- 相關推薦
內部網信息安全分析
【摘 要】本文通過對內網面臨的安全威脅和現有安全產品的功能進行分析,提出了一種以多因素身份認證為基礎,基于加密網絡協議和加密磁盤文件系統,同時具有強移動存儲安全管理的方便、有效、先進的內網信息安全管理控制技術和解決方案,可以有效解決內網的諸多安全問題。
【關鍵詞】內網 網絡安全 加密 身份認證
一、引言
隨著信息技術特別是網絡技術的發(fā)展,大部分的企業(yè)或機關單位都組建了內部局域網,實現了資源共享,信息傳遞快速有效,極大地提高了工作效率。內網已成為企事業(yè)單位日常工作不可或缺的重要組成部分,同時,內網中一般會有大量的保密數據文件和信息通過網絡進行傳遞。例如政府、軍隊或軍工單位內具有一定密級的文件、文檔、設計圖紙等;設計院所的圖紙和設計圖庫等;研發(fā)型企業(yè)的設計方案、源代碼和圖紙等數字知識產權;企事業(yè)單位的財務數據等,都是保密數據信息。如何對這些保密數據信息進行全方位的保護,是非常重要的。
二、內部網絡安全面臨的威脅
隨著技術的發(fā)展,網絡讓信息的獲取、共享和傳播更加方便,同時內部局域網開放共享的特點,使得分布在各臺主機中的重要信息資源處于一種高風險的狀態(tài),很容易受到來自系統內部和外部的非法訪問。防火墻、入侵檢測、網絡隔離裝置等網絡安全保護對于防止外部入侵有不可替代的作用,而對于內部泄密顯得無可奈何,內部人員的非法竊密事件逐漸增多。據中國國家信息安全測評認證中心調查,信息安全的現實威脅也主要為內部信息泄露和內部人員犯罪,而非病毒和外來黑客引起。根據對內網具體情況的總結分析,來自內部的安全威脅(見圖1)主要有4類:a.竊取者將自己的計算機非法接入內網或者非法直接鏈接計算機終端,竊取內網重要數據;b.竊取者直接利用局域網中的某一臺主機,通過網絡攻擊或欺騙的手段,非法取得其他主機甚至是某臺服務器的重要數據;c.內部員工將只允許在局域網內部使用的數據通過磁盤復制、打印、非法撥號外聯等手段泄漏到外部;d.內部人員竊取管理員用戶名和密碼,非法進入重要的系統和應用服務器獲取內部重要數據。 在網絡互聯互通實現信息快速交換的同時,如何加強網絡內部的安全,防止企事業(yè)單位的關鍵數據從網絡中泄漏出去,是網絡安全領域內一個主要的發(fā)展方向。
三、現有內部網絡安全產品分析
為了解決內網安全問題,市場上也出現了諸多的內網信息安全產品,主要分為三類。
1.監(jiān)控與審計系統
現有各廠商的監(jiān)控與審計系統一般都由三部分組成:客戶端、服務器。其中,客戶端安裝在受控的計算機終端,用來收集數據信息,并執(zhí)行來自服務器模塊的指令;服務器端一般安裝在內網中一臺具有高性能CPU和大容量內存的用作服務器的計算機上,存儲和管理所有客戶端計算機數據;系統安全管理員可以登錄到服務器端管理各類審計功能模塊,并制定各種安全策略。客戶端根據控制端下發(fā)的安全策略,對受控主機進行相應的監(jiān)控,并將相應的信息上傳至服務器。它能夠獲取受控主機的信息資料,對各類輸入輸出端口如USB、軟驅、光驅、網卡、串/并口、調制解調器、紅外通信等進行控制與監(jiān)控,也可以對各類應用程序進行監(jiān)控,防止終端計算機非法接入、非法外聯,對文件操作等行為進行審計。
這類產品提供了一定的安全控制功能,但由于其重點是按照安全策略進行記錄和審計,屬于事后審計產品,因此并不能很好地阻止單位信息泄密事件的發(fā)生,一旦發(fā)現泄密事件發(fā)生,損失已經造成,所以這類產品的安全作用有一定的局限性。
2.文檔加密系統
文檔加密系統采用一定的加密算法對文件進行加密,實現對各類電子文檔內容級的安全保護,一般由客戶端加解密軟件和認證服務器構成。加密軟件對涉密文件進行加密,設置不同級別的使用權限。權限設計可由管理員或加密文件的擁有者進行設置。管理員可以控制終端用戶對重要文件的讀取、存儲、復制、打印等,從而防止用戶之間非法復制、外部發(fā)行、光盤拷貝,可以杜絕使用U盤、軟盤、光盤、電子郵件等方式竊取企事業(yè)單位的電子文檔。
文檔加密可以實現對重要數據的加密保護,但是管理不靈活,而且內網資源眾多,需要分別進行權限的設置,管理難度大,尤其當用戶權限發(fā)生頻繁更換的時候,容易造成漏洞,此類產品可操作性較差。
3.身份認證系統
