|
1.內網(wǎng)安全現(xiàn)狀概述
進入21世紀后�,隨著國內信息化程度的快速提高��,內網(wǎng)信息安全越來越多受到關注�,內網(wǎng)安全產品和廠商短短幾年內大量涌現(xiàn)�����。但是��,令人擔憂的是���,雖然眾多的產品和廠商都以內網(wǎng)安全的概念在提供服務��,但其中包含的實際技術和內容卻千差萬別��。這樣的情況�����,一方面對市場和用戶形成了誤導�,不利于解決用戶的實際內網(wǎng)安全問題,造成投資浪費��;另一方面也不利于創(chuàng)造良性的競爭環(huán)境���,阻遏了內網(wǎng)安全市場的發(fā)展���。
鑒于此,有必要對內網(wǎng)安全進行成體系的理論探討��,形成統(tǒng)一的共識和標準�����,這樣才能讓內網(wǎng)安全產品和廠商真正滿足用戶的需求��,解決用戶的實際問題���,推動國家信息化的發(fā)展。
2.內網(wǎng)安全問題的本質探討
2.1.內網(wǎng)安全問題的形成原因
內網(wǎng)安全問題的提出跟國家信息化的進程息息相關�����,信息化程度的提高��,使得內部信息網(wǎng)絡具備了以下三個特點:
1)隨著ERP���、OA和CAD等生產和辦公系統(tǒng)的普及��,單位的日程運轉對內部信息網(wǎng)絡的依賴程度越來越高�,內網(wǎng)信息網(wǎng)絡已經(jīng)成了各個單位的生命線,對內網(wǎng)穩(wěn)定性�����、可靠性和可控性提出高度的要求���。
2)內部信息網(wǎng)絡由大量的終端���、服務器和網(wǎng)絡設備組成,形成了統(tǒng)一有機的整體��,任何一個部分的安全漏洞或者問題����,都可能引發(fā)整個網(wǎng)絡的癱瘓,對內網(wǎng)各個具體部分尤其是數(shù)量巨大的終端可控性和可靠性提出前所未有的要求���。
3)由于生產和辦公系統(tǒng)的電子化��,使得內部網(wǎng)絡成為單位信息和知識產權的主要載體��,傳統(tǒng)的對信息的控制管理手段不再使用����,新的信息管理控制手段成為關注的焦點。
上述三個問題����,都是依賴于內網(wǎng),與內網(wǎng)的安全緊密相連的��,內網(wǎng)安全受到廣泛的高度重視也就不以為奇�。
2.2.內網(wǎng)安全問題的威脅模型
相對于內網(wǎng)安全概念,傳統(tǒng)意義上的網(wǎng)絡安全更加為人所熟知和理解�����,事實上����,從本質來說���,傳統(tǒng)網(wǎng)絡安全考慮的是防范外網(wǎng)對內網(wǎng)的攻擊��,即可以說是外網(wǎng)安全��,包括傳統(tǒng)的防火墻��、入侵檢察系統(tǒng)和VPN都是基于這種思路設計和考慮的�����。外網(wǎng)安全的威脅模型假設內部網(wǎng)絡都是安全可信的���,威脅都來自于外部網(wǎng)絡���,其途徑主要通過內外網(wǎng)邊界出口。所以��,在外網(wǎng)安全的威脅模型假設下�,只要將網(wǎng)絡邊界處的安全控制措施做好,就可以確保整個網(wǎng)絡的安全�。
而內網(wǎng)安全的威脅模型與外網(wǎng)安全模型相比,更加全面和細致��,它即假設內網(wǎng)網(wǎng)絡中的任何一個終端�����、用戶和網(wǎng)絡都是不安全和不可信的,威脅既可能來自外網(wǎng)��,也可能來自內網(wǎng)的任何一個節(jié)點上��。所以���,在內網(wǎng)安全的威脅模型下��,需要對內部網(wǎng)絡中所有組成節(jié)點和參與者的細致管理��,實現(xiàn)一個可管理���、可控制和可信任的內網(wǎng)。由此可見����,相比于外網(wǎng)安全,內網(wǎng)安全具有以下特點:
1)要求建立一種更加全面�����、客觀和嚴格的信任體系和安全體系����;
