- 相關(guān)推薦
內(nèi)部網(wǎng)信息安全分析
【摘 要】本文通過對內(nèi)網(wǎng)面臨的安全威脅和現(xiàn)有安全產(chǎn)品的功能進(jìn)行分析,提出了一種以多因素身份認(rèn)證為基礎(chǔ),基于加密網(wǎng)絡(luò)協(xié)議和加密磁盤文件系統(tǒng),同時(shí)具有強(qiáng)移動(dòng)存儲(chǔ)安全管理的方便、有效、先進(jìn)的內(nèi)網(wǎng)信息安全管理控制技術(shù)和解決方案,可以有效解決內(nèi)網(wǎng)的諸多安全問題。
【關(guān)鍵詞】內(nèi)網(wǎng) 網(wǎng)絡(luò)安全 加密 身份認(rèn)證
一、引言
隨著信息技術(shù)特別是網(wǎng)絡(luò)技術(shù)的發(fā)展,大部分的企業(yè)或機(jī)關(guān)單位都組建了內(nèi)部局域網(wǎng),實(shí)現(xiàn)了資源共享,信息傳遞快速有效,極大地提高了工作效率。內(nèi)網(wǎng)已成為企事業(yè)單位日常工作不可或缺的重要組成部分,同時(shí),內(nèi)網(wǎng)中一般會(huì)有大量的保密數(shù)據(jù)文件和信息通過網(wǎng)絡(luò)進(jìn)行傳遞。例如政府、軍隊(duì)或軍工單位內(nèi)具有一定密級(jí)的文件、文檔、設(shè)計(jì)圖紙等;設(shè)計(jì)院所的圖紙和設(shè)計(jì)圖庫等;研發(fā)型企業(yè)的設(shè)計(jì)方案、源代碼和圖紙等數(shù)字知識(shí)產(chǎn)權(quán);企事業(yè)單位的財(cái)務(wù)數(shù)據(jù)等,都是保密數(shù)據(jù)信息。如何對這些保密數(shù)據(jù)信息進(jìn)行全方位的保護(hù),是非常重要的。
二、內(nèi)部網(wǎng)絡(luò)安全面臨的威脅
隨著技術(shù)的發(fā)展,網(wǎng)絡(luò)讓信息的獲取、共享和傳播更加方便,同時(shí)內(nèi)部局域網(wǎng)開放共享的特點(diǎn),使得分布在各臺(tái)主機(jī)中的重要信息資源處于一種高風(fēng)險(xiǎn)的狀態(tài),很容易受到來自系統(tǒng)內(nèi)部和外部的非法訪問。防火墻、入侵檢測、網(wǎng)絡(luò)隔離裝置等網(wǎng)絡(luò)安全保護(hù)對于防止外部入侵有不可替代的作用,而對于內(nèi)部泄密顯得無可奈何,內(nèi)部人員的非法竊密事件逐漸增多。據(jù)中國國家信息安全測評(píng)認(rèn)證中心調(diào)查,信息安全的現(xiàn)實(shí)威脅也主要為內(nèi)部信息泄露和內(nèi)部人員犯罪,而非病毒和外來黑客引起。根據(jù)對內(nèi)網(wǎng)具體情況的總結(jié)分析,來自內(nèi)部的安全威脅(見圖1)主要有4類:a.竊取者將自己的計(jì)算機(jī)非法接入內(nèi)網(wǎng)或者非法直接鏈接計(jì)算機(jī)終端,竊取內(nèi)網(wǎng)重要數(shù)據(jù);b.竊取者直接利用局域網(wǎng)中的某一臺(tái)主機(jī),通過網(wǎng)絡(luò)攻擊或欺騙的手段,非法取得其他主機(jī)甚至是某臺(tái)服務(wù)器的重要數(shù)據(jù);c.內(nèi)部員工將只允許在局域網(wǎng)內(nèi)部使用的數(shù)據(jù)通過磁盤復(fù)制、打印、非法撥號(hào)外聯(lián)等手段泄漏到外部;d.內(nèi)部人員竊取管理員用戶名和密碼,非法進(jìn)入重要的系統(tǒng)和應(yīng)用服務(wù)器獲取內(nèi)部重要數(shù)據(jù)。 在網(wǎng)絡(luò)互聯(lián)互通實(shí)現(xiàn)信息快速交換的同時(shí),如何加強(qiáng)網(wǎng)絡(luò)內(nèi)部的安全,防止企事業(yè)單位的關(guān)鍵數(shù)據(jù)從網(wǎng)絡(luò)中泄漏出去,是網(wǎng)絡(luò)安全領(lǐng)域內(nèi)一個(gè)主要的發(fā)展方向。
