|
1.內(nèi)網(wǎng)安全現(xiàn)狀概述
進(jìn)入21世紀(jì)后��,隨著國(guó)內(nèi)信息化程度的快速提高���,內(nèi)網(wǎng)信息安全越來(lái)越多受到關(guān)注��,內(nèi)網(wǎng)安全產(chǎn)品和廠商短短幾年內(nèi)大量涌現(xiàn)�����。但是��,令人擔(dān)憂的是�,雖然眾多的產(chǎn)品和廠商都以內(nèi)網(wǎng)安全的概念在提供服務(wù)�,但其中包含的實(shí)際技術(shù)和內(nèi)容卻千差萬(wàn)別。這樣的情況���,一方面對(duì)市場(chǎng)和用戶形成了誤導(dǎo)��,不利于解決用戶的實(shí)際內(nèi)網(wǎng)安全問(wèn)題����,造成投資浪費(fèi);另一方面也不利于創(chuàng)造良性的競(jìng)爭(zhēng)環(huán)境��,阻遏了內(nèi)網(wǎng)安全市場(chǎng)的發(fā)展��。
鑒于此�,有必要對(duì)內(nèi)網(wǎng)安全進(jìn)行成體系的理論探討,形成統(tǒng)一的共識(shí)和標(biāo)準(zhǔn)����,這樣才能讓內(nèi)網(wǎng)安全產(chǎn)品和廠商真正滿足用戶的需求,解決用戶的實(shí)際問(wèn)題���,推動(dòng)國(guó)家信息化的發(fā)展��。
2.內(nèi)網(wǎng)安全問(wèn)題的本質(zhì)探討
2.1.內(nèi)網(wǎng)安全問(wèn)題的形成原因
內(nèi)網(wǎng)安全問(wèn)題的提出跟國(guó)家信息化的進(jìn)程息息相關(guān)��,信息化程度的提高�,使得內(nèi)部信息網(wǎng)絡(luò)具備了以下三個(gè)特點(diǎn):
1)隨著ERP���、OA和CAD等生產(chǎn)和辦公系統(tǒng)的普及���,單位的日程運(yùn)轉(zhuǎn)對(duì)內(nèi)部信息網(wǎng)絡(luò)的依賴程度越來(lái)越高,內(nèi)網(wǎng)信息網(wǎng)絡(luò)已經(jīng)成了各個(gè)單位的生命線��,對(duì)內(nèi)網(wǎng)穩(wěn)定性���、可靠性和可控性提出高度的要求�����。
2)內(nèi)部信息網(wǎng)絡(luò)由大量的終端����、服務(wù)器和網(wǎng)絡(luò)設(shè)備組成���,形成了統(tǒng)一有機(jī)的整體���,任何一個(gè)部分的安全漏洞或者問(wèn)題,都可能引發(fā)整個(gè)網(wǎng)絡(luò)的癱瘓�����,對(duì)內(nèi)網(wǎng)各個(gè)具體部分尤其是數(shù)量巨大的終端可控性和可靠性提出前所未有的要求���。
3)由于生產(chǎn)和辦公系統(tǒng)的電子化�,使得內(nèi)部網(wǎng)絡(luò)成為單位信息和知識(shí)產(chǎn)權(quán)的主要載體,傳統(tǒng)的對(duì)信息的控制管理手段不再使用�����,新的信息管理控制手段成為關(guān)注的焦點(diǎn)�����。
上述三個(gè)問(wèn)題���,都是依賴于內(nèi)網(wǎng)��,與內(nèi)網(wǎng)的安全緊密相連的�,內(nèi)網(wǎng)安全受到廣泛的高度重視也就不以為奇����。
2.2.內(nèi)網(wǎng)安全問(wèn)題的威脅模型
相對(duì)于內(nèi)網(wǎng)安全概念,傳統(tǒng)意義上的網(wǎng)絡(luò)安全更加為人所熟知和理解�,事實(shí)上,從本質(zhì)來(lái)說(shuō)�,傳統(tǒng)網(wǎng)絡(luò)安全考慮的是防范外網(wǎng)對(duì)內(nèi)網(wǎng)的攻擊,即可以說(shuō)是外網(wǎng)安全,包括傳統(tǒng)的防火墻��、入侵檢察系統(tǒng)和VPN都是基于這種思路設(shè)計(jì)和考慮的�����。外網(wǎng)安全的威脅模型假設(shè)內(nèi)部網(wǎng)絡(luò)都是安全可信的��,威脅都來(lái)自于外部網(wǎng)絡(luò)����,其途徑主要通過(guò)內(nèi)外網(wǎng)邊界出口����。所以,在外網(wǎng)安全的威脅模型假設(shè)下����,只要將網(wǎng)絡(luò)邊界處的安全控制措施做好,就可以確保整個(gè)網(wǎng)絡(luò)的安全�����。
