|
1.內(nèi)網(wǎng)安全現(xiàn)狀概述
進(jìn)入21世紀(jì)后��,隨著國內(nèi)信息化程度的快速提高,內(nèi)網(wǎng)信息安全越來越多受到關(guān)注,內(nèi)網(wǎng)安全產(chǎn)品和廠商短短幾年內(nèi)大量涌現(xiàn)���。但是���,令人擔(dān)憂的是��,雖然眾多的產(chǎn)品和廠商都以內(nèi)網(wǎng)安全的概念在提供服務(wù)��,但其中包含的實(shí)際技術(shù)和內(nèi)容卻千差萬別�。這樣的情況����,一方面對市場和用戶形成了誤導(dǎo)�,不利于解決用戶的實(shí)際內(nèi)網(wǎng)安全問題����,造成投資浪費(fèi);另一方面也不利于創(chuàng)造良性的競爭環(huán)境���,阻遏了內(nèi)網(wǎng)安全市場的發(fā)展����。
鑒于此����,有必要對內(nèi)網(wǎng)安全進(jìn)行成體系的理論探討,形成統(tǒng)一的共識和標(biāo)準(zhǔn)�,這樣才能讓內(nèi)網(wǎng)安全產(chǎn)品和廠商真正滿足用戶的需求,解決用戶的實(shí)際問題�,推動國家信息化的發(fā)展。
2.內(nèi)網(wǎng)安全問題的本質(zhì)探討
2.1.內(nèi)網(wǎng)安全問題的形成原因
內(nèi)網(wǎng)安全問題的提出跟國家信息化的進(jìn)程息息相關(guān)��,信息化程度的提高��,使得內(nèi)部信息網(wǎng)絡(luò)具備了以下三個特點(diǎn):
1)隨著ERP、OA和CAD等生產(chǎn)和辦公系統(tǒng)的普及����,單位的日程運(yùn)轉(zhuǎn)對內(nèi)部信息網(wǎng)絡(luò)的依賴程度越來越高,內(nèi)網(wǎng)信息網(wǎng)絡(luò)已經(jīng)成了各個單位的生命線��,對內(nèi)網(wǎng)穩(wěn)定性�、可靠性和可控性提出高度的要求。
2)內(nèi)部信息網(wǎng)絡(luò)由大量的終端����、服務(wù)器和網(wǎng)絡(luò)設(shè)備組成,形成了統(tǒng)一有機(jī)的整體���,任何一個部分的安全漏洞或者問題�,都可能引發(fā)整個網(wǎng)絡(luò)的癱瘓���,對內(nèi)網(wǎng)各個具體部分尤其是數(shù)量巨大的終端可控性和可靠性提出前所未有的要求���。
3)由于生產(chǎn)和辦公系統(tǒng)的電子化,使得內(nèi)部網(wǎng)絡(luò)成為單位信息和知識產(chǎn)權(quán)的主要載體���,傳統(tǒng)的對信息的控制管理手段不再使用,新的信息管理控制手段成為關(guān)注的焦點(diǎn)。
上述三個問題����,都是依賴于內(nèi)網(wǎng),與內(nèi)網(wǎng)的安全緊密相連的��,內(nèi)網(wǎng)安全受到廣泛的高度重視也就不以為奇����。
2.2.內(nèi)網(wǎng)安全問題的威脅模型
相對于內(nèi)網(wǎng)安全概念,傳統(tǒng)意義上的網(wǎng)絡(luò)安全更加為人所熟知和理解����,事實(shí)上,從本質(zhì)來說�,傳統(tǒng)網(wǎng)絡(luò)安全考慮的是防范外網(wǎng)對內(nèi)網(wǎng)的攻擊,即可以說是外網(wǎng)安全�,包括傳統(tǒng)的防火墻、入侵檢察系統(tǒng)和VPN都是基于這種思路設(shè)計(jì)和考慮的����。外網(wǎng)安全的威脅模型假設(shè)內(nèi)部網(wǎng)絡(luò)都是安全可信的,威脅都來自于外部網(wǎng)絡(luò)�����,其途徑主要通過內(nèi)外網(wǎng)邊界出口。所以��,在外網(wǎng)安全的威脅模型假設(shè)下�,只要將網(wǎng)絡(luò)邊界處的安全控制措施做好,就可以確保整個網(wǎng)絡(luò)的安全��。
