内部网信息安全挑战与应对措施

admin

一、内部网络安全面临的威胁
　　随着信息技术特别是网络技术的发展，大部分的企业或机关单位都组建了内部局域网，实现了资源共享，在方便信息传递的同时，极大地提高了工作效率。内网已成为企事业单位日常工作不可或缺的重要组成部分，内部的大量保密数据文件和信息都通过内网进行传递：1．政府、军队或军工单位内具有一定密级的文件、文档、设计图纸和代码等；2．设计院所的图纸和设计图库等；3．研发型企业的源代码、设计方案和图纸等数字知识产权；4．企事业单位的财务数据等需要保密的重要信息。
　　网络的普及让信息的获取、共享和传播更加方便，同时局域网开放共享的特点，使得分布在各台主机中的重要信息资源处于一种高风险的状态，很容易受到来自系统内部和外部的非法访问。防火墙、入侵检测、隔离装置等网络安全保护对于防止外部入侵有不可替代的作用，而对于内部泄密显得无可奈何，真正有目的盗取或破坏信息的黑客也许正隐藏在内部。根据FBI和CSI对484家企事业单位进行的网络安全专项调查结果显示：超过85%的安全威胁来自企事业单位内部。在损失金额上，由于内部人员泄密导致了6056.5万美元的损失，是黑客造成损失的16倍，是病毒造成损失的12倍。另据中国国家信息安全测评认证中心调查，信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪，而非病毒和外来黑客引起。根据我们的总结分析，来自内部的安全威胁（见图1）主要有4类：1．窃取者将自己的计算机通过内网网络交换设备或者直连网线非法接入内网或者计算机终端，窃取内网重要数据；2．窃取者直接利用局域网中的某一台主机，通过网络攻击或欺骗的手段，非法取得其他主机甚至是某台网络服务器的重要数据；3．内部员工将只允许在局域网内部使用的数据通过磁盘复制、打印、非法拨号外联等手段泄漏到单位外部；4．内部人员窃取管理员用户名和密码，非法进入单位重要的业务和应用服务器获取内部重要数据。

图1 企业内网面临的安全威胁

　　在网络互联互通实现信息快速交换的同时，如何加强网络内部的安全，防止企事业单位的关键数据从网络中泄漏出去，成为网络安全领域内一个主要的发展方向。
二、现有内部网络安全产品分析
　　为了解决内网安全问题，市场上也出现了诸多的内网信息安全产品，主要分为3类。
　　1．监控与审计系统
　　现有各厂商的监控与审计系统一般都由三部分组成：客户端、控制端和服务器。其中，客户端安装在受控的计算机终端，用来收集数据信息，并执行来自服务器模块的指令；服务器端一般安装在内网中一台具有高性能CPU和大容量内存的用作服务器的计算机上，存储和管理所有客户端计算机数据；控制端安装在企事业单位信息主管的计算机上，用来监控每台客户端受控计算机，可以登录到服务器端管理各类审计系统，并制定各种安全策略。客户端根据控制端下发的安全策略，对受控主机进行相应的监控，并将相应的信息上传至服务器。它能够实现对受控主机的各种信息资料获取，各类输入输出端口如USB、软驱、光驱、网卡、串/并口、调制解调器、红外通信等的监控，各类应用程序的监控，上网监控，文件操作监控，并根据安全策略对受控主机的行为进行审计。
　　这类产品提供了一定的网络控制功能，但由于其重点是对网络数据进行记录和审计，因此并不能很好地阻止单位信息泄密事件的发生，一旦发现泄密事件发生，对单位的损失已经造成，因此此类产品的安全作用有限。
　　2．文档加密系统
　　文档加密系统采用一定的加密算法对文件进行加密，实现对各类电子文档内容级的安全保护，一般由客户端加解密软件和认证服务器构成。加密软件对重要文件如机密技术文件、设计图稿、会计账目、战略计划书、研究论文等进行加密，设置不同级别的使用权限。有的用户只拥有阅读的权限，有的用户拥有阅读、修改、打印等多种权限，具体的权限设计可由管理员或加密文件的拥有者进行设置。管理员可以控制终端用户对重要文件的读取、存储、复制、打印等，从而防止用户之间非法复制、外部发行、光盘拷贝，可以杜绝使用U盘、软盘、光盘、电子邮件等方式窃取企事业单位的电子文档。
　　文档加密可以实现对重要数据的加密保护，但是对网络、计算机、用户的管理不灵活，而且内网资源众多，需要分别进行权限的设置，管理难度大，尤其当用户权限发生频繁更换的时候，容易造成漏洞，此类产品并不利于单位内部信息的安全管理。
　　3．身份认证系统
　　用户认证系统采用各种认证方式实现用户的安全登陆和认证，独立于计算机原有的登陆系统，安全可靠性更高。一般由认证服务器和认证代理组成，有些产品提供认证令牌。认证服务器是网络中的认证引擎，由安全管理员或者网络管理员进行管理，主要用于令牌签发，安全策略的设置与实施，日志创建等；认证代理是一种专用代理软件，实施认证服务器建立的各种安全策略；认证令牌以硬件、软件或智能卡等多种形式向用户提供，用以确认用户身份，如果某个用户提供了一个正确的令牌码，就可以高度确信该用户是合法用户。目前这类产品主要实现了单一的用户身份识别，并不能实现对计算机的有效访问控制，比如用户离机锁定、使用权限等，其应用范围相对有限。
　　上述三类产品在一定程度上或某个方面解决了内网信息安全问题，并没有实现计算机、用户、策略三个方面的全面防护。
三、新型的内网安全产品关键性能探讨
　　随着技术的发展，内网对信息安全的要求越来越高，内网安全产品不应该只是解决单方面的问题，应该从用户身份认证、计算机安全性、网络通信安全性、数据自身安全性、外设安全管理、综合安全审计等方面提供一整套完善的解决方案（见图2），对数据的存储、传输和使用在整个生命周期内进行控制、保护和审计，确保数据的完整性和保密性，从而防止敏感信息泄漏，为企事业单位构建可信可控的内部网络。