而內(nèi)網(wǎng)安全的威脅模型與外網(wǎng)安全模型相比��,更加全面和細(xì)致,它即假設(shè)內(nèi)網(wǎng)網(wǎng)絡(luò)中的任何一個(gè)終端�、用戶和網(wǎng)絡(luò)都是不安全和不可信的,威脅既可能來(lái)自外網(wǎng)��,也可能來(lái)自內(nèi)網(wǎng)的任何一個(gè)節(jié)點(diǎn)上�����。所以���,在內(nèi)網(wǎng)安全的威脅模型下�����,需要對(duì)內(nèi)部網(wǎng)絡(luò)中所有組成節(jié)點(diǎn)和參與者的細(xì)致管理����,實(shí)現(xiàn)一個(gè)可管理����、可控制和可信任的內(nèi)網(wǎng)。由此可見����,相比于外網(wǎng)安全��,內(nèi)網(wǎng)安全具有以下特點(diǎn):
1)要求建立一種更加全面���、客觀和嚴(yán)格的信任體系和安全體系;
2)要求建立更加細(xì)粒度的安全控制措施�,對(duì)計(jì)算機(jī)終端、服務(wù)器���、網(wǎng)絡(luò)和使用者都進(jìn)行更加具有針對(duì)性的管理;
3)要求對(duì)信息進(jìn)行生命周期的完善管理����。
3.現(xiàn)有內(nèi)網(wǎng)安全產(chǎn)品和技術(shù)分析
自從內(nèi)網(wǎng)安全概念提出到現(xiàn)在,有眾多的廠商紛紛發(fā)布自己的內(nèi)網(wǎng)安全解決方案�,由于缺乏標(biāo)準(zhǔn),這些產(chǎn)品和技術(shù)各不相同����,但是總結(jié)起來(lái),應(yīng)該包括監(jiān)控審計(jì)類���、桌面管理類�、文檔加密類�����、文件加密類和磁盤加密類等。下面分別對(duì)這些產(chǎn)品和技術(shù)類型的特性做了簡(jiǎn)單的分析和說(shuō)明�。
3.1.監(jiān)控審計(jì)類
監(jiān)控審計(jì)類產(chǎn)品是最早出現(xiàn)的內(nèi)網(wǎng)安全產(chǎn)品, 50%以上的內(nèi)網(wǎng)安全廠商推出的內(nèi)網(wǎng)安全產(chǎn)品都是監(jiān)控審計(jì)類的��。監(jiān)控審計(jì)類產(chǎn)品主要對(duì)計(jì)算機(jī)終端訪問(wèn)網(wǎng)絡(luò)����、應(yīng)用使用、系統(tǒng)配置�����、文件操作以及外設(shè)使用等提供集中監(jiān)控和審計(jì)功能����,并可以生成各種類型的報(bào)表。
監(jiān)控審計(jì)產(chǎn)品一般基于協(xié)議分析��、注冊(cè)表監(jiān)控和文件監(jiān)控等技術(shù)����,具有實(shí)現(xiàn)簡(jiǎn)單和開發(fā)周期短的特點(diǎn),能夠在內(nèi)網(wǎng)發(fā)生安全事件后�,提供有效的證據(jù)�,實(shí)現(xiàn)事后審計(jì)的目標(biāo)�����。監(jiān)控審計(jì)類產(chǎn)品的缺點(diǎn)是不能做到事情防范����,不能從根本上實(shí)現(xiàn)提高內(nèi)網(wǎng)的可控性和可管理性。
3.2.桌面管理類
桌面管理類產(chǎn)品主要針對(duì)計(jì)算機(jī)終端實(shí)現(xiàn)一定的集中管理控制策略����,包括外設(shè)管理、應(yīng)用程序管理�����、網(wǎng)絡(luò)管理�、資產(chǎn)管理以及補(bǔ)丁管理等功能�����,這類型產(chǎn)品通常跟監(jiān)控審計(jì)產(chǎn)品有類似的地方��,也提供了相當(dāng)豐富的審計(jì)功能����,