而內(nèi)網(wǎng)安全的威脅模型與外網(wǎng)安全模型相比����,更加全面和細(xì)致,它即假設(shè)內(nèi)網(wǎng)網(wǎng)絡(luò)中的任何一個終端�、用戶和網(wǎng)絡(luò)都是不安全和不可信的,威脅既可能來自外網(wǎng)����,也可能來自內(nèi)網(wǎng)的任何一個節(jié)點(diǎn)上。所以�,在內(nèi)網(wǎng)安全的威脅模型下,需要對內(nèi)部網(wǎng)絡(luò)中所有組成節(jié)點(diǎn)和參與者的細(xì)致管理�,實(shí)現(xiàn)一個可管理、可控制和可信任的內(nèi)網(wǎng)�。由此可見,相比于外網(wǎng)安全��,內(nèi)網(wǎng)安全具有以下特點(diǎn):
1)要求建立一種更加全面�、客觀和嚴(yán)格的信任體系和安全體系�����;
2)要求建立更加細(xì)粒度的安全控制措施,對計(jì)算機(jī)終端���、服務(wù)器����、網(wǎng)絡(luò)和使用者都進(jìn)行更加具有針對性的管理�;
3)要求對信息進(jìn)行生命周期的完善管理。
3.現(xiàn)有內(nèi)網(wǎng)安全產(chǎn)品和技術(shù)分析
自從內(nèi)網(wǎng)安全概念提出到現(xiàn)在����,有眾多的廠商紛紛發(fā)布自己的內(nèi)網(wǎng)安全解決方案,由于缺乏標(biāo)準(zhǔn)�����,這些產(chǎn)品和技術(shù)各不相同�����,但是總結(jié)起來��,應(yīng)該包括監(jiān)控審計(jì)類、桌面管理類�、文檔加密類、文件加密類和磁盤加密類等����。下面分別對這些產(chǎn)品和技術(shù)類型的特性做了簡單的分析和說明。
3.1.監(jiān)控審計(jì)類
監(jiān)控審計(jì)類產(chǎn)品是最早出現(xiàn)的內(nèi)網(wǎng)安全產(chǎn)品�, 50%以上的內(nèi)網(wǎng)安全廠商推出的內(nèi)網(wǎng)安全產(chǎn)品都是監(jiān)控審計(jì)類的。監(jiān)控審計(jì)類產(chǎn)品主要對計(jì)算機(jī)終端訪問網(wǎng)絡(luò)��、應(yīng)用使用�、系統(tǒng)配置、文件操作以及外設(shè)使用等提供集中監(jiān)控和審計(jì)功能����,并可以生成各種類型的報(bào)表。
監(jiān)控審計(jì)產(chǎn)品一般基于協(xié)議分析��、注冊表監(jiān)控和文件監(jiān)控等技術(shù)���,具有實(shí)現(xiàn)簡單和開發(fā)周期短的特點(diǎn)�����,能夠在內(nèi)網(wǎng)發(fā)生安全事件后�,提供有效的證據(jù),實(shí)現(xiàn)事后審計(jì)的目標(biāo)���。監(jiān)控審計(jì)類產(chǎn)品的缺點(diǎn)是不能做到事情防范�����,不能從根本上實(shí)現(xiàn)提高內(nèi)網(wǎng)的可控性和可管理性。
3.2.桌面管理類
桌面管理類產(chǎn)品主要針對計(jì)算機(jī)終端實(shí)現(xiàn)一定的集中管理控制策略����,包括外設(shè)管理、應(yīng)用程序管理���、網(wǎng)絡(luò)管理�����、資產(chǎn)管理以及補(bǔ)丁管理等功能����,這類型產(chǎn)品通常跟監(jiān)控審計(jì)產(chǎn)品有類似的地方��,也提供了相當(dāng)豐富的審計(jì)功能���,
