當前位置:工程項目OA系統(tǒng) > 泛普各地 > 陜西OA系統(tǒng) > 西安OA系統(tǒng) > 西安OA快博
內網安全技術分析與標準探討
1.內網安全現(xiàn)狀概述
進入21世紀后,隨著國內信息化程度的快速提高,內網信息安全越來越多受到關注,內網安全產品和廠商短短幾年內大量涌現(xiàn)。但是,令人擔憂的是,雖然眾多的產品和廠商都以內網安全的概念在提供服務,但其中包含的實際技術和內容卻千差萬別。這樣的情況,一方面對市場和用戶形成了誤導,不利于解決用戶的實際內網安全問題,造成投資浪費;另一方面也不利于創(chuàng)造良性的競爭環(huán)境,阻遏了內網安全市場的發(fā)展。鑒于此,有必要對內網安全進行成體系的理論探討,形成統(tǒng)一的共識和標準,這樣才能讓內網安全產品和廠商真正滿足用戶的需求,解決用戶的實際問題,推動國家信息化的發(fā)展。
2.內網安全問題的本質探討
2.1.內網安全問題的形成原因
內網安全問題的提出跟國家信息化的進程息息相關,信息化程度的提高,使得內部信息網絡具備了以下三個特點:
1)隨著ERP、OA和CAD等生產和辦公系統(tǒng)的普及,單位的日程運轉對內部信息網絡的依賴程度越來越高,內網信息網絡已經成了各個單位的生命線,對內網穩(wěn)定性、可靠性和可控性提出高度的要求。
2)內部信息網絡由大量的終端、服務器和網絡設備組成,形成了統(tǒng)一有機的整體,任何一個部分的安全漏洞或者問題,都可能引發(fā)整個網絡的癱瘓,對內網各個具體部分尤其是數(shù)量巨大的終端可控性和可靠性提出前所未有的要求。
3)由于生產和辦公系統(tǒng)的電子化,使得內部網絡成為單位信息和知識產權的主要載體,傳統(tǒng)的對信息的控制管理手段不再使用,新的信息管理控制手段成為關注的焦點。
上述三個問題,都是依賴于內網,與內網的安全緊密相連的,內網安全受到廣泛的高度重視也就不以為奇。
2.2.內網安全問題的威脅模型
相對于內網安全概念,傳統(tǒng)意義上的網絡安全更加為人所熟知和理解,事實上,從本質來說,傳統(tǒng)網絡安全考慮的是防范外網對內網的攻擊,即可以說是外網安全,包括傳統(tǒng)的防火墻、入侵檢察系統(tǒng)和VPN都是基于這種思路設計和考慮的。外網安全的威脅模型假設內部網絡都是安全可信的,威脅都來自于外部網絡,其途徑主要通過內外網邊界出口。所以,在外網安全的威脅模型假設下,只要將網絡邊界處的安全控制措施做好,就可以確保整個網絡的安全。
而內網安全的威脅模型與外網安全模型相比,更加全面和細致,它即假設內網網絡中的任何一個終端、用戶和網絡都是不安全和不可信的,威脅既可能來自外網,也可能來自內網的任何一個節(jié)點上。所以,在內網安全的威脅模型下,需要對內部網絡中所有組成節(jié)點和參與者的細致管理,實現(xiàn)一個可管理、可控制和可信任的內網。由此可見,相比于外網安全,內網安全具有以下特點:
1)要求建立一種更加全面、客觀和嚴格的信任體系和安全體系;
2)要求建立更加細粒度的安全控制措施,對計算機終端、服務器、網絡和使用者都進行更加具有針對性的管理;
3)要求對信息進行生命周期的完善管理。
3.現(xiàn)有內網安全產品和技術分析
自從內網安全概念提出到現(xiàn)在,有眾多的廠商紛紛發(fā)布自己的內網安全解決方案,由于缺乏標準,這些產品和技術各不相同,但是總結起來,應該包括監(jiān)控審計類、桌面管理類、文檔加密類、文件加密類和磁盤加密類等。下面分別對這些產品和技術類型的特性做了簡單的分析和說明。
3.1.監(jiān)控審計類
