您好, 访客   登录/注册

内网信息安全技术探究

来源:用户上传      作者: 沙 漠

  摘 要:随着信息技术特别是网络技术的发展,大部分的企业或机关单位都组建了内部局域网,实现了资源共享,在方便信息传递的同时,极大地提高了工作效率。
  关键词:内网;信息安全;技术
  
  一、内部网络安全面临的威胁
  
  随着信息技术特别是网络技术的发展,大部分的企业或机关单位都组建了内部局域网,实现了资源共享,在方便信息传递的同时,极大地提高了工作效率。内网已成为企事业单位日常工作不可或缺的重要组成部分,内部的大量保密数据文件和信息都通过内网进行传递:1.政府、军队或军工单位内具有一定密级的文件、文档、设计图纸和代码等;2.设计院所的图纸和设计图库等;3.研发型企业的源代码、设计方案和图纸等数字知识产权;4.企事业单位的财务数据等需要保密的重要信息。
  在网络互联互通实现信息快速交换的同时,如何加强网络内部的安全,防止企事业单位的关键数据从网络中泄漏出去,成为网络安全领域内一个主要的发展方向。
  
  二、现有内部网络安全产品分析
  
  1.监控与审计系统
  现有各厂商的监控与审计系统一般都由三部分组成:客户端、控制端和服务器。其中,客户端安装在受控的计算机终端,用来收集数据信息,并执行来自服务器模块的指令;服务器端一般安装在内网中一台具有高性能CPU和大容量内存的用作服务器的计算机上,存储和管理所有客户端计算机数据;控制端安装在企事业单位信息主管的计算机上,用来监控每台客户端受控计算机,可以登录到服务器端管理各类审计系统,并制定各种安全策略。客户端根据控制端下发的安全策略,对受控主机进行相应的监控,并将相应的信息上传至服务器。它能够实现对受控主机的各种信息资料获取,各类输入输出端口如USB、软驱、光驱、网卡、串/并口、调制解调器、红外通信等的监控,各类应用程序的监控,上网监控,文件操作监控,并根据安全策略对受控主机的行为进行审计。
  这类产品提供了一定的网络控制功能,但由于其重点是对网络数据进行记录和审计,因此并不能很好地阻止单位信息泄密事件的发生,一旦发现泄密事件发生,对单位的损失已经造成,因此此类产品的安全作用有限。
  2.文档加密系统
  文档加密系统采用一定的加密算法对文件进行加密,实现对各类电子文档内容级的安全保护,一般由客户端加解密软件和认证服务器构成。加密软件对重要文件如机密技术文件、设计图稿、会计账目、战略计划书、研究论文等进行加密,设置不同级别的使用权限。有的用户只拥有阅读的权限,有的用户拥有阅读、修改、打印等多种权限,具体的权限设计可由管理员或加密文件的拥有者进行设置。管理员可以控制终端用户对重要文件的读取、存储、复制、打印等,从而防止用户之间非法复制、外部发行、光盘拷贝,可以杜绝使用U盘、软盘、光盘、电子邮件等方式窃取企事业单位的电子文档。
  文档加密可以实现对重要数据的加密保护,但是对网络、计算机、用户的管理不灵活,而且内网资源众多,需要分别进行权限的设置,管理难度大,尤其当用户权限发生频繁更换的时候,容易造成漏洞,此类产品并不利于单位内部信息的安全管理。
  3.身份认证系统
  用户认证系统采用各种认证方式实现用户的安全登陆和认证,独立于计算机原有的登陆系统,安全可靠性更高。一般由认证服务器和认证代理组成,有些产品提供认证令牌。认证服务器是网络中的认证引擎,由安全管理员或者网络管理员进行管理,主要用于令牌签发,安全策略的设置与实施,日志创建等;认证代理是一种专用代理软件,实施认证服务器建立的各种安全策略;认证令牌以硬件、软件或智能卡等多种形式向用户提供,用以确认用户身份,如果某个用户提供了一个正确的令牌码,就可以高度确信该用户是合法用户。目前这类产品主要实现了单一的用户身份识别,并不能实现对计算机的有效访问控制,比如用户离机锁定、使用权限等,其应用范围相对有限。
  上述三类产品在一定程度上或某个方面解决了内网信息安全问题,并没有实现计算机、用户、策略三个方面的全面防护。
  
  三、新型的内网安全产品关键性能探讨
  
  1.信息数据网络传送强制加密,控制所有的网络通信,有效防止网内恶意侦听以及非法外联和非法接入
  由于计算机通信协议本身设计上没有考虑安全性,是一个完全开放的协议,使得其网络传输数据能够被任意截获。为确保内网信息安全,必须要解决局域网任意两台机器之间进行通信时数据的安全性问题,内网安全产品应实现网络传输的强制加密,任意两台计算机间的通信密钥都是不一样的,这有效防止了网内使用恶意侦听软件的行为。同时,如果内部网络的计算机通过Modem、ADSL拨号或者双网卡等多种方式非法外联,由于其跟外部网络或者计算机间的网络数据封装格式的不同,将无法进行通信,有效防止了非法外联行为的发生。外部接入内部网络的计算机,无论是通过交换设备接入还是直接与内部网络计算机使用网络直连线连接,也都将无法联通,有效防止了非法接入行为的发生。
  2.强制加密本地硬盘,有效防止硬盘丢失、多操作系统等造成数据泄密事件的发生
  采用强加密算法对本地除系统盘外的所有本地磁盘数据加密,只能在内网安全产品启动的情况下才能正常使用本地磁盘。为了防止通过系统盘造成数据泄密,必须禁止向系统盘写入任何数据,包括安装任何新的应用程序;所有写入系统盘的数据,都被缓存在其它区域,一旦系统注销或者关闭,所有缓存数据将被清除。加解密采用透明方式,在不影响用户使用习惯的前提下保证数据的安全性。所有本地磁盘保存的文件,都将被系统自动强制加密保存在磁盘中。在这样的情况下,即使磁盘被盗用或者丢失,都不会造成单位重要信息的泄密。由于采用了透明的加密技术,对用户和应用程序来说都不会有任何影响,也不会因为安全性的提高而影响用户的使用习惯。防止了因为硬盘丢失、多操作系统和光盘启动等造成的数据泄密事件的发生。
  总之,新型的内网信息安全产品要提供一种方便、有效、先进的内网信息安全管理控制技术和解决方案,解决内部网络的用户身份和计算机管理、网络信息保密等安全问题,达到外部入侵进不来、非法外接出不去、内外勾结拿不走、拿走东西看不懂的效果,有效防止机密敏感信息的泄漏,为企事业单位构建了一个可信可控的内网,确保“一切尽在掌控之中”。


转载注明来源:https://www.xzbu.com/3/view-10000.htm