【51CTO.com 综合消息】当前的网络边界安全防护,已经不能有效保障网络的安全,只有边界安全与内网安全管理立体布控,才能有效为网络安全提供保障。然而,内网安全集中关注的对象包括了引起信息安全威胁的内部网络用户、应用环境、应用环境边界和内网通信安全,内网安全从更加全面和完整的角度对信息安全威胁的途径进行了分析、处理和控制,使信息安全成为一个完整的体系。
如何在企业的内网构建一个有机统一的安全控制系统,实现立体式实时监管,减少安全风险。如何通过加强技术检查、管理手段,防止敏感信息泄露,保障网络安全运行。是摆在网络管理员面前的一道难题。
四级认证实现可信防护
内网安全不仅是安全产品的堆叠,现阶段的内网安全也由单纯的安全产品部署,上升到了如何实现可信、可控的立体防护体系。通过四级可信认证机制,可以确保系统既突出安全性,更注重管理性。
第一级认证:基于硬件级别的安全防护和访问控制
在最底层实现对计算机终端进行物理安全加固,例如使用鼎普计算机安全防护卡从BIOS级实现登录认证和全盘数据保护,一方面可以杜绝非法用户从光盘启动绕过软件防护窃取数据,同时还可令用户不能随意安装操作系统、卸载已安装的软件系统改变现有安全环境。
第二级认证:基于操作系统的身份认证和文件保护
采用基于USB-KEY的双因素认证技术实现操作系统登录的可信可控——即在计算机硬件启动之后,可以限制用户权限,如是否可以进一步登录操作系统,以及可以进行何种权限的文件操作,文件如何安全存放以及安全删除。如果计算机终端发生系统灾难,如何进行系统备份和灾难恢复。
第三级认证:实现对程序安装运行的授权控制
对应用程序进行黑白名单控制:只有经过管理员签名授权的程序才能在单机终端上运行使用,进一步规范终端用户的软件程序使用行为,可以最大程度防止程序的随意安装使用带来的病毒、木马的传播、泛滥。
第四级认证:实现可信计算机接入内网的认证管理
网络边界的安全可控是内网安全的基本问题,通过基于802.1X认证协议的可信终端认证子系统,实现网络的安全接入——只有经过授权许可的可信、可控、健康计算机才能接入到内网,并对入终端的运行、健康状态进行实时监控,通过创新的技术理念打造出一个信得过、进得来、控得住的健康可信内部网络。如果不健康,防护系统会采取进一步措施,如报警、断网等。
被忽略的内网隐患
内网安全还应该以一个系统来体现它的价值,各安全产品之间要相辅相成,而网络通道安全、终端源头安全、服务器的保护、移动存储介质的控制则是内网安全防护的重要环节。
U盘的使用管理是企业内网里最容易产生信息安全事故的一个环节,也是最容易被忽略的环节。对U盘实行管理的核心目标就是防止内外部、不同密级之间介质的交叉使用,同时使介质的管理集中、统一而高效。
有专家认为,需要实现 “一个全面、两个运行周期”的目标,即全面掌控介质使用状态、配置信息;严控介质从购买后的注册发放、使用、统一台帐监控、状态查询到收集注销的运行周期;严控介质从插入、进行各种操作到拔除全程进行跟踪记录和实时报警的运行周期。
据悉,鼎普科技提供了“鼎普数据单向传输U盘系统”,通过U盘上集成的自成一体的身份认证、网络连接智能判断模块功能,较好的解决了外部数据通过移动存储介质直接单向导入企业内网主机,同时保证不能对U盘反向写入数据而导致内网敏感信息的泄露。
此外,外网的安全在于防患于未然,内网的安全在防患的基础上,更加侧重于监控审计。目前,国际上比较先进的做法是以终端主机、桌面安全为出发点,采用C/S、B/S结构的体系设计,通过运用驱动拦截、网络驱动过滤、文件驱动过滤、加密传输、身份认证、访问控制技术实现一体化的监控审计管理。
【编辑推荐】