2)要求建立更加細粒度的安全控制措施,對計算機終端���、服務器�、網(wǎng)絡和使用者都進行更加具有針對性的管理�����;
3)要求對信息進行生命周期的完善管理��。
3.現(xiàn)有內網(wǎng)安全產品和技術分析
自從內網(wǎng)安全概念提出到現(xiàn)在�,有眾多的廠商紛紛發(fā)布自己的內網(wǎng)安全解決方案,由于缺乏標準�,這些產品和技術各不相同,但是總結起來�,應該包括監(jiān)控審計類、桌面管理類����、文檔加密類、文件加密類和磁盤加密類等��。下面分別對這些產品和技術類型的特性做了簡單的分析和說明�����。
3.1.監(jiān)控審計類
監(jiān)控審計類產品是最早出現(xiàn)的內網(wǎng)安全產品, 50%以上的內網(wǎng)安全廠商推出的內網(wǎng)安全產品都是監(jiān)控審計類的�����。監(jiān)控審計類產品主要對計算機終端訪問網(wǎng)絡��、應用使用��、系統(tǒng)配置�、文件操作以及外設使用等提供集中監(jiān)控和審計功能,并可以生成各種類型的報表�。
監(jiān)控審計產品一般基于協(xié)議分析、注冊表監(jiān)控和文件監(jiān)控等技術�����,具有實現(xiàn)簡單和開發(fā)周期短的特點���,能夠在內網(wǎng)發(fā)生安全事件后�,提供有效的證據(jù)���,實現(xiàn)事后審計的目標���。監(jiān)控審計類產品的缺點是不能做到事情防范��,不能從根本上實現(xiàn)提高內網(wǎng)的可控性和可管理性。
3.2.桌面管理類
桌面管理類產品主要針對計算機終端實現(xiàn)一定的集中管理控制策略���,包括外設管理����、應用程序管理�、網(wǎng)絡管理、資產管理以及補丁管理等功能�����,這類型產品通常跟監(jiān)控審計產品有類似的地方�����,也提供了相當豐富的審計功能�����,
桌面監(jiān)控審計類產品除了使用監(jiān)控審計類產品的技術外��,還可能需要對針對Windows系統(tǒng)使用鉤子技術���,對資源進行控制�����,總體來說�,技術難度也不是很大。桌面監(jiān)控審計類產品實現(xiàn)了對計算機終端資源的有效管理和授權��,其缺點不能實現(xiàn)對內網(wǎng)信息數(shù)據(jù)提供有效的控制���。
3.3.文檔加密類
文檔加密類產品也是內網(wǎng)安全產品中研發(fā)廠商相對較多的內網(wǎng)安全產品類型���,其主要解決特定格式主流文檔的權限管理和防泄密問題,可以部分解決專利資料���、財務資料�����、設計資料和圖紙資料的泄密問題���。
文檔加密技術一般基于文件驅動和應用程序的API鉤子技術結合完成,具有部署靈活的特點。但是����,因為文檔加密技術基于文件驅動鉤子、臨時文件和API鉤子技術����,也具有軟件兼容性差�����、應用系統(tǒng)適應性差����、安全性不高以及維護升級工作量大的缺點。
3.4.文件加密類
文件加密類產品類型繁多���,有針對單個文件加密���,也有針對文件目錄的加密,但是總體來說����,基本上是提供了一種用戶主動的文件保護措施。
文件加密類產品主要基于文件驅動技術,不針對特定類型文檔��,避免了文檔加密類產品兼容性差等特點����,但是由于其安全性主要依賴于使用者的喜好和習慣,難以實現(xiàn)對數(shù)據(jù)信息的強制保護和控制���。
3.5.磁盤加密類
磁盤加密類產品在磁盤驅動層對部分或者全部扇區(qū)進行加密��,對所有文件進行強制的保護����,結合用戶或者客戶端認證技術�����,實現(xiàn)對磁盤數(shù)據(jù)的全面保護��。
