管理措施(1)安全区域作业程序。组织需根据存取政策订定安全区域的标准作业程序,以便相关人员能够据以确实执行,避免人为疏忽造成数据泄漏。标准作业程序应制作成文件让需要的所有使用者都可以取得。
对于每一位使用者,都需要清楚的定义存取政策,这个政策必须依照组织的要求,设定允许存取的权限,一般的原则为仅提供使用者必要的权限,尽可能减少不必要的权限。并应区分职务与责任的范围,以降低遭受未经授权或故意的进入安全区域之机会;(2)资料存取稽核。
数据存取的记录,包括成功及不成功之登入系统之纪录、存取资料之纪录及使用的系统纪录等。在完全实体隔离的作业下相关的稽核记录,需要实施人工的稽核作业,特别是登入错误时的纪录,需要逐笔的稽核作业。
并不定期稽核数据存取作业是否符合组织的存取政策与标准作业程序,并且需要特别稽核下列事项:①对于被授权的特权使用者,其存取纪录应定期稽核;②对于特权存取事件,应检查是否被冒用的情形发生3.
2网络存取控制措施在实体隔离的政策要求下,将内部网络与外部网络隔离为两个互不相连的网络,数据交换时透过数据交换人员定时,或是不定时根据使用者的申请,至数据交换作业区域之专属设备,以人工执行数据交换作业。
因为内部网络与外部网络间采用网络线路的实体隔离作业,主要的网络存取控制措施则着重在作业区域的管理控制措施为确保数据交换作业区域的数据存取安全,除将内部网络与外部网络隔离为两个互不相连的网络外,对数据交换作业区域的专属设备,需实施不同于外部网络及内部网络的存取安全政策,确保网络安全环境,以降低可能的安全风险。
例如:内部网络处理机敏性数据、外部网络处理一般办公环境数据及数据交换作业区域的安全环境。机敏性数据建置于内部网络的专属数据库或档案区内,机敏性信息系统亦仅限于内部网络运用,员工必须在内部网络的计算机进行信息处理作业。另为防止