【51CTO.com综合报道】随着信息化程度的提高,政府、军队、企业事业单位都搭建了内部网络,网络的架设、信息系统的建设给我们带来了很多便利,如资源共享、办公自动化、方便的信息传递等,极大地提高了工作效率。但伴随着网络化程度的提高,越来越多的信息安全问题也将被引入原本封闭的系统。信息安全的核心在于信息本身的安全,而网络具有的开放性、共享性等特点,使得分布在网络中的涉密信息处于一种高风险的状态。涉密信息的整个生命周期包括获取、存储、传送、利用和控制,任何一个薄弱环节都将会给整个系统带来安全威胁。这些信息很容易受到非法监听、非法复制、非法访问等各种恶意的攻击。如何有效地管理这些重要的涉密信息资源,对它们的使用进行合理的授权与监管,日益成为信息网络应用中的一个重要问题。
内网安全经过10年的发展,经历了终端防护(非法接入控制、非法外联控制、补丁分发问题)、"监控"和"审计"、文档透明加解密、数据泄漏防护(融合终端防护、进程管理、文件管理、U盘管理、外设端口控制、网页信息保护、即时通讯拦截等多个功能)、"整体信息防泄漏"(融审计、监控、加密于一体)等几个阶段,无论是产品还是模式都取得长足的进步。但是现有手段、方法以及模式都无法应对这样的困境:作为防护对象的涉密信息数据分散存储在各计算机中,终端用户不止是涉密文档的使用者,也是涉密文档的所有者,使用权和所有权没有分离,管理者难于掌握本单位涉密文档的分布和使用情况,管理风险大,泄密事件屡禁不止。
为此我们以科盾内网安全平台为基础提出一种分层保护、集中存储的解决方案,为涉密信息打造安全环境。
分层保护
通过分层、逐步加深的保护方式为涉密信息打造安全环境
l 第一层保护:划定网络边界让非法终端进不来
通过一定的技术手段划定网络边界让非法终端进不来,这些技术手段主要包括:基于802.1x的终端准入控制保证非法终端无法通过有线方式接入内网;基于ARP的终端准入控制使得非法终端无法通过无线等其他方式接入内网;通过网络分区分域管理、非法外联控制等手段限制合法终端连通的区域,以达到自我保护的目的。
l 第二层保护:让合法的机器保持良好的状态
通过补丁分发、合规检查、自我保护(注册表、文件等)等手段修正合法终端的不健康状态,提升自身的保护能力;通过涉密检查等方式检查和规范合法终端的行为,杜绝泄密现象的发生。
l 第三层保护:杜绝涉密信息通过“摆渡”的方式流出内部网络
外设、网络、移动存储设备等作为信息交换的媒介,一方面方便了用户,另一方面也引入了不安全的因素。通过移动设备管理、刻录管理、打印控制、网络访问控制、邮件控制、端口控制等手段,防止合法终端和用户利用各种媒介通过“摆渡”的方式将涉密信息带出内部网络。
l l 第四层保护:确保只能在干净、安全、可信的工作环境中处理涉密信息
以注册表保护、文件访问控制、进程控制等技术为基础,利用沙盒技术为用户提供一个干净、安全、可信的工作环境,让用户只能在该工作环境中处理涉密信息,并且将处理的涉密信息以透明、强制和加密的方式存储到服务器中,保证终端不留密。
涉密信息集中存储
以自主研发的网络磁盘系统为基础,通过文件重定向的方式,实现了涉密信息的集中存储。
服务器端采用通用的磁盘访问接口做到与物理存储介质无关,无论是磁盘阵列、光盘阵列等等都可以得到很好的支持; 基于RAID技术实现磁盘级数据的可靠性;基于备份和镜像的方式保证服务不间断和用户数据的可恢复性;以一用户一密码的方式对存储在服务器上的用户数据进行透明加解密,很好地保证了服务器端数据的安全性。
客户端基于驱动级的文件重定向技术使得能够在不改变用户使用习惯的前提下实现涉密数据的透明和强制集中存储。