用戶認證系統采用各種認證方式實現用戶的安全登陸和認證,獨立于計算機原有的登陸系統,安全可靠性更高。一般由認證服務器和認證代理組成,有些產品提供認證令牌。認證服務器是網絡中的認證引擎,由安全管理員進行管理,主要用于令牌簽發(fā),安全策略的設置與實施,日志創(chuàng)建等;認證代理是一種安裝在終端計算機上的專用代理軟件,實施認證服務器建立的各種安全策略;認證令牌以硬件、軟件或智能卡等多種形式向用戶提供,用來確認用戶身份,如果令牌認證正確,就可以高度確信該用戶是合法用戶。目前這類產品主要實現了單一的用戶身份鑒別,并不能實現對計算機的有效訪問控制,其應用范圍相對有限。
上述三類產品在一定程度上或某些方面解決了內網信息安全問題,并沒有實現計算機、用戶、策略三個方面的全面防護。四、內網安全產品關鍵性能探討 內網對信息安全的要求越來越高,內網安全產品不應該只是解決單方面的問題,應該從用戶身份認證、計算機安全性、網絡通信安全性、數據自身安全性、外設安全管理、綜合安全審計等方面提供一整套完善的解決方案(見圖2),對數據的存儲、傳輸和使用在整個生命周期內進行控制、保護和審計,確保數據的完整性和保密性,從而防止敏感信息泄漏,為企事業(yè)單位構建可信可控的內部網絡。
1.統一建立身份認證授權體系應完全獨立于計算機、網絡系統原有的認證體系,采用軟硬件相結合的多重認證體系,提高可靠性,使用方便,對原有的內網體系影響很小。同時,對所有外設、輸入/輸出端口及操作的授權管理,實現授權的人僅能操作授權的計算機,僅能使用授權的磁盤、磁盤分區(qū)、外設、移動存儲設備等,僅能使用授權的輸入輸出接口,為安全系統的可靠運行奠定基礎。
2.透明模式強制網絡通訊加密由于標準的計算機通信協議本身設計上沒有考慮安全性,是一個開放的協議,使得網絡中傳輸的數據能夠被截獲。為確保內網信息安全,必須要解決內網中任意兩臺機器之間進行通信時數據的安全性問題。內網安全產品應實現網絡傳輸的強制加密,任意兩臺計算機間的通信密鑰都是不一樣的,這有效防止了網內使用惡意偵聽軟件的行為。同時,由于網絡協議數據封裝格式不通,內部網絡的計算機的各種方式非法外聯也無法進行通信,這有效的防止了非法外聯行為的發(fā)生。非法接入內部網絡的計算機,因為無法獲得有效的網絡通信密鑰,也都將無法聯通,有效防止了非法接入行為的發(fā)生。
3.透明模式強制加密本地硬盤采用強加密算法改寫系統層對文件的讀寫操作,使得本地硬盤中的除系統盤外的所有文件均為加密存儲,只能在內網安全產品啟動的情況下才能正常讀寫這些文件。同時根據需要制定審計策略,對特別重要的文件的讀寫操作進行審計。所有本地文件,都將被系統自動強制加密保存在磁盤中。同時為了在保證數據安全性的同時不影響用戶日常使用習慣,加解密必須采用透明方式。通過強制加密,即使磁盤被盜用或者丟失,都不會造成重要信息的泄密。防止了因為硬盤丟失、多操作系統和光盤啟動等造成的數據泄密事件的發(fā)生。
4.加強對移動存儲介質的安全管理通過管理員的注冊、認證、授權后才能在指定的范圍內按照指定的讀寫策略使用移動存儲設備,可以實現對軟盤、U盤和移動硬盤等便攜式移動存儲設備的有效管理。
當移動存儲設備被注冊為加密讀寫策略的時候,所有寫入該移動存儲設備的文件數據將被強制加密,只能在管理員授權允許的終端上正常使用。如果使用移動存儲介質將這些數據攜帶到出此范圍,無法正常讀寫,只是毫無意義的加密數據。這種方式有效地限定了數據的可用范圍,對于用戶來說,既可以享受移動存儲設備共享數據的方便性,又可以實現有效地數據共享范圍管理。
總之,新型的內網信息安全產品要提供一種方便、有效、先進的內網信息安全管理控制技術和解決方案,解決內部網絡的用戶身份和計算機管理、網絡信息保密等安全問題,達到外部入侵進不來、非法外接出不去、內外勾結拿不走、拿走東西看不懂的效果,有效防止機密敏感信息的泄漏,為企事業(yè)單位構建了一個可信可控的內網。
參考文獻:
[1]張敏波.網絡安全實戰(zhàn)詳解[M].北京:電子工業(yè)出版社,2008.
[2]吳亞非,李新友,祿凱.信息安全風險評估[M].北京:清華大學出版社,2007.
[3]閆宏生,王雪莉,楊軍.計算機網絡安全與防護[M].北京:電子工業(yè)出版社,2007.
[4]薛質.信息安全技術基礎和安全策略[M].北京:清華大學出版社,2007.
【內部網信息安全分析】相關文章:
分析信息安全問題10-01
信息安全工程分析論文10-11
分析軍訓網信息安全的對策10-01
大數據時代信息安全分析10-08
電力信息安全分析與措施論文10-09
信息安全隱患分析及對策10-07
信息安全管理提升的分析與研究的論文10-08
信息安全等級保護的分析論文10-09