辦公網(wǎng)與互聯(lián)網(wǎng)隔離策略分析研究

精品文檔-下載后可編輯辦公網(wǎng)與互聯(lián)網(wǎng)隔離策略分析研究2022年北京奧運會和殘奧會期間，國內(nèi)一些行業(yè)和企業(yè)為了保證信息安全，采用了辦公網(wǎng)和互聯(lián)網(wǎng)直接物理斷開的非常規(guī)手段。在奧運特殊時期，特殊手段起到了非常好的安全效果。本文針對電力行業(yè)網(wǎng)絡(luò)信息安全的需求，結(jié)合國家相關(guān)政策，提出發(fā)電企業(yè)集團邏輯隔離、邏輯強隔離、物理隔離3種網(wǎng)絡(luò)安全隔離技術(shù)方案，同時進行了策略分析并終給出建議。

1發(fā)電企業(yè)集團信息網(wǎng)絡(luò)安全現(xiàn)狀

1.1發(fā)電企業(yè)集團網(wǎng)絡(luò)邏輯隔離基本架構(gòu)

發(fā)電企業(yè)集團網(wǎng)絡(luò)通?？煞譃樯a(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)嚴格按照國家電力二次系統(tǒng)的要求，堅持安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向的原則，保障電力監(jiān)控系統(tǒng)和電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全。生產(chǎn)控制大區(qū)和管理信息大區(qū)之間需要安裝正向隔離裝置和反向隔離裝置。

管理信息大區(qū)分為集團總部網(wǎng)絡(luò)和各成員公司網(wǎng)絡(luò)，各網(wǎng)絡(luò)有獨立的互聯(lián)網(wǎng)出口、各自獨立的防火墻、郵件系統(tǒng)、WWW主頁、OA等。這種網(wǎng)絡(luò)架構(gòu)存在互聯(lián)網(wǎng)出口多、安全性低、信息孤島、OA的應(yīng)用需要整合等典型問題。

1.2我國有關(guān)網(wǎng)絡(luò)及信息安全的政策及要求

1.2.1邏輯強隔離

國家保密局在2000年1月1日正式實施的《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》中明確規(guī)定：“凡涉及國家秘密的計算機信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)或者其他公共信息網(wǎng)絡(luò)相連接，必須實行物理隔離”。在《端設(shè)備隔離部件安全技術(shù)要求》GA370-2022中，物理隔離（physicalisolation）的定義是：公共網(wǎng)和專網(wǎng)在網(wǎng)絡(luò)物理連線上是完全隔離的，且沒有任何公用的存儲信息。

邏輯隔離的含義是公共網(wǎng)絡(luò)和專網(wǎng)在物理上是有連線的，通過技術(shù)手段保證在邏輯上隔離一般指通過TCP/IP等常用協(xié)議，使用防火墻設(shè)備在邏輯上規(guī)范不同的安全區(qū)域，并對不同區(qū)域的訪問進行檢查和驗證。

邏輯強隔離是近年業(yè)界提出的新概念，即使用邏輯強隔離設(shè)備進行網(wǎng)絡(luò)隔離。邏輯強隔離比邏輯隔離安全性更高，同時與邏輯隔離接近，具有數(shù)據(jù)交換方便等優(yōu)點。

1.2.2國家有關(guān)規(guī)定

國家相關(guān)信息安全及保密政策指出：企業(yè)信息安全的基礎(chǔ)性工作是建立企業(yè)信息安全保障體系，特殊網(wǎng)絡(luò)需要采取網(wǎng)絡(luò)物理隔離的手段。

主要有以下幾點要求：

（1）要求全面加強國家信息安全保障體系建設(shè)。堅持積極防御、綜合防范，探索、把握信息化與信息安全的內(nèi)在規(guī)律，主動應(yīng)對信息安全挑戰(zhàn)，實現(xiàn)信息化與信息安全協(xié)調(diào)發(fā)展。

