【摘 要】本文通过对内网面临的安全威胁和现有安全产品的功能进行分析,提出了一种以多因素身份认证为基础,基于加密网络协议和加密磁盘文件系统,同时具有强移动存储安全管理的方便、有效、先进的内网信息安全管理控制技术和解决方案,可以有效解决内网的诸多安全问题。
【关键词】内网 网络安全 加密 身份认证
一、引言
随着信息技术特别是网络技术的发展,大部分的企业或机关单位都组建了内部局域网,实现了资源共享,信息传递快速有效,极大地提高了工作效率。内网已成为企事业单位日常工作不可或缺的重要组成部分,同时,内网中一般会有大量的保密数据文件和信息通过网络进行传递。例如政府、军队或军工单位内具有一定密级的文件、文档、设计图纸等;设计院所的图纸和设计图库等;研发型企业的设计方案、源代码和图纸等数字知识产权;企事业单位的财务数据等,都是保密数据信息。如何对这些保密数据信息进行全方位的保护,是非常重要的。
二、内部网络安全面临的威胁
随着技术的发展,网络让信息的获取、共享和传播更加方便,同时内部局域网开放共享的特点,使得分布在各台主机中的重要信息资源处于一种高风险的状态,很容易受到来自系统内部和外部的非法访问。防火墙、入侵检测、网络隔离装置等网络安全保护对于防止外部入侵有不可替代的作用,而对于内部泄密显得无可奈何,内部人员的非法窃密事件逐渐增多。据中国国家信息安全测评认证中心调查,信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪,而非病毒和外来黑客引起。根据对内网具体情况的总结分析,来自内部的安全威胁(见图1)主要有4类:a.窃取者将自己的计算机非法接入内网或者非法直接链接计算机终端,窃取内网重要数据;b.窃取者直接利用局域网中的某一台主机,通过网络攻击或欺骗的手段,非法取得其他主机甚至是某台服务器的重要数据;c.内部员工将只允许在局域网内部使用的数据通过磁盘复制、打印、非法拨号外联等手段泄漏到外部;d.内部人员窃取管理员用户名和密码,非法进入重要的系统和应用服务器获取内部重要数据。
在网络互联互通实现信息快速交换的同时,如何加强网络内部的安全,防止企事业单位的关键数据从网络中泄漏出去,是网络安全领域内一个主要的发展方向。
三、现有内部网络安全产品分析
为了解决内网安全问题,市场上也出现了诸多的内网信息安全产品,主要分为三类。1.监控与审计系统
现有各厂商的监控与审计系统一般都由三部分组成:客户端、服务器。其中,客户端安装在受控的计算机终端,用来收集数据信息,并执行来自服务器模块的指令;服务器端一般安装在内网中一台具有高性能cpu和大容量内存的用作服务器的计算机上,存储和管理所有客户端计算机数据;系统安全管理员可以登录到服务器端管理各类审计功能模块,并制定各种安全策略。客户端根据控制端下发的安全策略,对受控主机进行相应的监控,并将相应的信息上传至服务器。它能够获取受控主机的信息资料,对各类输入输出端口如usb、软驱、光驱、网卡、串/并口、调制解调器、红外通信等进行控制与监控,也可以对各类应用程序进行监控,防止终端计算机非法接入、非法外联,对文件操作等行为进行审计。
这类产品提供了一定的安全控制功能,但由于其重点是按照安全策略进行记录和审计,属于事后审计产品,因此并不能很好地阻止单位信息泄密事件的发生,一旦发现泄密事件发生,损失已经造成,所以这类产品的安全作用有一定的局限性。2.文档加密系统文档加密系统采用一定的加密算法对文件进行加密,实现对各类电子文档内容级的安全保护,一般由客户端加解密软件和认证服务器构成。加密软件对涉密文件进行加密,设置不同级别的使用权限。权限设计可由管理员或加密文件的拥有者进行设置。管理员可以控制终端用户对重要文件的读取、存储、复制、打印等,从而防止用户之间非法复制、外部发行、光盘拷贝,可以杜绝使用u盘、软盘、光盘、电子邮件等方式窃取企事业单位的电子文档。
