從信息安全管理角度探討網(wǎng)絡(luò)隔離技術(shù)

一、隔離的觀念

　　當(dāng)內(nèi)部網(wǎng)絡(luò)與囚特網(wǎng)連接后，就陸續(xù)出現(xiàn)了很多的網(wǎng)絡(luò)問題，在沒有解決網(wǎng)絡(luò)安個(gè)問題之前，一般來說最簡(jiǎn)單的作法是先將網(wǎng)路完全斷開，使得內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)不能直接進(jìn)行網(wǎng)絡(luò)聯(lián)機(jī)，以防止網(wǎng)絡(luò)的入侵攻擊。因此對(duì)網(wǎng)絡(luò)隔離的普遍認(rèn)知，是指在兩個(gè)網(wǎng)絡(luò)之間，實(shí)體線路互不連通，互相斷開。但是沒有網(wǎng)絡(luò)聯(lián)機(jī)就沒有隔離的必要，因此網(wǎng)絡(luò)隔離的技術(shù)是在需要交換及資源共享的情況下出現(xiàn)。不需要數(shù)據(jù)交換的網(wǎng)絡(luò)隔離容易實(shí)現(xiàn)，只要將網(wǎng)絡(luò)完全斷開，互不聯(lián)機(jī)即可達(dá)成。但在需要數(shù)據(jù)交換的網(wǎng)絡(luò)隔離卻不容易實(shí)現(xiàn)。在本研究所探討的網(wǎng)絡(luò)隔離技術(shù)，是指需要數(shù)據(jù)交換的網(wǎng)絡(luò)限離技術(shù)。

　　事實(shí)上在大多數(shù)的政府機(jī)關(guān)或企業(yè)的內(nèi)部網(wǎng)絡(luò)，仍然需要與外部網(wǎng)絡(luò)(或是因特網(wǎng))進(jìn)行交換。實(shí)施網(wǎng)絡(luò)斷開的實(shí)體隔離，雖然切斷兩個(gè)網(wǎng)絡(luò)之間的直接數(shù)據(jù)交換，但是在單機(jī)最安全的情況下，也可能存亦著復(fù)制數(shù)據(jù)時(shí)遭受病毒感染與破壞的風(fēng)險(xiǎn)。

　　二、網(wǎng)絡(luò)安全管理

　　(一)網(wǎng)絡(luò)控制措施

　　在控件中，說明應(yīng)采用的控制措施，對(duì)于網(wǎng)絡(luò)應(yīng)該要適當(dāng)?shù)募右怨芾砼c控制，使其不會(huì)受到安全的威脅，并且維護(hù)網(wǎng)絡(luò)上所使用的系統(tǒng)一與應(yīng)用程序的安全(包括傳愉中的資訊)。

　　建議組織應(yīng)采用適當(dāng)?shù)淖鞣?，以維護(hù)網(wǎng)絡(luò)聯(lián)機(jī)安全。網(wǎng)絡(luò)管理者應(yīng)該建立計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全控管機(jī)制，以確保網(wǎng)絡(luò)傳輸數(shù)據(jù)的安個(gè)，保護(hù)網(wǎng)絡(luò)連線作業(yè)，防止未經(jīng)授權(quán)的系統(tǒng)存取。特別需列入考慮的項(xiàng)目如下：

　　1、盡可能將網(wǎng)絡(luò)和計(jì)算機(jī)作業(yè)的權(quán)責(zé)區(qū)隔，以降低組織設(shè)備遭未經(jīng)授權(quán)的修改或誤用之機(jī)會(huì);2、建立遠(yuǎn)程設(shè)備(包括使用者區(qū)域的設(shè)備)的管理責(zé)仟和程序，例如管制遠(yuǎn)程登入設(shè)備，以避免未經(jīng)授權(quán)的使用;3、建立安個(gè)的加密機(jī)制控制措施，保護(hù)透過公眾網(wǎng)絡(luò)或無線網(wǎng)絡(luò)所傳送數(shù)據(jù)的機(jī)密性與完整性，并保護(hù)聯(lián)機(jī)的系統(tǒng)與應(yīng)用程序，以維持網(wǎng)絡(luò)服務(wù)和所聯(lián)機(jī)計(jì)算機(jī)的正常運(yùn)作;4、實(shí)施適當(dāng)?shù)匿浵翊驿浥c監(jiān)視，以取得相關(guān)事件紀(jì)錄;5、密切協(xié)調(diào)計(jì)算機(jī)及網(wǎng)絡(luò)管理作業(yè)，以確保網(wǎng)絡(luò)安全措施可在跨部門的基礎(chǔ)架構(gòu)上運(yùn)作。

　　(二)網(wǎng)絡(luò)服務(wù)的安全

　　1、組織應(yīng)賦予管理者稍核的權(quán)力，透過定期的稽核，監(jiān)督管理負(fù)責(zé)網(wǎng)絡(luò)服務(wù)的J商;2、組織應(yīng)確認(rèn)負(fù)責(zé)網(wǎng)絡(luò)服務(wù)的廠商，有實(shí)作特殊的服務(wù)所必需的安全招施，例如該項(xiàng)服務(wù)的安全特性、服務(wù)的安全等級(jí)和管理方法。歸納“網(wǎng)絡(luò)控制措施”及“網(wǎng)絡(luò)服務(wù)的安全”的控制措施，建議紅l織在網(wǎng)絡(luò)安全的控管措施，主要以采川防火墻、入侵偵測(cè)系統(tǒng)等撲制措施，及運(yùn)用網(wǎng)絡(luò)服務(wù)安全性的技術(shù)，例如認(rèn)證、加密及網(wǎng)絡(luò)聯(lián)機(jī)控制技術(shù)等，以建立安全的網(wǎng)絡(luò)環(huán)境與網(wǎng)絡(luò)聯(lián)機(jī)的安全。