图2 新型的内网安全产品设计框架

　　新型的内网安全产品关键性能包括如下。
　　1．信息数据网络传送强制加密，控制所有的网络通信，有效防止网内恶意侦听以及非法外联和非法接入
　　由于计算机通信协议本身设计上没有考虑安全性，是一个完全开放的协议，使得其网络传输数据能够被任意截获。为确保内网信息安全，必须要解决局域网任意两台机器之间进行通信时数据的安全性问题，内网安全产品应实现网络传输的强制加密，任意两台计算机间的通信密钥都是不一样的，这有效防止了网内使用恶意侦听软件的行为。同时，如果内部网络的计算机通过Modem、ADSL拨号或者双网卡等多种方式非法外联，由于其跟外部网络或者计算机间的网络数据封装格式的不同，将无法进行通信，有效防止了非法外联行为的发生。外部接入内部网络的计算机，无论是通过交换设备接入还是直接与内部网络计算机使用网络直连线连接，也都将无法联通，有效防止了非法接入行为的发生。
　　2．强制加密本地硬盘，有效防止硬盘丢失、多操作系统等造成数据泄密事件的发生
　　采用强加密算法对本地除系统盘外的所有本地磁盘数据加密，只能在内网安全产品启动的情况下才能正常使用本地磁盘。为了防止通过系统盘造成数据泄密，必须禁止向系统盘写入任何数据，包括安装任何新的应用程序；所有写入系统盘的数据，都被缓存在其它区域，一旦系统注销或者关闭，所有缓存数据将被清除。
　　加解密采用透明方式，在不影响用户使用习惯的前提下保证数据的安全性。所有本地磁盘保存的文件，都将被系统自动强制加密保存在磁盘中。在这样的情况下，即使磁盘被盗用或者丢失，都不会造成单位重要信息的泄密。由于采用了透明的加密技术，对用户和应用程序来说都不会有任何影响，也不会因为安全性的提高而影响用户的使用习惯。防止了因为硬盘丢失、多操作系统和光盘启动等造成的数据泄密事件的发生。
　　3．强化移动存储设备安全措施，防止泄密
　　通过管理员的注册、认证、授权后才能在设定的范围内按照设定的读写策略（如加密读写、只读、禁用等）进行使用，以实现对软盘、U盘和移动硬盘等便携式移动存储设备的有效管理。
　　当移动存储设备被注册为加密读写策略（或者设定默认未注册设备为加密读写策略）的时候，所有写入该移动存储设备的文件数据将被强制加密，只能在管理员设定的使用范围内正常使用。如果使用移动存储设备将这些数据携带到出此范围，将是毫无意义的加密数据，无法正常读写。这种方式有效地限定了数据的可用范围，对于用户来说，既可以享受移动存储设备共享数据的方便性，又可以实现有效地数据共享范围管理。
　　4．完善的身份认证授权体系，是安全系统的基础
　　应完全独立于计算机、网络系统原有的认证体系，采用软硬件相结合的多重认证体系，提高可靠性，并能够支持各类标准的CA服务器，使用方便，对原有的内网体系影响很小。同时，对所有外设、输入/输出端口及操作的授权管理，实现仅授权的人能操作授权的计算机，仅授权的磁盘、磁盘分区、外设、移动存储设备等能在授权的计算机上由授权的人使用，仅授权的输入和输出端口能被授权的人使用，为安全系统的可靠运行奠定基础。
　　总之，新型的内网信息安全产品要提供一种方便、有效、先进的内网信息安全管理控制技术和解决方案，解决内部网络的用户身份和计算机管理、网络信息保密等安全问题，达到外部入侵进不来、非法外接出不去、内外勾结拿不走、拿走东西看不懂的效果，有效防止机密敏感信息的泄漏，为企事业单位构建了一个可信可控的内网，确保“一切尽在掌控之中”。