當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 泛普各地 > 陜西OA系統(tǒng) > 西安OA系統(tǒng) > 西安OA快博
內(nèi)網(wǎng)安全技術(shù)分析與標(biāo)準(zhǔn)探討
申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114
文章來源:泛普軟件1.內(nèi)網(wǎng)安全現(xiàn)狀概述
進(jìn)入21世紀(jì)后,隨著國(guó)內(nèi)信息化程度的快速提高,內(nèi)網(wǎng)信息安全越來越多受到關(guān)注,內(nèi)網(wǎng)安全產(chǎn)品和廠商短短幾年內(nèi)大量涌現(xiàn)。但是,令人擔(dān)憂的是,雖然眾多的產(chǎn)品和廠商都以內(nèi)網(wǎng)安全的概念在提供服務(wù),但其中包含的實(shí)際技術(shù)和內(nèi)容卻千差萬別。這樣的情況,一方面對(duì)市場(chǎng)和用戶形成了誤導(dǎo),不利于解決用戶的實(shí)際內(nèi)網(wǎng)安全問題,造成投資浪費(fèi);另一方面也不利于創(chuàng)造良性的競(jìng)爭(zhēng)環(huán)境,阻遏了內(nèi)網(wǎng)安全市場(chǎng)的發(fā)展。鑒于此,有必要對(duì)內(nèi)網(wǎng)安全進(jìn)行成體系的理論探討,形成統(tǒng)一的共識(shí)和標(biāo)準(zhǔn),這樣才能讓內(nèi)網(wǎng)安全產(chǎn)品和廠商真正滿足用戶的需求,解決用戶的實(shí)際問題,推動(dòng)國(guó)家信息化的發(fā)展。
2.內(nèi)網(wǎng)安全問題的本質(zhì)探討
2.1.內(nèi)網(wǎng)安全問題的形成原因
內(nèi)網(wǎng)安全問題的提出跟國(guó)家信息化的進(jìn)程息息相關(guān),信息化程度的提高,使得內(nèi)部信息網(wǎng)絡(luò)具備了以下三個(gè)特點(diǎn):
1)隨著ERP、OA和CAD等生產(chǎn)和辦公系統(tǒng)的普及,單位的日程運(yùn)轉(zhuǎn)對(duì)內(nèi)部信息網(wǎng)絡(luò)的依賴程度越來越高,內(nèi)網(wǎng)信息網(wǎng)絡(luò)已經(jīng)成了各個(gè)單位的生命線,對(duì)內(nèi)網(wǎng)穩(wěn)定性、可靠性和可控性提出高度的要求。
2)內(nèi)部信息網(wǎng)絡(luò)由大量的終端、服務(wù)器和網(wǎng)絡(luò)設(shè)備組成,形成了統(tǒng)一有機(jī)的整體,任何一個(gè)部分的安全漏洞或者問題,都可能引發(fā)整個(gè)網(wǎng)絡(luò)的癱瘓,對(duì)內(nèi)網(wǎng)各個(gè)具體部分尤其是數(shù)量巨大的終端可控性和可靠性提出前所未有的要求。
3)由于生產(chǎn)和辦公系統(tǒng)的電子化,使得內(nèi)部網(wǎng)絡(luò)成為單位信息和知識(shí)產(chǎn)權(quán)的主要載體,傳統(tǒng)的對(duì)信息的控制管理手段不再使用,新的信息管理控制手段成為關(guān)注的焦點(diǎn)。
上述三個(gè)問題,都是依賴于內(nèi)網(wǎng),與內(nèi)網(wǎng)的安全緊密相連的,內(nèi)網(wǎng)安全受到廣泛的高度重視也就不以為奇。
2.2.內(nèi)網(wǎng)安全問題的威脅模型