文档加密可以实现对重要数据的加密保护,但是管理不灵活,而且内网资源众多,需要分别进行权限的设置,管理难度大,尤其当用户权限发生频繁更换的时候,容易造成漏洞,此类产品可操作性较差。3.身份认证系统用户认证系统采用各种认证方式实现用户的安全登陆和认证,独立于计算机原有的登陆系统,安全可靠性更高。一般由认证服务器和认证代理组成,有些产品提供认证令牌。认证服务器是网络中的认证引擎,由安全管理员进行管理,主要用于令牌签发,安全策略的设置与实施,日志创建等;认证代理是一种安装在终端计算机上的专用代理软件,实施认证服务器建立的各种安全策略;认证令牌以硬件、软件或智能卡等多种形式向用户提供,用来确认用户身份,如果令牌认证正确,就可以高度确信该用户是合法用户。目前这类产品主要实现了单一的用户身份鉴别,并不能实现对计算机的有效访问控制,其应用范围相对有限。
上述三类产品在一定程度上或某些方面解决了内网信息安全问题,并没有实现计算机、用户、策略三个方面的全面防护。
四、内网安全产品关键性能探讨
内网对信息安全的要求越来越高,内网安全产品不应该只是解决单方面的问题,应该从用户身份认证、计算机安全性、网络通信安全性、数据自身安全性、外设安全管理、综合安全审计等方面提供一整套完善的解决方案(见图2),对数据的存储、传输和使用在整个生命周期内进行控制、保护和审计,确保数据的完整性和保密性,从而防止敏感信息泄漏,为企事业单位构建可信可控的内部网络。
1.统一建立身份认证授权体系应完全独立于计算机、网络系统原有的认证体系,采用软硬件相结合的多重认证体系,提高可靠性,使用方便,对原有的内网体系影响很小。同时,对所有外设、输入/输出端口及操作的授权管理,实现授权的人仅能操作授权的计算机,仅能使用授权的磁盘、磁盘分区、外设、移动存储设备等,仅能使用授权的输入输出接口,为安全系统的可靠运行奠定基础。2.透明模式强制网络通讯加密由于标准的计算机通信协议本身设计上没有考虑安全性,是一个开放的协议,使得网络中传输的数据能够被截获。为确保内网信息安全,必须要解决内网中任意两台机器之间进行通信时数据的安全性问题。内网安全产品应实现网络传输的强制加密,任意两台计算机间的通信密钥都是不一样的,这有效防止了网内使用恶意侦听软件的行为。同时,由于网络协议数据封装格式不通,内部网络的计算机的各种方式非法外联也无法进行通信,这有效的防止了非法外联行为的发生。非法接入内部网络的计算机,因为无法获得有效的网络通信密钥,也都将无法联通,有效防止了非法接入行为的发生。3.透明模式强制加密本地硬盘采用强加密算法改写系统层对文件的读写操作,使得本地硬盘中的除系统盘外的所有文件均为加密存储,只能在内网安全产品启动的情况下才能正常读写这些文件。同时根据需要制定审计策略,对特别重要的文件的读写操作进行审计。所有本地文件,都将被系统自动强制加密保存在磁盘中。同时为了在保证数据安全性的同时不影响用户日常使用习惯,加解密必须采用透明方式。通过强制加密,即使磁盘被盗用或者丢失,都不会造成重要信息的泄密。防止了因为硬盘丢失、多操作系统和光盘启动等造成的数据泄密事件的发生。4.加强对移动存储介质的安全管理通过管理员的注册、认证、授权后才能在指定的范围内按照指定的读写策略使用移动存储设备,可以实现对软盘、u盘和移动硬盘等便携式移动存储设备的有效管理。
当移动存储设备被注册为加密读写策略的时候,所有写入该移动存储设备的文件数据将被强制加密,只能在管理员授权允许的终端上正常使用。如果使用移动存储介质将这些数据携带到出此范围,无法正常读写,只是毫无意义的加密数据。这种方式有效地限定了数据的可用范围,对于用户来说,既可以享受移动存储设备共享数据的方便性,又可以实现有效地数据共享范围管理。
总之,新型的内网信息安全产品要提供一种方便、有效、先进的内网信息安全管理控制技术和解决方案,解决内部网络的用户身份和计算机管理、网络信息保密等安全问题,达到外部入侵进不来、非法外接出不去、内外勾结拿不走、拿走东西看不懂的效果,有效防止机密敏感信息的泄漏,为企事业单位构建了一个可信可控的内网。
参考文献:
[1]张敏波.网络安全实战详解[m].北京:电子工业出版社,2008.
[2]吴亚非,李新友,禄凯.信息安全风险评估[m].北京:清华大学出版社,2007.
[3]闫宏生,王雪莉,杨军.计算机网络安全与防护[m].北京:电子工业出版社,2007.
[4]薛质.信息安全技术基础和安全策略[m].北京:清华大学出版社,2007.
本文链接:http://www.qk112.com/lwfw/jsjlw/jsjwl/239950.html
