物理隔離內部網絡的安全問題

人們通常認為網絡信息安全的最大威脅來自外部的侵襲如黑客、病毒以及各種蠕蟲等，因此對內部網絡采取了一系列的防范措施，比如在內部網絡與互聯網之間架設防火墻、入侵檢測等設備，或者是建立兩套網絡，內部網絡與外部網絡，內外網物理斷開，其中內部網絡用于員工辦公和資源共享，外部網絡用于連接互聯網檢索資料?，F在大部分政府機關采用內部網絡與外部網絡物理隔離的策略，這種策略對于內部網絡來說基本避免了來自互聯網的網絡攻擊，是一種相對安全的防范措施。

但是，即使是物理隔離的內部網絡也是不安全的，原因是來自網絡內部的破壞和非法行為，這樣的網絡策略也無法保證網絡資源和信息資源的安全。實際上80%的網絡破壞和數據失竊是內部人員所為。據權威機構調查：三分之二以上的安全威脅來自泄密和內部人員犯罪，而非病毒和外來黑客引起。政府因信息被竊取所造成的損失遠遠超過病毒破壞和黑客攻擊所造成的損失。

內網安全風險分析

物理隔離是指內部網不直接或間接地連接公共網。物理隔離的目的是保護路由器、工作站、網絡服務器等硬件實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊。使用內部網和公共網物理隔離，可以保證內部信息網絡不會直接受到來自互聯網的黑客攻擊。此外，物理隔離也為內部網劃定了明確的安全邊界，使得網絡的可控性增強，便于內部管理。 雖然物理隔離技術有效杜絕了外來入侵，但網絡內部依然存在很多安全隱患需要我們解決。

(一)病毒、蠕蟲入侵

眾所周知，傳播快、種類多、范圍廣、破壞性大、變化快是病毒和蠕蟲的主要特點，即使再先進的防病毒軟件或者入侵檢測技術也總是相對落后于新病毒和新蠕蟲。而且不管功能多么強大的防護技術也無法獨立有效地完成安全防護任務。更何況物理隔離內部網絡的病毒庫升級較之可以即時升級的外部網絡來說要延遲一段時間。

內部網絡用戶的一些危險行為使內網計算機更容易感染病毒：不安裝殺毒軟件；安裝殺毒軟件但不及時升級；內部網絡用戶違反規定，在未采取任何有效防護措施的情況下就連接到危險的網絡環境中，特別是互聯網；移動用戶計算機連接到各種情況不明網絡環境，在沒有采取任何防護措施的情況下又連入內部網絡；桌面用戶在終端使用各種不可靠的移動介質等等都可能將病毒、蠕蟲在不知不覺中帶入到內部網絡中。

一旦感染病毒，輕者系統運行速度變慢，重者會導致用戶電腦癱瘓，以至數據文件丟失。

(二)軟件漏洞隱患

信息網絡技術的應用正向大型、關鍵性的業務系統方向擴展。 應用的大型化使漏洞層出不窮，并且網絡管理員也很難對應用進行準確的控制。尤其是存在于廣大終端用戶辦公桌面上的各種應用軟件不勝繁雜，使得系統及軟件漏洞橫生且得不到修復。

內部網絡無法從外網直接獲得安全漏洞補丁，又缺少客戶端系統漏洞掃描并自動分發補丁系統。

無論哪一部分的漏洞被利用，都會給網絡和信息帶來危害，輕者危及個別設備，重者成為攻擊整個企業網絡媒介，危及整個企業網絡安全。

(三)內部惡意攻擊。

理論上講，在內部網絡中，任意一臺計算機都可以訪問其他聯接在這個網絡上正在工作的計算機，而且互聯網上的黑客手段在局域網里同樣有效。這些條件讓內部人員非法獲取重要信息、涉密信息變得更輕松、更方便。

(四)脆弱的網絡接入安全防護

內部人員的一些違規行為會在外網和內網之間建立一個安全通道，使內網變成外網，比如內網主機擅自更換隔離卡的內外網口、內網計算機的撥號上網、網絡的合法移動用戶在安全防護較差的外網環境中使用VPN連接、無線AP、以太網接入等等。使物理隔離完全失去意義，給整個內網帶來嚴重的安全威脅。

