李百毅

【摘 要】 随着Internet技术的飞速发展，不受时间和空间限制的远程办公走进了人们的视线，员工可在传统办公室以为的任何时间、任何地点处理与业务相关的任何事情。这些技术在提高企业效益的同时，也给企业增加了风险隐患。深入了解风险的来源，将有助于企业有针对性的防护网络风险，保障网络安全。

【关键词】 远程办公 网络安全 解决方案

1 前言

随着计算机技术的飞速发展以及 Internet 宽带网络的逐渐普及，传统企业的工作模式正在发生着巨大的改变，越来越多的企业开始基于计算机技术、网络技术以及各种应用系统展开业务工作，如ERP、OA、PDM/PLM，等系统。并且随着Internet宽带网络的普及，企业和单位开始连接到互联网获取商业机会，与客户交流，发布商业信息，利用丰富的Internet资源来展开商务活动。稍具规模的企业，都不仅只有一个办公场所，而是拥有众多的子公司、办事处、工厂等。企业信息化应用的进步和商务模式的发展，越来越多的企业分支机构和远程移动办公的人员（如出差员工、合作伙伴等）需要使用总部的信息系统。据统计2006年全美就有54%的雇员平时在家时通过远程接入的方式来办公，这个比例在未来的两年内将会上升到80%。而在中国，这种远程接入办公的趋势也同样越来越明显。

2 远程办公解决方案分析

传统专网的应用，促使了企业效益的日益增长，但传统专网难以满足企业对网络的灵活性、安全性、经济性、扩展性等方面的要求。这促使了一种新的替代方案的产生——在现有网络上模拟传统专网；这种新的解决方案就是虚拟专用网络（VPN）。VPN可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆等物理线路。VPN技术作为一种通过公共Internet基础设施创建能够确保机密性和安全性的私有专用网络，在节省企业开支的同时也在很大程度上促进了企业现代化办公的发展。但VPN技术通过Internet来实现企业网的远程访问，Internet上的潜在不安全因素会对网络上的任何通信造成威胁，因此也会对VPN通信构成不可忽视的安全隐患。对VPN技术安全隐患进行专门的分析，制定出相应的对策来预防安全事故的发生是非常必要的。

（1）身份认证。身份认证作为访问控制的基础，是解决主动攻击威胁的重要防御措施之一。因为验证身份的方式一般采用网络进行的模式而不是直接参与，而且常规验证身份的方式在网络上也不是十分地适用，同时大量的黑客还会随时随地以冒名顶替的身份向网络渗透，所以网络环境下的身份认证特别复杂，而“身份认证如果想要做到准确无误地对来访者进行辨别， 同时还必须提供双向的认证”，必须采用高强度的密码技术来进行身份认证的建立与完善。（2）访问控制。进行访问控制是为了达到控制不同的用户对信息资源的访问权限的目的，实质上是针对越权使用资源的一种防御措施。而访问控制的种类亦可从方式上分为自主式访问控制和强制式访问控制两类。实现的机制可以是通过对访问属性控制的访问控制表的控制，也可以是根据安全标签、用户分类以及资源分档等三类控制实现的多级控制。（3）数据保密。数据保密是为了防止信息泄露所采取的防御措施。数据加密是最为常见的确保通信安全的手段， 但是随着计算机网络技术的迅猛发展，传统的加密方法不断地被用户以及黑客们破译，所以不得不加强对更高强度的加密算法的研究， 以实现最终的数据保密的目的。（4）数据完整性。所谓的数据完整性是针对那些非法篡改信息、文件及业务流等威胁而采取的较为有效的防范措施。实质上就是保护网上所传输的数据防以免其被修改、替换、删除、插入或重发， 从而全面保护合法用户在接收和使用该数据时的真实性与完整性。

3 远程办公安全策略

所谓安全策略，是针对那些被允许进入某一组织，试图访问网络技术资源和信息资源的人所规定的，必须遵守的规定，或者说，是指网络管理部门根据整个计算机网络锁提供的服务内容、网络运行状态、网络安全状况、安全性需求、易用性、技术实现所需付出的代价和风险、社会因素等许多方面因素所指定的关于网络安全总体目标、网络安全操作、网络安全技术、网络安全工具、人事管理等方面的规定。在经过了对于计算机网络的安全认证的创建之后，完善与健全与安全服务有关的安全机制也是必不可少的。第一方面是安全服务方面的安全机制的发展，具体表现为加密机机制、认证交换机制、数字签名机制、数据完整性机制、访问控制机制、路由控制机制等多个方面；第二方面是对于与管理有关的安全机制的健全，主要包含有安全审核机制、安全标记机制以及安全恢复机制等三个方面。我们在针对目前互联网中存在的安全问题，利用各个网络、网络安全厂商及其对于自身设备安全的优化达到面对各个网络安全领域的挑战，建立一套完整的安全体系。例如：采用与Windows域相关联作为远程用户认证和核心数据库，对接入用户权限的分发及管理进行控制。使用IPS入侵防护检测、防火墙进行攻击防范、流量监控，有效防范来自外部和内部攻击、过滤VPN隧道中的非法流量。使用安全隔离网闸设备对远程用户访问业务网段进行控制，并将数据包进行分解或重组为静态数据，对静态数据进行安全审查，包括网络协议检查和代码扫描等，确认后的安全数据流入内部单元。对于核心业务系统的访问须通过安全堡垒机设备，使管理员可以对每个用户、每个网络设备、每个主机系统分别进行审计，在安全事故发生后可以最终定位到行为人。

4 结语

任何一个网络要想得到更好的运用，网络都要开放，尤其对于企业网络，不开放意味着无法为户提供更好的网络服务。然而一旦敞开网络大门，在网络资源优势得以充分发挥、网络技术得到发展、应用日渐广泛、服务质量和效率大大提高的同时，网络安全问题也随之出现了。远程接入是现代化网络办公或网上信息交流很好的方式，但其安全问题也不容忽视。