三、現(xiàn)有內(nèi)部網(wǎng)絡(luò)安全產(chǎn)品分析
為了解決內(nèi)網(wǎng)安全問題,市場上也出現(xiàn)了諸多的內(nèi)網(wǎng)信息安全產(chǎn)品,主要分為三類。
1.監(jiān)控與審計(jì)系統(tǒng)
現(xiàn)有各廠商的監(jiān)控與審計(jì)系統(tǒng)一般都由三部分組成:客戶端、服務(wù)器。其中,客戶端安裝在受控的計(jì)算機(jī)終端,用來收集數(shù)據(jù)信息,并執(zhí)行來自服務(wù)器模塊的指令;服務(wù)器端一般安裝在內(nèi)網(wǎng)中一臺(tái)具有高性能CPU和大容量內(nèi)存的用作服務(wù)器的計(jì)算機(jī)上,存儲(chǔ)和管理所有客戶端計(jì)算機(jī)數(shù)據(jù);系統(tǒng)安全管理員可以登錄到服務(wù)器端管理各類審計(jì)功能模塊,并制定各種安全策略?蛻舳烁鶕(jù)控制端下發(fā)的安全策略,對受控主機(jī)進(jìn)行相應(yīng)的監(jiān)控,并將相應(yīng)的信息上傳至服務(wù)器。它能夠獲取受控主機(jī)的信息資料,對各類輸入輸出端口如USB、軟驅(qū)、光驅(qū)、網(wǎng)卡、串/并口、調(diào)制解調(diào)器、紅外通信等進(jìn)行控制與監(jiān)控,也可以對各類應(yīng)用程序進(jìn)行監(jiān)控,防止終端計(jì)算機(jī)非法接入、非法外聯(lián),對文件操作等行為進(jìn)行審計(jì)。
這類產(chǎn)品提供了一定的安全控制功能,但由于其重點(diǎn)是按照安全策略進(jìn)行記錄和審計(jì),屬于事后審計(jì)產(chǎn)品,因此并不能很好地阻止單位信息泄密事件的發(fā)生,一旦發(fā)現(xiàn)泄密事件發(fā)生,損失已經(jīng)造成,所以這類產(chǎn)品的安全作用有一定的局限性。
2.文檔加密系統(tǒng)
文檔加密系統(tǒng)采用一定的加密算法對文件進(jìn)行加密,實(shí)現(xiàn)對各類電子文檔內(nèi)容級(jí)的安全保護(hù),一般由客戶端加解密軟件和認(rèn)證服務(wù)器構(gòu)成。加密軟件對涉密文件進(jìn)行加密,設(shè)置不同級(jí)別的使用權(quán)限。權(quán)限設(shè)計(jì)可由管理員或加密文件的擁有者進(jìn)行設(shè)置。管理員可以控制終端用戶對重要文件的讀取、存儲(chǔ)、復(fù)制、打印等,從而防止用戶之間非法復(fù)制、外部發(fā)行、光盤拷貝,可以杜絕使用U盤、軟盤、光盤、電子郵件等方式竊取企事業(yè)單位的電子文檔。
文檔加密可以實(shí)現(xiàn)對重要數(shù)據(jù)的加密保護(hù),但是管理不靈活,而且內(nèi)網(wǎng)資源眾多,需要分別進(jìn)行權(quán)限的設(shè)置,管理難度大,尤其當(dāng)用戶權(quán)限發(fā)生頻繁更換的時(shí)候,容易造成漏洞,此類產(chǎn)品可操作性較差。
3.身份認(rèn)證系統(tǒng)