相對(duì)于內(nèi)網(wǎng)安全概念,傳統(tǒng)意義上的網(wǎng)絡(luò)安全更加為人所熟知和理解,事實(shí)上,從本質(zhì)來說,傳統(tǒng)網(wǎng)絡(luò)安全考慮的是防范外網(wǎng)對(duì)內(nèi)網(wǎng)的攻擊,即可以說是外網(wǎng)安全,包括傳統(tǒng)的防火墻、入侵檢察系統(tǒng)和VPN都是基于這種思路設(shè)計(jì)和考慮的。外網(wǎng)安全的威脅模型假設(shè)內(nèi)部網(wǎng)絡(luò)都是安全可信的,威脅都來自于外部網(wǎng)絡(luò),其途徑主要通過內(nèi)外網(wǎng)邊界出口。所以,在外網(wǎng)安全的威脅模型假設(shè)下,只要將網(wǎng)絡(luò)邊界處的安全控制措施做好,就可以確保整個(gè)網(wǎng)絡(luò)的安全。
而內(nèi)網(wǎng)安全的威脅模型與外網(wǎng)安全模型相比,更加全面和細(xì)致,它即假設(shè)內(nèi)網(wǎng)網(wǎng)絡(luò)中的任何一個(gè)終端、用戶和網(wǎng)絡(luò)都是不安全和不可信的,威脅既可能來自外網(wǎng),也可能來自內(nèi)網(wǎng)的任何一個(gè)節(jié)點(diǎn)上。所以,在內(nèi)網(wǎng)安全的威脅模型下,需要對(duì)內(nèi)部網(wǎng)絡(luò)中所有組成節(jié)點(diǎn)和參與者的細(xì)致管理,實(shí)現(xiàn)一個(gè)可管理、可控制和可信任的內(nèi)網(wǎng)。由此可見,相比于外網(wǎng)安全,內(nèi)網(wǎng)安全具有以下特點(diǎn):
1)要求建立一種更加全面、客觀和嚴(yán)格的信任體系和安全體系;
2)要求建立更加細(xì)粒度的安全控制措施,對(duì)計(jì)算機(jī)終端、服務(wù)器、網(wǎng)絡(luò)和使用者都進(jìn)行更加具有針對(duì)性的管理;
3)要求對(duì)信息進(jìn)行生命周期的完善管理。
3.現(xiàn)有內(nèi)網(wǎng)安全產(chǎn)品和技術(shù)分析
自從內(nèi)網(wǎng)安全概念提出到現(xiàn)在,有眾多的廠商紛紛發(fā)布自己的內(nèi)網(wǎng)安全解決方案,由于缺乏標(biāo)準(zhǔn),這些產(chǎn)品和技術(shù)各不相同,但是總結(jié)起來,應(yīng)該包括監(jiān)控審計(jì)類、桌面管理類、文檔加密類、文件加密類和磁盤加密類等。下面分別對(duì)這些產(chǎn)品和技術(shù)類型的特性做了簡(jiǎn)單的分析和說明。
3.1.監(jiān)控審計(jì)類
監(jiān)控審計(jì)類產(chǎn)品是最早出現(xiàn)的內(nèi)網(wǎng)安全產(chǎn)品, 50%以上的內(nèi)網(wǎng)安全廠商推出的內(nèi)網(wǎng)安全產(chǎn)品都是監(jiān)控審計(jì)類的。監(jiān)控審計(jì)類產(chǎn)品主要對(duì)計(jì)算機(jī)終端訪問網(wǎng)絡(luò)、應(yīng)用使用、系統(tǒng)配置、文件操作以及外設(shè)使用等提供集中監(jiān)控和審計(jì)功能,并可以生成各種類型的報(bào)表。
監(jiān)控審計(jì)產(chǎn)品一般基于協(xié)議分析、注冊(cè)表監(jiān)控和文件監(jiān)控等技術(shù),具有實(shí)現(xiàn)簡(jiǎn)單和開發(fā)周期短的特點(diǎn),能夠在內(nèi)網(wǎng)發(fā)生安全事件后,提供有效的證據(jù),實(shí)現(xiàn)事后審計(jì)的目標(biāo)。監(jiān)控審計(jì)類產(chǎn)品的缺點(diǎn)是不能做到事情防范,不能從根本上實(shí)現(xiàn)提高內(nèi)網(wǎng)的可控性和可管理性。