(五)權限管理上存在很大的問題

由于是物理隔離的內部網絡，往往不重視權限管理，用戶對自己的賬戶信息保管也不夠負責，使系統容易遭到口令和越權操作的攻擊。眾多的使用者所有的權限不同，管理比較困難，而且服務器對使用者的管理也不是很嚴格，對于那些竊取用戶權限的黑客工具比較容易得逞。

(六)缺乏針對內網安全產品

現有網絡安全產品主要是針對外部網絡可能遭受到安全威脅而采取的措施，在內部網絡上的使用雖然針對性強，但往往有很大的局限性。由于內部網絡的高性能、多應用、涉密信息分散的特點，各種分立的安全產品通常只能解決安全威脅的部分問題，而沒有形成多層次的、嚴密的、相互協同工作的安全體系。

(七)安全管理不嚴密

沒有建立完整的安全管理體系是現在內部網絡信息安全的最大問題。由于管理稀疏，加上內部人員的安全意識不強，容易造成信息外泄。比如：內外網之間、人和人之間共用有內部資料的移動存儲設備(如：軟盤、U盤、移動硬盤、光盤等)導致內部資料外傳；內部人員直接在外網編輯和處理內部資料或通過電子郵件發送內部資料導致泄密；電腦易手后，硬盤上的資料沒有處理，導致泄密；隨意將文件或文件夾設成共享，導致非相關人員獲取資料等等。

內部網絡更易受到攻擊

在嚴防死守外部侵襲的同時，我們往往忽略了對網絡造成破壞的原因，實際上大多數都來自網絡內部的安全空隙。我們對內部網絡安全的重視程度還遠遠不夠，對黑客入侵所導致的嚴重后果缺乏清醒的認識，思想上麻痹大意。對安全隱患疏于處理，對安全制度、安全硬件、安全人員配備沒有一定的規劃，系統的安裝還存有大量的漏洞，眾多的應用和不同的系統平臺也使得系統中的問題層出不窮。

在內網傳輸的數據往往是不加密的，這為我們日常的使用提供了方便，但同時也給竊取數據者留下了可乘之機，打開了方便的大門。

由于內部網絡的用戶往往直接對服務器進行操作，利用從互聯網上獲取的黑客工具，而且內部網絡速率更快，導致內部網絡遭受直接的破壞。

目前，對于個人硬盤上的機密信息仍然缺乏有效的控制和監督管理辦法，這使得分布于工作計算機中的涉密信息無法得到安全保障。

我國在信息安全領域技術方面和國外發達國家還有較大的差距，存在的突出問題是人才稀缺，尤其是擁有先進技術的人才。在具體完成網絡安全保障的需求時，我們還缺乏根據實際情況，結合各種要求，合理綜合運用多種技術的能力。

總之，我國的電子政務在促進國民經濟和社會發展，提高行政質量和效率，增強政府監管和社會服務能力的同時，也帶來了新的安全保密問題。在安全問題層出不窮的情況下，我們的管理制度和防范手段往往處于滯后狀態。比如：現在，手機除了讓你給世界各地的人打電話之外還能做更多的事情。智能手機是功能齊全的計算機，配置了WiFi連接、多線程操作系統、大存儲容量、高分辨率攝像頭和大量的應用程序支持。與便攜式電腦一樣，智能手機已經在人們的生活中被普遍的使用。它也能夠引起優盤和筆記本電腦引起的同樣的威脅。而且，智能手機有可能避開傳統的數據泄漏保護解決方案。如何阻止一個擁有智能手機的人拍攝計算機顯示屏的高清照片并且通過手機的3G網絡用電子郵件把這個照片發出去呢？

我們采用物理隔離的主要原因是要保護的重要信息比較多，尤其是政府機關的內部網絡中儲存了大量的涉密信息。我們不能認為物理隔離的內部網絡一定是安全的，它只能解決一方面的問題，不能把它當做萬能的。網絡安全是一個綜合性的課題，涉及技術、管理、使用等許多方面，為此，建立有中國特色的網絡安全體系，必須首先提升我們整體的安全意識和信息安全復雜性的認識，力爭提高網絡安全質量。