監(jiān)控審計類產品是最早出現(xiàn)的內網安全產品, 50%以上的內網安全廠商推出的內網安全產品都是監(jiān)控審計類的。監(jiān)控審計類產品主要對計算機終端訪問網絡、應用使用、系統(tǒng)配置、文件操作以及外設使用等提供集中監(jiān)控和審計功能,并可以生成各種類型的報表。
監(jiān)控審計產品一般基于協(xié)議分析、注冊表監(jiān)控和文件監(jiān)控等技術,具有實現(xiàn)簡單和開發(fā)周期短的特點,能夠在內網發(fā)生安全事件后,提供有效的證據,實現(xiàn)事后審計的目標。監(jiān)控審計類產品的缺點是不能做到事情防范,不能從根本上實現(xiàn)提高內網的可控性和可管理性。
3.2.桌面管理類
桌面管理類產品主要針對計算機終端實現(xiàn)一定的集中管理控制策略,包括外設管理、應用程序管理、網絡管理、資產管理以及補丁管理等功能,這類型產品通常跟監(jiān)控審計產品有類似的地方,也提供了相當豐富的審計功能,
桌面監(jiān)控審計類產品除了使用監(jiān)控審計類產品的技術外,還可能需要對針對Windows系統(tǒng)使用鉤子技術,對資源進行控制,總體來說,技術難度也不是很大。桌面監(jiān)控審計類產品實現(xiàn)了對計算機終端資源的有效管理和授權,其缺點不能實現(xiàn)對內網信息數(shù)據提供有效的控制。
3.3.文檔加密類
文檔加密類產品也是內網安全產品中研發(fā)廠商相對較多的內網安全產品類型,其主要解決特定格式主流文檔的權限管理和防泄密問題,可以部分解決專利資料、財務資料、設計資料和圖紙資料的泄密問題。
文檔加密技術一般基于文件驅動和應用程序的API鉤子技術結合完成,具有部署靈活的特點。但是,因為文檔加密技術基于文件驅動鉤子、臨時文件和API鉤子技術,也具有軟件兼容性差、應用系統(tǒng)適應性差、安全性不高以及維護升級工作量大的缺點。
3.4.文件加密類
文件加密類產品類型繁多,有針對單個文件加密,也有針對文件目錄的加密,但是總體來說,基本上是提供了一種用戶主動的文件保護措施。
文件加密類產品主要基于文件驅動技術,不針對特定類型文檔,避免了文檔加密類產品兼容性差等特點,但是由于其安全性主要依賴于使用者的喜好和習慣,難以實現(xiàn)對數(shù)據信息的強制保護和控制。
3.5.磁盤加密類
磁盤加密類產品在磁盤驅動層對部分或者全部扇區(qū)進行加密,對所有文件進行強制的保護,結合用戶或者客戶端認證技術,實現(xiàn)對磁盤數(shù)據的全面保護。
磁盤加密技術由于基于底層的磁盤驅動和內核驅動技術,具有技術難度高、研發(fā)周期長的特點。此外,由于磁盤加密技術對于上層系統(tǒng)、數(shù)據和應用都是透明的,要實現(xiàn)比較好的效果,必須結合其它內網安全管理控制措施。
4.構建完整的內網安全體系
從前面的介紹可以看出,上述的內網安全產品,都僅僅解決了內網安全部分的問題,并且由于其技術的限制,存在各自的缺點。事實上,要真正構建一個可管理、可信任和可控制的內網安全體系,應該統(tǒng)一規(guī)劃,綜合上述各種技術的優(yōu)勢,構建整體一致的內網安全管理平臺。根據上述分析和內網安全的特點,一個整體一致的內網安全體系,應該包括身份認證、授權管理、數(shù)據保密和監(jiān)控審計四個方面,并且,這四個方面應該是緊密結合、相互聯(lián)動的統(tǒng)一平臺,才能達到構建可信、可控和可管理的安全內網的效果。