3.2.桌面管理類
桌面管理類產(chǎn)品主要針對(duì)計(jì)算機(jī)終端實(shí)現(xiàn)一定的集中管理控制策略,包括外設(shè)管理、應(yīng)用程序管理、網(wǎng)絡(luò)管理、資產(chǎn)管理以及補(bǔ)丁管理等功能,這類型產(chǎn)品通常跟監(jiān)控審計(jì)產(chǎn)品有類似的地方,也提供了相當(dāng)豐富的審計(jì)功能,
桌面監(jiān)控審計(jì)類產(chǎn)品除了使用監(jiān)控審計(jì)類產(chǎn)品的技術(shù)外,還可能需要對(duì)針對(duì)Windows系統(tǒng)使用鉤子技術(shù),對(duì)資源進(jìn)行控制,總體來說,技術(shù)難度也不是很大。桌面監(jiān)控審計(jì)類產(chǎn)品實(shí)現(xiàn)了對(duì)計(jì)算機(jī)終端資源的有效管理和授權(quán),其缺點(diǎn)不能實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)信息數(shù)據(jù)提供有效的控制。
3.3.文檔加密類
文檔加密類產(chǎn)品也是內(nèi)網(wǎng)安全產(chǎn)品中研發(fā)廠商相對(duì)較多的內(nèi)網(wǎng)安全產(chǎn)品類型,其主要解決特定格式主流文檔的權(quán)限管理和防泄密問題,可以部分解決專利資料、財(cái)務(wù)資料、設(shè)計(jì)資料和圖紙資料的泄密問題。
文檔加密技術(shù)一般基于文件驅(qū)動(dòng)和應(yīng)用程序的API鉤子技術(shù)結(jié)合完成,具有部署靈活的特點(diǎn)。但是,因?yàn)槲臋n加密技術(shù)基于文件驅(qū)動(dòng)鉤子、臨時(shí)文件和API鉤子技術(shù),也具有軟件兼容性差、應(yīng)用系統(tǒng)適應(yīng)性差、安全性不高以及維護(hù)升級(jí)工作量大的缺點(diǎn)。
3.4.文件加密類
文件加密類產(chǎn)品類型繁多,有針對(duì)單個(gè)文件加密,也有針對(duì)文件目錄的加密,但是總體來說,基本上是提供了一種用戶主動(dòng)的文件保護(hù)措施。
文件加密類產(chǎn)品主要基于文件驅(qū)動(dòng)技術(shù),不針對(duì)特定類型文檔,避免了文檔加密類產(chǎn)品兼容性差等特點(diǎn),但是由于其安全性主要依賴于使用者的喜好和習(xí)慣,難以實(shí)現(xiàn)對(duì)數(shù)據(jù)信息的強(qiáng)制保護(hù)和控制。
3.5.磁盤加密類
磁盤加密類產(chǎn)品在磁盤驅(qū)動(dòng)層對(duì)部分或者全部扇區(qū)進(jìn)行加密,對(duì)所有文件進(jìn)行強(qiáng)制的保護(hù),結(jié)合用戶或者客戶端認(rèn)證技術(shù),實(shí)現(xiàn)對(duì)磁盤數(shù)據(jù)的全面保護(hù)。
磁盤加密技術(shù)由于基于底層的磁盤驅(qū)動(dòng)和內(nèi)核驅(qū)動(dòng)技術(shù),具有技術(shù)難度高、研發(fā)周期長(zhǎng)的特點(diǎn)。此外,由于磁盤加密技術(shù)對(duì)于上層系統(tǒng)、數(shù)據(jù)和應(yīng)用都是透明的,要實(shí)現(xiàn)比較好的效果,必須結(jié)合其它內(nèi)網(wǎng)安全管理控制措施。