用戶認(rèn)證系統(tǒng)采用各種認(rèn)證方式實(shí)現(xiàn)用戶的安全登陸和認(rèn)證,獨(dú)立于計(jì)算機(jī)原有的登陸系統(tǒng),安全可靠性更高。一般由認(rèn)證服務(wù)器和認(rèn)證代理組成,有些產(chǎn)品提供認(rèn)證令牌。認(rèn)證服務(wù)器是網(wǎng)絡(luò)中的認(rèn)證引擎,由安全管理員進(jìn)行管理,主要用于令牌簽發(fā),安全策略的設(shè)置與實(shí)施,日志創(chuàng)建等;認(rèn)證代理是一種安裝在終端計(jì)算機(jī)上的專用代理軟件,實(shí)施認(rèn)證服務(wù)器建立的各種安全策略;認(rèn)證令牌以硬件、軟件或智能卡等多種形式向用戶提供,用來確認(rèn)用戶身份,如果令牌認(rèn)證正確,就可以高度確信該用戶是合法用戶。目前這類產(chǎn)品主要實(shí)現(xiàn)了單一的用戶身份鑒別,并不能實(shí)現(xiàn)對計(jì)算機(jī)的有效訪問控制,其應(yīng)用范圍相對有限。
上述三類產(chǎn)品在一定程度上或某些方面解決了內(nèi)網(wǎng)信息安全問題,并沒有實(shí)現(xiàn)計(jì)算機(jī)、用戶、策略三個(gè)方面的全面防護(hù)。四、內(nèi)網(wǎng)安全產(chǎn)品關(guān)鍵性能探討 內(nèi)網(wǎng)對信息安全的要求越來越高,內(nèi)網(wǎng)安全產(chǎn)品不應(yīng)該只是解決單方面的問題,應(yīng)該從用戶身份認(rèn)證、計(jì)算機(jī)安全性、網(wǎng)絡(luò)通信安全性、數(shù)據(jù)自身安全性、外設(shè)安全管理、綜合安全審計(jì)等方面提供一整套完善的解決方案(見圖2),對數(shù)據(jù)的存儲(chǔ)、傳輸和使用在整個(gè)生命周期內(nèi)進(jìn)行控制、保護(hù)和審計(jì),確保數(shù)據(jù)的完整性和保密性,從而防止敏感信息泄漏,為企事業(yè)單位構(gòu)建可信可控的內(nèi)部網(wǎng)絡(luò)。
1.統(tǒng)一建立身份認(rèn)證授權(quán)體系應(yīng)完全獨(dú)立于計(jì)算機(jī)、網(wǎng)絡(luò)系統(tǒng)原有的認(rèn)證體系,采用軟硬件相結(jié)合的多重認(rèn)證體系,提高可靠性,使用方便,對原有的內(nèi)網(wǎng)體系影響很小。同時(shí),對所有外設(shè)、輸入/輸出端口及操作的授權(quán)管理,實(shí)現(xiàn)授權(quán)的人僅能操作授權(quán)的計(jì)算機(jī),僅能使用授權(quán)的磁盤、磁盤分區(qū)、外設(shè)、移動(dòng)存儲(chǔ)設(shè)備等,僅能使用授權(quán)的輸入輸出接口,為安全系統(tǒng)的可靠運(yùn)行奠定基礎(chǔ)。
2.透明模式強(qiáng)制網(wǎng)絡(luò)通訊加密由于標(biāo)準(zhǔn)的計(jì)算機(jī)通信協(xié)議本身設(shè)計(jì)上沒有考慮安全性,是一個(gè)開放的協(xié)議,使得網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)能夠被截獲。為確保內(nèi)網(wǎng)信息安全,必須要解決內(nèi)網(wǎng)中任意兩臺(tái)機(jī)器之間進(jìn)行通信時(shí)數(shù)據(jù)的安全性問題。內(nèi)網(wǎng)安全產(chǎn)品應(yīng)實(shí)現(xiàn)網(wǎng)絡(luò)傳輸?shù)膹?qiáng)制加密,任意兩臺(tái)計(jì)算機(jī)間的通信密鑰都是不一樣的,這有效防止了網(wǎng)內(nèi)使用惡意偵聽軟件的行為。同時(shí),由于網(wǎng)絡(luò)協(xié)議數(shù)據(jù)封裝格式不通,內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)的各種方式非法外聯(lián)也無法進(jìn)行通信,這有效的防止了非法外聯(lián)行為的發(fā)生。非法接入內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī),因?yàn)闊o法獲得有效的網(wǎng)絡(luò)通信密鑰,也都將無法聯(lián)通,有效防止了非法接入行為的發(fā)生。