　　三、網(wǎng)絡(luò)隔離技術(shù)與應(yīng)配合之控制措施

　　(一)采用完全實(shí)體隔離的管理措施

　　1、安全區(qū)域作業(yè)程序。組織需根據(jù)存取政策訂定安全區(qū)域的標(biāo)準(zhǔn)作業(yè)程序，以便相關(guān)人員能夠據(jù)以確實(shí)執(zhí)行，避免人為疏忽造成數(shù)據(jù)泄漏。標(biāo)準(zhǔn)作業(yè)程序應(yīng)制作成文件讓需要的所有使用者都可以取得。對(duì)于每一位使用者，都需要清楚的定義存取政策，這個(gè)政策必須依照組織的要求，設(shè)定允許存取的權(quán)限，一般的原則為僅提供使用者必要的權(quán)限，盡可能減少不必要的權(quán)限。并應(yīng)區(qū)分職務(wù)與責(zé)任的范圍，以降低遭受未經(jīng)授權(quán)或故意的進(jìn)入安全區(qū)域之機(jī)會(huì);2、資料存取稽核。數(shù)據(jù)存取的記錄，包括成功及不成功之登入系統(tǒng)之紀(jì)錄、存取資料之紀(jì)錄及使用的系統(tǒng)紀(jì)錄等。在完全實(shí)體隔離的作業(yè)下相關(guān)的稽核記錄，需要實(shí)施人工的稽核作業(yè)，特別是登入錯(cuò)誤時(shí)的紀(jì)錄，需要逐筆的梢核作業(yè)。并不定期稽核數(shù)據(jù)存取作業(yè)是否符合組織的存取政策與標(biāo)準(zhǔn)作業(yè)程序，并且需要特別稽核下列事項(xiàng)：(1)對(duì)于被授權(quán)的特權(quán)使用者，其存取紀(jì)錄應(yīng)定期稽核：(2)對(duì)于特權(quán)存取事件，應(yīng)檢查是否被冒用的情形發(fā)生。

　　(二)網(wǎng)絡(luò)存取控制措施

　　在實(shí)體隔離的政策要求卜，將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔離為兩個(gè)互不相連的網(wǎng)絡(luò)，數(shù)據(jù)交換時(shí)透過數(shù)據(jù)交換人員定時(shí)，或是不定時(shí)根據(jù)使用者的申請(qǐng)，至數(shù)據(jù)交換作業(yè)區(qū)域之專屬設(shè)備，以人_「執(zhí)行數(shù)據(jù)交換作業(yè)。因?yàn)閮?nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)間采用網(wǎng)絡(luò)線路的實(shí)體隔離作業(yè)，主要的網(wǎng)絡(luò)存取控制措施則著重在作業(yè)區(qū)域的管理控制措施。

　　為確保數(shù)據(jù)交換作業(yè)區(qū)域的數(shù)據(jù)存取安全，除將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔離為兩個(gè)互不相連的網(wǎng)絡(luò)外，對(duì)數(shù)據(jù)交換作業(yè)區(qū)域的專屬設(shè)備，需實(shí)施不同于外部網(wǎng)絡(luò)及內(nèi)部網(wǎng)絡(luò)的存取安全政策，確保網(wǎng)絡(luò)安全環(huán)境，以降低可能的安個(gè)風(fēng)險(xiǎn)。例如：內(nèi)部網(wǎng)絡(luò)處理機(jī)敏性數(shù)據(jù)、外部網(wǎng)絡(luò)處理一般辦公環(huán)境數(shù)據(jù)及數(shù)據(jù)交換作業(yè)區(qū)域的安個(gè)環(huán)境。機(jī)敏性數(shù)據(jù)建置于內(nèi)部網(wǎng)絡(luò)的專屬數(shù)據(jù)庫或檔案區(qū)內(nèi)，機(jī)敏性信息系統(tǒng)亦僅限于內(nèi)部網(wǎng)絡(luò)運(yùn)用，員工必須在內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)進(jìn)行信息處理作業(yè)。另為防止機(jī)敏性數(shù)據(jù)的外泄，在內(nèi)部網(wǎng)絡(luò)的終端訓(xùn)算機(jī)需要禁止使用下列設(shè)備，包含磁盤片、光盤片、隨身碟或行動(dòng)碟等可攜式儲(chǔ)存媒體。

　　為防止因特網(wǎng)的直接存取數(shù)據(jù)交換作業(yè)區(qū)域的專屬計(jì)算機(jī)，應(yīng)依照組織的存取政策，采用邏輯階離技術(shù)，將不同等級(jí)的作業(yè)分隔在不同的網(wǎng)段，例如：將數(shù)據(jù)交換作業(yè)與一般信息作業(yè)的網(wǎng)段區(qū)隔，藉由適當(dāng)?shù)姆獍^濾機(jī)制，防止未經(jīng)授權(quán)的網(wǎng)絡(luò)流量互相流通，同時(shí)可管制數(shù)據(jù)的存取，避免數(shù)據(jù)被誤用之機(jī)會(huì)。而且需要建置入侵偵測(cè)系統(tǒng)，偵測(cè)組織內(nèi)網(wǎng)絡(luò)封包的進(jìn)出，以便提早發(fā)現(xiàn)可能的入侵行為。

相關(guān)文章：

淺析ERP系統(tǒng)環(huán)境下的企業(yè)信息安全管理 ISO27001信息安全管理體系與等級(jí)保護(hù)管理要求 實(shí)施信息安全管理轉(zhuǎn)型刻不容緩 ISO27001系列標(biāo)準(zhǔn)介紹