Board logo

标题: 内网安全如何能“安全”? [打印本页]

作者: 黄奇斌    时间: 2007-12-5 15:03     标题: 内网安全如何能“安全”?

企业内网安全解决方案
1、 内网信息安全概述
随着信息技术特别是网络技术的发展,网络在人们的日常工作中发挥着越来越重要的作用。目前,大部分的企业或机关单位都组建了内部的局域网,实现了资源共享,在方便信息传递的同时,极大地提高了工作效率。内网已成为企事业单位日常工作不可或缺的重要组成部分。
内网开放共享的特点,使得分布在各台主机中的重要信息资源处于一种高风险的状态,很容易受到来自系统内部和外部的非法访问。而根据FBI和CSI对484家公司进行的网络安全专项调查结果显示:超过85%的安全威胁来自公司内部,在损失金额上,由于内部人员泄密导致了6056.5万美元的损失,是黑客造成损失的16倍,是病毒造成损失的12倍。另据中国国家信息安全测评认证中心调查,信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪,而非病毒和外来黑客引起。
根据我们的总结分析,来自内部的安全威胁主要有以下几类:

? 窃取者将自己的计算机通过内网网络交换设备或者直连网线非法接入内网或者计算机终端,窃取内网重要数据;
? 窃取者直接利用局域网中的某一台主机,通过网络攻击或欺骗的手段,非法取得其他主机甚至是某台网络服务器的重要数据;
? 内部员工将只允许在局域网内部使用的数据通过磁盘复制、打印、非法拨号外联等手段泄漏到单位外部;
? 内部人员窃取管理员用户名和密码,非法进入单位重要的业务和应用服务器获取内部重要数据。

这些安全威胁不是防火墙、入侵检测和防病毒等传统安全手段所能解决的。应该看到信息安全要立足于终端,从源头抓起,才能从根本上解决安全问题;同时信息安全也要和应用系统紧密结合,才能做到有的放矢,真正有效地满足我国各行业的迫切需求。
2、 内网信息安全产品现状
目前市场上存在诸多的内网信息安全产品,主要有两类:监控审计系统和文档加密系统。其中:
? 监控和审计系统:这类系统虽然提供了一定的网络控制功能,但其重点是对网络数据进行记录和审计,因此并不能很好地阻止单位信息泄密事件的发生。一旦泄密事件发生,对单位已经造成损失,此类产品的安全作用有限。
? 文档加密系统:这类系统主要是采用各种加密软件实现对计算机数据的加密,但是其对网络、计算机、用户的管理不灵活,而且内网资源众多,需要分别进行权限的设置,管理难度大,尤其当用户权限发生频繁更换的时候,容易造成漏洞。此类产品并不利于单位内部信息的安全管理。

对于前面提到的内网所面临的潜在威胁,这两类产品还缺乏行之有效的应对方法。针对这种情况,按照防内为主、内外兼防的思路,公司专门设计研发了具备国际先进水平的Chinasec可信网络安全平台系列产品,为企事业单位提供了一种方便有效的解决方案和管理模式,较彻底的解决了企业内网信息安全问题。
Chinasec可信网络安全产品体系通过主动加密、事前控制、事中监视、事后审计四种手段相结合,可以达到外部入侵进不来、非法外接出不去、内外勾结拿不走、拿走东西看不懂的效果,有效防止机密敏感信息的泄漏,为企事业单位构建了一个可信可控的内网,确保“一切尽在掌控之中”。
安元可信网络安全平台已经通过公安部、中办机要局、国家保密局、民品军用等权威机构的评审认定,为国内重点推介的安全保密系统。
3、 Chinasec可信网络安全产品介绍
Chinasec可信网络安全产品是基于内网安全和可信计算理论研发的安全管理产品,以密码技术为支撑,以数据安全为核心,以身份认证为基础,可灵活全面地定制并实施各种安全策略,实现对内网中用户、计算机和信息的安全管理,达到有效的用户身份管理、计算机设备管理、数据安全保密存储和防止机密信息泄漏等目标。
Chinasec可信网络安全平台系列产品是在Chinasec可信网络安全平台的基础上,由四个系统组成的,分别是:安元(Chinasec)可信网络认证系统(TIS)、安元(Chinasec)可信网络保密系统(VCN)、安元(Chinasec)可信网络监控系统(MGT)和安元(Chinasec)可信数据管理系统(DMS)。这四个系统均采用模块化设计,既可以单独使用,又可以根据用户特殊需求进行灵活的模块再组合,非常方便。
Chinasec可信网络安全平台系列产品注重从信息的源头开始抓安全,对信息的交换通道全面保护,从而达到信息的全程安全,主要有以下几方面的特点。