桌面監(jiān)控審計(jì)類產(chǎn)品除了使用監(jiān)控審計(jì)類產(chǎn)品的技術(shù)外����,還可能需要對針對Windows系統(tǒng)使用鉤子技術(shù),對資源進(jìn)行控制�����,總體來說�����,技術(shù)難度也不是很大���。桌面監(jiān)控審計(jì)類產(chǎn)品實(shí)現(xiàn)了對計(jì)算機(jī)終端資源的有效管理和授權(quán)���,其缺點(diǎn)不能實(shí)現(xiàn)對內(nèi)網(wǎng)信息數(shù)據(jù)提供有效的控制。
3.3.文檔加密類
文檔加密類產(chǎn)品也是內(nèi)網(wǎng)安全產(chǎn)品中研發(fā)廠商相對較多的內(nèi)網(wǎng)安全產(chǎn)品類型�,其主要解決特定格式主流文檔的權(quán)限管理和防泄密問題,可以部分解決專利資料�、財(cái)務(wù)資料、設(shè)計(jì)資料和圖紙資料的泄密問題��。
文檔加密技術(shù)一般基于文件驅(qū)動和應(yīng)用程序的API鉤子技術(shù)結(jié)合完成����,具有部署靈活的特點(diǎn)����。但是�,因?yàn)槲臋n加密技術(shù)基于文件驅(qū)動鉤子、臨時文件和API鉤子技術(shù)���,也具有軟件兼容性差、應(yīng)用系統(tǒng)適應(yīng)性差��、安全性不高以及維護(hù)升級工作量大的缺點(diǎn)���。
3.4.文件加密類
文件加密類產(chǎn)品類型繁多��,有針對單個文件加密����,也有針對文件目錄的加密�,但是總體來說,基本上是提供了一種用戶主動的文件保護(hù)措施��。
文件加密類產(chǎn)品主要基于文件驅(qū)動技術(shù)�,不針對特定類型文檔����,避免了文檔加密類產(chǎn)品兼容性差等特點(diǎn)��,但是由于其安全性主要依賴于使用者的喜好和習(xí)慣���,難以實(shí)現(xiàn)對數(shù)據(jù)信息的強(qiáng)制保護(hù)和控制��。
3.5.磁盤加密類
磁盤加密類產(chǎn)品在磁盤驅(qū)動層對部分或者全部扇區(qū)進(jìn)行加密����,對所有文件進(jìn)行強(qiáng)制的保護(hù)��,結(jié)合用戶或者客戶端認(rèn)證技術(shù)�����,實(shí)現(xiàn)對磁盤數(shù)據(jù)的全面保護(hù)��。
磁盤加密技術(shù)由于基于底層的磁盤驅(qū)動和內(nèi)核驅(qū)動技術(shù)��,具有技術(shù)難度高�����、研發(fā)周期長的特點(diǎn)。此外�����,由于磁盤加密技術(shù)對于上層系統(tǒng)����、數(shù)據(jù)和應(yīng)用都是透明的,要實(shí)現(xiàn)比較好的效果�,必須結(jié)合其它內(nèi)網(wǎng)安全管理控制措施。
4.構(gòu)建完整的內(nèi)網(wǎng)安全體系
從前面的介紹可以看出����,上述的內(nèi)網(wǎng)安全產(chǎn)品�����,都僅僅解決了內(nèi)網(wǎng)安全部分的問題�,并且由于其技術(shù)的限制,存在各自的缺點(diǎn)��。事實(shí)上����,要真正構(gòu)建一個可管理�����、可信任和可控制的內(nèi)網(wǎng)安全體系���,應(yīng)該統(tǒng)一規(guī)劃,綜合上述各種技術(shù)的優(yōu)勢�,構(gòu)建整體一致的內(nèi)網(wǎng)安全管理平臺。
根據(jù)上述分析和內(nèi)網(wǎng)安全的特點(diǎn)���,一個整體一致的內(nèi)網(wǎng)安全體系���,應(yīng)該包括身份認(rèn)證、授權(quán)管理��、數(shù)據(jù)保密和監(jiān)控審計(jì)四個方面�,并且,這四個方面應(yīng)該是緊密結(jié)合�、相互聯(lián)動的統(tǒng)一平臺,才能達(dá)到構(gòu)建可信���、可控和可管理的安全內(nèi)網(wǎng)的效果�。