（2）建立和完善信息安全等級保護制度，重點保護基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定的重要信息系統(tǒng)[4]。

（3）涉密計算機信息系統(tǒng)必須與互聯(lián)網(wǎng)實行物理隔離，嚴禁用處理國家秘密信息的計算機上互聯(lián)網(wǎng)，違者嚴肅查處；采取切實措施，加強對計算機的使用管理，上互聯(lián)網(wǎng)的計算機必須與處理涉密信息的計算機嚴格區(qū)分，做到專機專用，不得既用于上互聯(lián)網(wǎng)又用于處理國家秘密信息。

（4）電力二次系統(tǒng)安全防護采用橫向單項隔離裝置。

1.3發(fā)電企業(yè)集團網(wǎng)絡(luò)隔離現(xiàn)狀

目前，內(nèi)外網(wǎng)隔離的技術(shù)有3種：內(nèi)外網(wǎng)物理隔離、內(nèi)外網(wǎng)邏輯強隔離、內(nèi)外網(wǎng)邏輯隔離。

1.4影響發(fā)電企業(yè)集團網(wǎng)絡(luò)信息安全的主要途徑和因素

（1）互聯(lián)網(wǎng)出口不統(tǒng)一及上網(wǎng)行為導致的安全問題：員工利用辦公電腦上網(wǎng)、使用等聊天工具。

（2）OA等應(yīng)用需要整合，企業(yè)存在大量信息孤島，應(yīng)用數(shù)據(jù)無法及時有效共享。

（3）非法接入網(wǎng)絡(luò)：非法的電腦、人員訪問內(nèi)網(wǎng)獲取受保護信息。有可能造成公司內(nèi)部數(shù)據(jù)泄密；外部非安全電腦（染毒）接入，引起企業(yè)內(nèi)部網(wǎng)絡(luò)大量終端蠕蟲病毒爆發(fā)，導致交換機由于CPU利用率過高而近似死機。

（4）重要敏感電子文件未加密存儲和傳輸，未采取控制措施。

（5）無線網(wǎng)接入和傳輸環(huán)節(jié)：如采用明文傳輸模式的無線局域網(wǎng)接入管理內(nèi)網(wǎng)，無線網(wǎng)接入缺少有效的身份和安全控制措施。

（6）通過互聯(lián)網(wǎng)對內(nèi)部關(guān)鍵業(yè)務(wù)系統(tǒng)進行遠程維護，可能導致系統(tǒng)和業(yè)務(wù)數(shù)據(jù)被遠程維護方控制。

（7）移動存儲介質(zhì)使用不當，如U盤在內(nèi)網(wǎng)和互聯(lián)網(wǎng)混用，導致U盤通過擺渡感染木馬。

（8）硬件設(shè)備丟失或維修引起泄密：如：手提電腦丟失、移動存儲介質(zhì)丟失等。

（9）外部合作單位項目人員管理不力，相關(guān)過程性文件及項目成果文件可能被整體性帶走。

2發(fā)電企業(yè)集團辦公網(wǎng)與互聯(lián)網(wǎng)隔離的3種方案和策略分析

針對一般發(fā)電企業(yè)集團十大影響網(wǎng)絡(luò)與信息安全的主要途徑和因素，并結(jié)合國家安全保密方面的相關(guān)政策及要求，以及目前國內(nèi)的技術(shù)發(fā)展，本文提出3種信息網(wǎng)絡(luò)安全問題的解決方案和策略。

2.1發(fā)電企業(yè)集團網(wǎng)絡(luò)隔離3種方案及分析

2.1.1方案1：邏輯隔離持續(xù)優(yōu)化方案及分析

針對發(fā)電企業(yè)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和目前存在的問題，種解決方案是梳理現(xiàn)有的網(wǎng)絡(luò)架構(gòu)，進行網(wǎng)絡(luò)分區(qū)及辦公網(wǎng)和互聯(lián)網(wǎng)的邏輯隔離，并持續(xù)加強信息安全的各種工作。