身份認證是內網安全管理的基礎,不確認實體的身份,進一步制定各種安全管理策略也就無從談起。內網的身份認證,必須全面考慮所有參與實體的身份確認,包括服務器、客戶端、用戶和主要設備等。其中,客戶端和用戶的身份認證尤其要重點關注,因為他們具有數(shù)量大、環(huán)境不安全和變化頻繁的特點。授權管理是以身份認證為基礎的,其主要對內部信息網絡各種信息資源的使用進行授權,確定“誰”能夠在那些“計算機終端或者服務器”使用什么樣的“資源和權限”。授權管理的信息資源應該盡可能全面,應該包括終端使用權、外設資源、網絡資源、文件資源、服務器資源和存儲設備資源等。
數(shù)據保密是內網信息安全的核心,其實質是要對內網信息流和數(shù)據流進行全生命周期的有效管理,構建信息和數(shù)據安全可控的使用、存儲和交換環(huán)境,從而實現(xiàn)對內網核心數(shù)據的保密和數(shù)字知識產權的保護。由于信息和數(shù)據的應用系統(tǒng)和表現(xiàn)方式多種多樣,所以要求數(shù)據保密技術必須具有通用性和應用無關性。監(jiān)控審計是內網安全不可缺少的輔助部分,可以實現(xiàn)對內網安全狀態(tài)的實時監(jiān)控,提供內網安全狀態(tài)的評估報告,并在發(fā)生內網安全事件后實現(xiàn)有效的取證。需要再次強調的是,上述四個方面,必須是整體一致的,如果只簡單實現(xiàn)其中一部分,或者只是不同產品的簡單堆砌,都難以建立和實現(xiàn)有效內網安全管理體系。
5.結論
內網安全已經成為信息安全的新熱點,其技術和標準也在成熟和演進過程中,我們有理由相信,隨著用戶對內網安全認識的加深,用戶內網安全管理制度的晚上,整體一致的內網安全解決方案和體系建設將成為內網安全的主要發(fā)展趨勢。(北京富媒天音文化傳播有限公司提供)
- 1緬軍炮彈損毀云南盈江民居 戰(zhàn)機兩次進中國領空
- 29大安全悖論
- 3ILM走俏2007
- 4技術突破還是信息安全的末日
- 5三大主流ETL工具選型
- 6比亞迪速銳開門紅 累計銷量達到18519臺
- 7網絡電話應用中對H.323的移動擴展
- 8企業(yè)信息化大講堂之路由器基礎知識
- 9淺談安全管理平臺標準及其應用
- 10美天文學家:朝鮮衛(wèi)星已變成死衛(wèi)星
- 11最成功的創(chuàng)業(yè)者都是20出頭的年輕人?
- 12重慶打黑至少沒收數(shù)百億資產 去向成謎 -3
- 13用“諾貝爾倫理”貶低莫言是自以為是
- 14網絡交換技術的發(fā)展現(xiàn)狀
- 15數(shù)據中心建設勁吹綠色風
- 16兩大用戶的VPN部署經驗
- 17視頻監(jiān)控系統(tǒng)評價十準則
- 18獨家:公用存儲 企業(yè)存儲領域的發(fā)展遠景
- 19開源的道路 Intel解剖開源商業(yè)模式
- 20中非叛軍威脅進攻首都 美國宣布撤出使館人員
- 21流媒體業(yè)務模型及其傳輸
- 222013年南京家裝市場剛需裝修仍占主導地位
- 23雙因素認證遭遇“中間人攻擊”
- 24軟件開發(fā)技術的突破性進展
- 25五市六縣違法用地問題突出 負責人被國土部約談
- 26計世獨家:云計算構建基于互聯(lián)網的應用
- 27十八大后十省調整黨委書記 呈年輕化和高學歷化
- 28泛普OA系統(tǒng)允許增加四種類型計算方式
- 29香港示威者升殖民地時期旗幟自稱非中國人(圖)
- 30計世獨家:專業(yè)IDC更“綠色”
成都公司:成都市成華區(qū)建設南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務大廈18樓