4.構(gòu)建完整的內(nèi)網(wǎng)安全體系
從前面的介紹可以看出,上述的內(nèi)網(wǎng)安全產(chǎn)品,都僅僅解決了內(nèi)網(wǎng)安全部分的問題,并且由于其技術(shù)的限制,存在各自的缺點(diǎn)。事實(shí)上,要真正構(gòu)建一個(gè)可管理、可信任和可控制的內(nèi)網(wǎng)安全體系,應(yīng)該統(tǒng)一規(guī)劃,綜合上述各種技術(shù)的優(yōu)勢(shì),構(gòu)建整體一致的內(nèi)網(wǎng)安全管理平臺(tái)。根據(jù)上述分析和內(nèi)網(wǎng)安全的特點(diǎn),一個(gè)整體一致的內(nèi)網(wǎng)安全體系,應(yīng)該包括身份認(rèn)證、授權(quán)管理、數(shù)據(jù)保密和監(jiān)控審計(jì)四個(gè)方面,并且,這四個(gè)方面應(yīng)該是緊密結(jié)合、相互聯(lián)動(dòng)的統(tǒng)一平臺(tái),才能達(dá)到構(gòu)建可信、可控和可管理的安全內(nèi)網(wǎng)的效果。
身份認(rèn)證是內(nèi)網(wǎng)安全管理的基礎(chǔ),不確認(rèn)實(shí)體的身份,進(jìn)一步制定各種安全管理策略也就無從談起。內(nèi)網(wǎng)的身份認(rèn)證,必須全面考慮所有參與實(shí)體的身份確認(rèn),包括服務(wù)器、客戶端、用戶和主要設(shè)備等。其中,客戶端和用戶的身份認(rèn)證尤其要重點(diǎn)關(guān)注,因?yàn)樗麄兙哂袛?shù)量大、環(huán)境不安全和變化頻繁的特點(diǎn)。授權(quán)管理是以身份認(rèn)證為基礎(chǔ)的,其主要對(duì)內(nèi)部信息網(wǎng)絡(luò)各種信息資源的使用進(jìn)行授權(quán),確定“誰”能夠在那些“計(jì)算機(jī)終端或者服務(wù)器”使用什么樣的“資源和權(quán)限”。授權(quán)管理的信息資源應(yīng)該盡可能全面,應(yīng)該包括終端使用權(quán)、外設(shè)資源、網(wǎng)絡(luò)資源、文件資源、服務(wù)器資源和存儲(chǔ)設(shè)備資源等。
數(shù)據(jù)保密是內(nèi)網(wǎng)信息安全的核心,其實(shí)質(zhì)是要對(duì)內(nèi)網(wǎng)信息流和數(shù)據(jù)流進(jìn)行全生命周期的有效管理,構(gòu)建信息和數(shù)據(jù)安全可控的使用、存儲(chǔ)和交換環(huán)境,從而實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)核心數(shù)據(jù)的保密和數(shù)字知識(shí)產(chǎn)權(quán)的保護(hù)。由于信息和數(shù)據(jù)的應(yīng)用系統(tǒng)和表現(xiàn)方式多種多樣,所以要求數(shù)據(jù)保密技術(shù)必須具有通用性和應(yīng)用無關(guān)性。監(jiān)控審計(jì)是內(nèi)網(wǎng)安全不可缺少的輔助部分,可以實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)安全狀態(tài)的實(shí)時(shí)監(jiān)控,提供內(nèi)網(wǎng)安全狀態(tài)的評(píng)估報(bào)告,并在發(fā)生內(nèi)網(wǎng)安全事件后實(shí)現(xiàn)有效的取證。需要再次強(qiáng)調(diào)的是,上述四個(gè)方面,必須是整體一致的,如果只簡(jiǎn)單實(shí)現(xiàn)其中一部分,或者只是不同產(chǎn)品的簡(jiǎn)單堆砌,都難以建立和實(shí)現(xiàn)有效內(nèi)網(wǎng)安全管理體系。