桌面監(jiān)控審計(jì)類產(chǎn)品除了使用監(jiān)控審計(jì)類產(chǎn)品的技術(shù)外��,還可能需要對(duì)針對(duì)Windows系統(tǒng)使用鉤子技術(shù)����,對(duì)資源進(jìn)行控制�,總體來(lái)說(shuō),技術(shù)難度也不是很大�����。桌面監(jiān)控審計(jì)類產(chǎn)品實(shí)現(xiàn)了對(duì)計(jì)算機(jī)終端資源的有效管理和授權(quán)��,其缺點(diǎn)不能實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)信息數(shù)據(jù)提供有效的控制���。
3.3.文檔加密類
文檔加密類產(chǎn)品也是內(nèi)網(wǎng)安全產(chǎn)品中研發(fā)廠商相對(duì)較多的內(nèi)網(wǎng)安全產(chǎn)品類型�����,其主要解決特定格式主流文檔的權(quán)限管理和防泄密問(wèn)題�,可以部分解決專利資料��、財(cái)務(wù)資料����、設(shè)計(jì)資料和圖紙資料的泄密問(wèn)題���。
文檔加密技術(shù)一般基于文件驅(qū)動(dòng)和應(yīng)用程序的API鉤子技術(shù)結(jié)合完成,具有部署靈活的特點(diǎn)����。但是,因?yàn)槲臋n加密技術(shù)基于文件驅(qū)動(dòng)鉤子����、臨時(shí)文件和API鉤子技術(shù),也具有軟件兼容性差����、應(yīng)用系統(tǒng)適應(yīng)性差、安全性不高以及維護(hù)升級(jí)工作量大的缺點(diǎn)��。
3.4.文件加密類
文件加密類產(chǎn)品類型繁多�����,有針對(duì)單個(gè)文件加密�����,也有針對(duì)文件目錄的加密���,但是總體來(lái)說(shuō)�,基本上是提供了一種用戶主動(dòng)的文件保護(hù)措施���。
文件加密類產(chǎn)品主要基于文件驅(qū)動(dòng)技術(shù)�,不針對(duì)特定類型文檔��,避免了文檔加密類產(chǎn)品兼容性差等特點(diǎn)���,但是由于其安全性主要依賴于使用者的喜好和習(xí)慣�,難以實(shí)現(xiàn)對(duì)數(shù)據(jù)信息的強(qiáng)制保護(hù)和控制�����。
3.5.磁盤加密類
磁盤加密類產(chǎn)品在磁盤驅(qū)動(dòng)層對(duì)部分或者全部扇區(qū)進(jìn)行加密�����,對(duì)所有文件進(jìn)行強(qiáng)制的保護(hù)��,結(jié)合用戶或者客戶端認(rèn)證技術(shù),實(shí)現(xiàn)對(duì)磁盤數(shù)據(jù)的全面保護(hù)��。
磁盤加密技術(shù)由于基于底層的磁盤驅(qū)動(dòng)和內(nèi)核驅(qū)動(dòng)技術(shù)���,具有技術(shù)難度高����、研發(fā)周期長(zhǎng)的特點(diǎn)����。此外,由于磁盤加密技術(shù)對(duì)于上層系統(tǒng)����、數(shù)據(jù)和應(yīng)用都是透明的,要實(shí)現(xiàn)比較好的效果���,必須結(jié)合其它內(nèi)網(wǎng)安全管理控制措施���。
4.構(gòu)建完整的內(nèi)網(wǎng)安全體系
從前面的介紹可以看出,上述的內(nèi)網(wǎng)安全產(chǎn)品��,都僅僅解決了內(nèi)網(wǎng)安全部分的問(wèn)題�,并且由于其技術(shù)的限制,存在各自的缺點(diǎn)���。事實(shí)上���,要真正構(gòu)建一個(gè)可管理、可信任和可控制的內(nèi)網(wǎng)安全體系���,應(yīng)該統(tǒng)一規(guī)劃�����,綜合上述各種技術(shù)的優(yōu)勢(shì)��,構(gòu)建整體一致的內(nèi)網(wǎng)安全管理平臺(tái)�。
根據(jù)上述分析和內(nèi)網(wǎng)安全的特點(diǎn)����,一個(gè)整體一致的內(nèi)網(wǎng)安全體系,應(yīng)該包括身份認(rèn)證���、授權(quán)管理��、數(shù)據(jù)保密和監(jiān)控審計(jì)四個(gè)方面���,并且���,這四個(gè)方面應(yīng)該是緊密結(jié)合、相互聯(lián)動(dòng)的統(tǒng)一平臺(tái)�,才能達(dá)到構(gòu)建可信、可控和可管理的安全內(nèi)網(wǎng)的效果���。