其主要特點有：

（1）對網(wǎng)絡(luò)進行區(qū)域劃分，如管理信息大區(qū)可分為信息內(nèi)網(wǎng)和信息外網(wǎng)，二者與互聯(lián)網(wǎng)之間均采用防火墻進行邏輯隔離。信息內(nèi)網(wǎng)可根據(jù)需要進行進一步區(qū)域劃分。

（2）統(tǒng)一發(fā)電企業(yè)集團全集團互聯(lián)網(wǎng)出口，并對互聯(lián)網(wǎng)出口統(tǒng)一進行權(quán)限管理。

（3）部署Internet審計系統(tǒng)，根據(jù)公安部82號令對企業(yè)員工上網(wǎng)行為進行審計。采用虛擬化技術(shù)與VPN系統(tǒng)結(jié)合提升移動辦公應(yīng)用的安全性和效率。

（4）按照國際通用的信息安全管理體系ISO27001和國內(nèi)相關(guān)政策法規(guī)，建立發(fā)電企業(yè)集團的信息安全管理及保障體系，全面提升企業(yè)的信息安全保障水平。

（5）按照國家等級保護相關(guān)政策的要求，對發(fā)電企業(yè)集團信息系統(tǒng)進行相應(yīng)等級保護保障工作。如可采取三級信息系統(tǒng)獨立成域的概念。

（6）全面部署終端安全網(wǎng)絡(luò)準入系統(tǒng)，對接入內(nèi)網(wǎng)的電腦進行健康檢查，防止非注冊電腦接入企業(yè)引起泄密，以及帶病毒木馬的外來電腦引起企業(yè)網(wǎng)絡(luò)癱瘓。

（7）全面部署內(nèi)網(wǎng)安全系統(tǒng)，對移動存儲介質(zhì)進行注冊管理、重要文件進行加密存儲等。

2.1.2方案2物理隔離方案及分析

物理隔離后，信息內(nèi)網(wǎng)和信息外網(wǎng)不能直接交換數(shù)據(jù)。因此，物理隔離方案對業(yè)務(wù)影響比較大，其的優(yōu)點為內(nèi)網(wǎng)的技術(shù)安全性大幅提升；的問題是信息內(nèi)網(wǎng)和信息外網(wǎng)不能直接實時交換數(shù)據(jù)，同時VPN不能訪問內(nèi)網(wǎng)，造成移動辦公等應(yīng)用不能使用。

內(nèi)網(wǎng)和外網(wǎng)之間物理斷開，需要以下資源：

（1）雙機：員工需要配備辦公電腦和上網(wǎng)電腦2臺機器。

（2）雙網(wǎng)：企業(yè)需要建立內(nèi)部辦公網(wǎng)和專用互聯(lián)網(wǎng)2套網(wǎng)絡(luò)。

（3）雙系統(tǒng)：部分應(yīng)用系統(tǒng)如企業(yè)營銷系統(tǒng)需在辦公網(wǎng)和互聯(lián)網(wǎng)同時部署。

2.1.3方案3邏輯強隔離方案及分析

邏輯強隔離和物理隔離的區(qū)別是采用邏輯強隔離設(shè)備，如網(wǎng)閘連接信息內(nèi)網(wǎng)和信息外網(wǎng)，允許安全地交換數(shù)據(jù)。

邏輯強隔離方案是在邏輯隔離持續(xù)優(yōu)化方案的基礎(chǔ)上將信息內(nèi)網(wǎng)和信息外網(wǎng)采用邏輯強隔離設(shè)備如網(wǎng)閘連接。由于網(wǎng)閘的特殊技術(shù)，可以較好地提升信息內(nèi)網(wǎng)的安全性。

2.2發(fā)電企業(yè)集團網(wǎng)絡(luò)隔離3種方案策略優(yōu)缺點分析

發(fā)電企業(yè)集團網(wǎng)絡(luò)隔離3種方案策略優(yōu)缺點對比如表1所示。根據(jù)表1對比情況可