5.結(jié)論
內(nèi)網(wǎng)安全已經(jīng)成為信息安全的新熱點(diǎn),其技術(shù)和標(biāo)準(zhǔn)也在成熟和演進(jìn)過程中,我們有理由相信,隨著用戶對(duì)內(nèi)網(wǎng)安全認(rèn)識(shí)的加深,用戶內(nèi)網(wǎng)安全管理制度的晚上,整體一致的內(nèi)網(wǎng)安全解決方案和體系建設(shè)將成為內(nèi)網(wǎng)安全的主要發(fā)展趨勢(shì)。(北京富媒天音文化傳播有限公司提供)
- 1重慶OA快博
- 2貴陽(yáng)OA快博
- 3廣州OA快博
- 4深圳OA快博
- 5長(zhǎng)沙OA快博
- 6廈門OA快博
- 7濟(jì)南OA快博
- 8太原OA快博
- 9上海OA快博
- 10沈陽(yáng)OA快博
- 11長(zhǎng)春OA快博
- 12哈爾濱OA快博
- 1緬軍炮彈損毀云南盈江民居 戰(zhàn)機(jī)兩次進(jìn)中國(guó)領(lǐng)空
- 29大安全悖論
- 3ILM走俏2007
- 4技術(shù)突破還是信息安全的末日
- 5三大主流ETL工具選型
- 6比亞迪速銳開門紅 累計(jì)銷量達(dá)到18519臺(tái)
- 7網(wǎng)絡(luò)電話應(yīng)用中對(duì)H.323的移動(dòng)擴(kuò)展
- 8企業(yè)信息化大講堂之路由器基礎(chǔ)知識(shí)
- 9淺談安全管理平臺(tái)標(biāo)準(zhǔn)及其應(yīng)用
- 10美天文學(xué)家:朝鮮衛(wèi)星已變成死衛(wèi)星
- 11最成功的創(chuàng)業(yè)者都是20出頭的年輕人?
- 12重慶打黑至少?zèng)]收數(shù)百億資產(chǎn) 去向成謎 -3
- 13用“諾貝爾倫理”貶低莫言是自以為是
- 14網(wǎng)絡(luò)交換技術(shù)的發(fā)展現(xiàn)狀
- 15數(shù)據(jù)中心建設(shè)勁吹綠色風(fēng)
- 16兩大用戶的VPN部署經(jīng)驗(yàn)
- 17視頻監(jiān)控系統(tǒng)評(píng)價(jià)十準(zhǔn)則
- 18獨(dú)家:公用存儲(chǔ) 企業(yè)存儲(chǔ)領(lǐng)域的發(fā)展遠(yuǎn)景
- 19開源的道路 Intel解剖開源商業(yè)模式
- 20中非叛軍威脅進(jìn)攻首都 美國(guó)宣布撤出使館人員
- 21流媒體業(yè)務(wù)模型及其傳輸
- 222013年南京家裝市場(chǎng)剛需裝修仍占主導(dǎo)地位
- 23雙因素認(rèn)證遭遇“中間人攻擊”
- 24軟件開發(fā)技術(shù)的突破性進(jìn)展
- 25五市六縣違法用地問題突出 負(fù)責(zé)人被國(guó)土部約談
- 26計(jì)世獨(dú)家:云計(jì)算構(gòu)建基于互聯(lián)網(wǎng)的應(yīng)用
- 27十八大后十省調(diào)整黨委書記 呈年輕化和高學(xué)歷化
- 28泛普OA系統(tǒng)允許增加四種類型計(jì)算方式
- 29香港示威者升殖民地時(shí)期旗幟自稱非中國(guó)人(圖)
- 30計(jì)世獨(dú)家:專業(yè)IDC更“綠色”
成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