身份認(rèn)證是內(nèi)網(wǎng)安全管理的基礎(chǔ)����,不確認(rèn)實(shí)體的身份�����,進(jìn)一步制定各種安全管理策略也就無(wú)從談起�。內(nèi)網(wǎng)的身份認(rèn)證,必須全面考慮所有參與實(shí)體的身份確認(rèn)�����,包括服務(wù)器�����、客戶端、用戶和主要設(shè)備等����。其中��,客戶端和用戶的身份認(rèn)證尤其要重點(diǎn)關(guān)注��,因?yàn)樗麄兙哂袛?shù)量大��、環(huán)境不安全和變化頻繁的特點(diǎn)��。
授權(quán)管理是以身份認(rèn)證為基礎(chǔ)的�����,其主要對(duì)內(nèi)部信息網(wǎng)絡(luò)各種信息資源的使用進(jìn)行授權(quán)����,確定“誰(shuí)”能夠在那些“計(jì)算機(jī)終端或者服務(wù)器”使用什么樣的“資源和權(quán)限”。授權(quán)管理的信息資源應(yīng)該盡可能全面�����,應(yīng)該包括終端使用權(quán)�����、外設(shè)資源、網(wǎng)絡(luò)資源�����、文件資源�����、服務(wù)器資源和存儲(chǔ)設(shè)備資源等���。
數(shù)據(jù)保密是內(nèi)網(wǎng)信息安全的核心��,其實(shí)質(zhì)是要對(duì)內(nèi)網(wǎng)信息流和數(shù)據(jù)流進(jìn)行全生命周期的有效管理����,構(gòu)建信息和數(shù)據(jù)安全可控的使用�����、存儲(chǔ)和交換環(huán)境����,從而實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)核心數(shù)據(jù)的保密和數(shù)字知識(shí)產(chǎn)權(quán)的保護(hù)�。由于信息和數(shù)據(jù)的應(yīng)用系統(tǒng)和表現(xiàn)方式多種多樣��,所以要求數(shù)據(jù)保密技術(shù)必須具有通用性和應(yīng)用無(wú)關(guān)性�����。
監(jiān)控審計(jì)是內(nèi)網(wǎng)安全不可缺少的輔助部分��,可以實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)安全狀態(tài)的實(shí)時(shí)監(jiān)控�,提供內(nèi)網(wǎng)安全狀態(tài)的評(píng)估報(bào)告���,并在發(fā)生內(nèi)網(wǎng)安全事件后實(shí)現(xiàn)有效的取證�����。
需要再次強(qiáng)調(diào)的是�����,上述四個(gè)方面���,必須是整體一致的,如果只簡(jiǎn)單實(shí)現(xiàn)其中一部分�,或者只是不同產(chǎn)品的簡(jiǎn)單堆砌�����,都難以建立和實(shí)現(xiàn)有效內(nèi)網(wǎng)安全管理體系�����。
5.結(jié)論
內(nèi)網(wǎng)安全已經(jīng)成為信息安全的新熱點(diǎn)����,其技術(shù)和標(biāo)準(zhǔn)也在成熟和演進(jìn)過(guò)程中�,我們有理由相信,隨著用戶對(duì)內(nèi)網(wǎng)安全認(rèn)識(shí)的加深�����,用戶內(nèi)網(wǎng)安全管理制度的晚上���,整體一致的內(nèi)網(wǎng)安全解決方案和體系建設(shè)將成為內(nèi)網(wǎng)安全的主要發(fā)展趨勢(shì)�。
如果有需要服務(wù)器的租用與托管的敬請(qǐng)聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商����!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