3.透明模式強(qiáng)制加密本地硬盤采用強(qiáng)加密算法改寫系統(tǒng)層對文件的讀寫操作,使得本地硬盤中的除系統(tǒng)盤外的所有文件均為加密存儲(chǔ),只能在內(nèi)網(wǎng)安全產(chǎn)品啟動(dòng)的情況下才能正常讀寫這些文件。同時(shí)根據(jù)需要制定審計(jì)策略,對特別重要的文件的讀寫操作進(jìn)行審計(jì)。所有本地文件,都將被系統(tǒng)自動(dòng)強(qiáng)制加密保存在磁盤中。同時(shí)為了在保證數(shù)據(jù)安全性的同時(shí)不影響用戶日常使用習(xí)慣,加解密必須采用透明方式。通過強(qiáng)制加密,即使磁盤被盜用或者丟失,都不會(huì)造成重要信息的泄密。防止了因?yàn)橛脖P丟失、多操作系統(tǒng)和光盤啟動(dòng)等造成的數(shù)據(jù)泄密事件的發(fā)生。
4.加強(qiáng)對移動(dòng)存儲(chǔ)介質(zhì)的安全管理通過管理員的注冊、認(rèn)證、授權(quán)后才能在指定的范圍內(nèi)按照指定的讀寫策略使用移動(dòng)存儲(chǔ)設(shè)備,可以實(shí)現(xiàn)對軟盤、U盤和移動(dòng)硬盤等便攜式移動(dòng)存儲(chǔ)設(shè)備的有效管理。
當(dāng)移動(dòng)存儲(chǔ)設(shè)備被注冊為加密讀寫策略的時(shí)候,所有寫入該移動(dòng)存儲(chǔ)設(shè)備的文件數(shù)據(jù)將被強(qiáng)制加密,只能在管理員授權(quán)允許的終端上正常使用。如果使用移動(dòng)存儲(chǔ)介質(zhì)將這些數(shù)據(jù)攜帶到出此范圍,無法正常讀寫,只是毫無意義的加密數(shù)據(jù)。這種方式有效地限定了數(shù)據(jù)的可用范圍,對于用戶來說,既可以享受移動(dòng)存儲(chǔ)設(shè)備共享數(shù)據(jù)的方便性,又可以實(shí)現(xiàn)有效地?cái)?shù)據(jù)共享范圍管理。
總之,新型的內(nèi)網(wǎng)信息安全產(chǎn)品要提供一種方便、有效、先進(jìn)的內(nèi)網(wǎng)信息安全管理控制技術(shù)和解決方案,解決內(nèi)部網(wǎng)絡(luò)的用戶身份和計(jì)算機(jī)管理、網(wǎng)絡(luò)信息保密等安全問題,達(dá)到外部入侵進(jìn)不來、非法外接出不去、內(nèi)外勾結(jié)拿不走、拿走東西看不懂的效果,有效防止機(jī)密敏感信息的泄漏,為企事業(yè)單位構(gòu)建了一個(gè)可信可控的內(nèi)網(wǎng)。
參考文獻(xiàn):
[1]張敏波.網(wǎng)絡(luò)安全實(shí)戰(zhàn)詳解[M].北京:電子工業(yè)出版社,2008.
[2]吳亞非,李新友,祿凱.信息安全風(fēng)險(xiǎn)評(píng)估[M].北京:清華大學(xué)出版社,2007.
[3]閆宏生,王雪莉,楊軍.計(jì)算機(jī)網(wǎng)絡(luò)安全與防護(hù)[M].北京:電子工業(yè)出版社,2007.
[4]薛質(zhì).信息安全技術(shù)基礎(chǔ)和安全策略[M].北京:清華大學(xué)出版社,2007.
【內(nèi)部網(wǎng)信息安全分析】相關(guān)文章:
淺談企業(yè)內(nèi)部網(wǎng)絡(luò)信息安全與防護(hù)論文10-08
分析信息安全問題10-01
信息安全工程分析論文10-11
大數(shù)據(jù)時(shí)代信息安全分析10-08
電力信息安全分析與措施論文10-09
信息安全隱患分析及對策10-07
信息安全管理提升的分析與研究的論文10-08