身份認(rèn)證是內(nèi)網(wǎng)安全管理的基礎(chǔ),不確認(rèn)實(shí)體的身份��,進(jìn)一步制定各種安全管理策略也就無從談起�。內(nèi)網(wǎng)的身份認(rèn)證,必須全面考慮所有參與實(shí)體的身份確認(rèn)��,包括服務(wù)器�、客戶端、用戶和主要設(shè)備等��。其中���,客戶端和用戶的身份認(rèn)證尤其要重點(diǎn)關(guān)注���,因?yàn)樗麄兙哂袛?shù)量大、環(huán)境不安全和變化頻繁的特點(diǎn)���。
授權(quán)管理是以身份認(rèn)證為基礎(chǔ)的,其主要對內(nèi)部信息網(wǎng)絡(luò)各種信息資源的使用進(jìn)行授權(quán)�����,確定“誰”能夠在那些“計(jì)算機(jī)終端或者服務(wù)器”使用什么樣的“資源和權(quán)限”�。授權(quán)管理的信息資源應(yīng)該盡可能全面,應(yīng)該包括終端使用權(quán)、外設(shè)資源����、網(wǎng)絡(luò)資源、文件資源�、服務(wù)器資源和存儲設(shè)備資源等。
數(shù)據(jù)保密是內(nèi)網(wǎng)信息安全的核心�����,其實(shí)質(zhì)是要對內(nèi)網(wǎng)信息流和數(shù)據(jù)流進(jìn)行全生命周期的有效管理�,構(gòu)建信息和數(shù)據(jù)安全可控的使用、存儲和交換環(huán)境�����,從而實(shí)現(xiàn)對內(nèi)網(wǎng)核心數(shù)據(jù)的保密和數(shù)字知識產(chǎn)權(quán)的保護(hù)�����。由于信息和數(shù)據(jù)的應(yīng)用系統(tǒng)和表現(xiàn)方式多種多樣����,所以要求數(shù)據(jù)保密技術(shù)必須具有通用性和應(yīng)用無關(guān)性。
監(jiān)控審計(jì)是內(nèi)網(wǎng)安全不可缺少的輔助部分����,可以實(shí)現(xiàn)對內(nèi)網(wǎng)安全狀態(tài)的實(shí)時監(jiān)控�����,提供內(nèi)網(wǎng)安全狀態(tài)的評估報(bào)告��,并在發(fā)生內(nèi)網(wǎng)安全事件后實(shí)現(xiàn)有效的取證���。
需要再次強(qiáng)調(diào)的是,上述四個方面�����,必須是整體一致的��,如果只簡單實(shí)現(xiàn)其中一部分����,或者只是不同產(chǎn)品的簡單堆砌,都難以建立和實(shí)現(xiàn)有效內(nèi)網(wǎng)安全管理體系�。
5.結(jié)論
內(nèi)網(wǎng)安全已經(jīng)成為信息安全的新熱點(diǎn),其技術(shù)和標(biāo)準(zhǔn)也在成熟和演進(jìn)過程中�����,我們有理由相信����,隨著用戶對內(nèi)網(wǎng)安全認(rèn)識的加深,用戶內(nèi)網(wǎng)安全管理制度的晚上�����,整體一致的內(nèi)網(wǎng)安全解決方案和體系建設(shè)將成為內(nèi)網(wǎng)安全的主要發(fā)展趨勢��。
如果有需要服務(wù)器的租用與托管的敬請聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)��!虛擬主機(jī)域名注冊頂級提供商����!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