? 对内网原网络系统性能影响小。此产品体系完全基于TCP/IP协议网络,不需要改变现有网络结构,支持远程管理,对原系统的性能影响很小。
? 所有外设、输入/输出端口及操作都必须经过授权。仅授权的人能操作授权的计算机,仅授权的磁盘、磁盘分区、外设、移动存储设备等能在授权的计算机上由授权的人使用,仅授权的输入/出端口能由授权的人使用。
? 透明加密存储,对终端用户的正常使用无影响。根据用户需求进行文件加密、文件夹加密、磁盘加密、移动存储设备加密。
? 可满足文件安全传输的需要。对文件或者文件夹进行加密,选定接收文件的用户或者用户组,加密文件可以通过网络或者存储设备等进行交换传输,只有指定的用户使用硬件USB令牌才能打开和阅读被加密的文件,文件传输安全强度高。
? 实现对FTP用户的严格控制管理。针对网络中FTP服务器访问进行授权管理,将FTP用户名和用户的硬件USB令牌绑定,防止非法用户访问,对合法用户访问进行内容级别审计。
? 可在内网中将机器分为涉密区和非涉密区,机器的工作模式分为普通模式和工作模式,工作模式的数据为涉密区的信息;子网内进入工作模式的计算机间进行加密通信,并可与经过认证的存储设备进行数据交换;未经允许,子网间不能进行通信,也不能通过存储设备交换数据;非法接入的外来计算机不能跟保密子网内部的计算机进行通信。
? 既可实现用户使用互联网的需求,又能够有效地对核心数据进行保密。用户登录普通模式时,可接入互联网,但不能接入到单位内部受管理的数据服务器和业务系统之中;切换到工作模式后,即进入保密数据工作环境,此时只能接入单位内网受管理的数据服务器和业务系统,同时将自动切断除内部系统之外的所有网络通信,为用户构造了一个安全的客户端数据使用环境。
? 可建立安全服务器区。使用安全网关,可以建立安全服务器区(OA服务器、文件服务器等),仅有经过管理员允许的计算机才能访问此安全服务器区,其他任何计算机包括非法接入的计算机都不能访问,从而保护服务器不被非法计算机访问,防止非法接入和机密信息泄密。
? 可设立开放服务器区:对于需要向公共网络和内部网络同时公开服务的服务器,可以设定开放服务器区,在该区的服务器,外部公共网络可以访问,内部的网络经过管理员允许通过转发网关也能够访问,同时可以保证内部网络的计算机不能访问外部除公开服务器区外的公共网络。
? 能够实时监视各终端用户:实时监视计算机终端的各种操作。
? 可靠审计:记录各种可能导致信息泄露的操作,以便在必要时进行追查。
? 可扩展性:主要考虑员工身份统一管理认证的需求,以及使用第三方数字证书的兼容性;应用系统数字签名的可能性;新应用系统要求的支持等。
? 能够实时监视各终端用户:实时监视计算机终端的各种操作。
? 可靠审计:记录各种可能导致信息泄露的操作,以便在必要时进行追查。


客户经理:黄奇斌 M-TEL:13727096096  QQ:272765




欢迎光临 黑色海岸线论坛 (http://bbs.thysea.com/) Powered by Discuz! 7.2