磁盤加密技術由于基于底層的磁盤驅動和內核驅動技術�����,具有技術難度高�、研發(fā)周期長的特點。此外,由于磁盤加密技術對于上層系統(tǒng)����、數(shù)據(jù)和應用都是透明的,要實現(xiàn)比較好的效果�,必須結合其它內網(wǎng)安全管理控制措施。
4.構建完整的內網(wǎng)安全體系
從前面的介紹可以看出�,上述的內網(wǎng)安全產品,都僅僅解決了內網(wǎng)安全部分的問題�����,并且由于其技術的限制�,存在各自的缺點��。事實上���,要真正構建一個可管理��、可信任和可控制的內網(wǎng)安全體系���,應該統(tǒng)一規(guī)劃,綜合上述各種技術的優(yōu)勢�����,構建整體一致的內網(wǎng)安全管理平臺。
根據(jù)上述分析和內網(wǎng)安全的特點���,一個整體一致的內網(wǎng)安全體系�����,應該包括身份認證�、授權管理���、數(shù)據(jù)保密和監(jiān)控審計四個方面����,并且�,這四個方面應該是緊密結合、相互聯(lián)動的統(tǒng)一平臺���,才能達到構建可信���、可控和可管理的安全內網(wǎng)的效果。
身份認證是內網(wǎng)安全管理的基礎���,不確認實體的身份�,進一步制定各種安全管理策略也就無從談起。內網(wǎng)的身份認證��,必須全面考慮所有參與實體的身份確認�,包括服務器、客戶端���、用戶和主要設備等�。其中��,客戶端和用戶的身份認證尤其要重點關注����,因為他們具有數(shù)量大�、環(huán)境不安全和變化頻繁的特點。
授權管理是以身份認證為基礎的�����,其主要對內部信息網(wǎng)絡各種信息資源的使用進行授權���,確定“誰”能夠在那些“計算機終端或者服務器”使用什么樣的“資源和權限”����。授權管理的信息資源應該盡可能全面,應該包括終端使用權���、外設資源�����、網(wǎng)絡資源�����、文件資源��、服務器資源和存儲設備資源等�。
數(shù)據(jù)保密是內網(wǎng)信息安全的核心����,其實質是要對內網(wǎng)信息流和數(shù)據(jù)流進行全生命周期的有效管理,構建信息和數(shù)據(jù)安全可控的使用����、存儲和交換環(huán)境,從而實現(xiàn)對內網(wǎng)核心數(shù)據(jù)的保密和數(shù)字知識產權的保護��。由于信息和數(shù)據(jù)的應用系統(tǒng)和表現(xiàn)方式多種多樣,所以要求數(shù)據(jù)保密技術必須具有通用性和應用無關性���。
監(jiān)控審計是內網(wǎng)安全不可缺少的輔助部分�����,可以實現(xiàn)對內網(wǎng)安全狀態(tài)的實時監(jiān)控��,提供內網(wǎng)安全狀態(tài)的評估報告��,并在發(fā)生內網(wǎng)安全事件后實現(xiàn)有效的取證�。
需要再次強調的是�,上述四個方面,必須是整體一致的��,如果只簡單實現(xiàn)其中一部分���,或者只是不同產品的簡單堆砌�����,都難以建立和實現(xiàn)有效內網(wǎng)安全管理體系。
5.結論
內網(wǎng)安全已經(jīng)成為信息安全的新熱點����,其技術和標準也在成熟和演進過程中�����,我們有理由相信���,隨著用戶對內網(wǎng)安全認識的加深,用戶內網(wǎng)安全管理制度的晚上��,整體一致的內網(wǎng)安全解決方案和體系建設將成為內網(wǎng)安全的主要發(fā)展趨勢����。
如果有需要服務器的租用與托管的敬請聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:億恩科技【xuefeilisp.com】
服務器租用/服務器托管中國五強����!虛擬主機域名注冊頂級提供商!15年品質保障����!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
