計(jì)算機(jī)信息安全

網(wǎng)絡(luò)信息安全專題信息安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及數(shù)據(jù)受到保護(hù)，不受偶然或惡意的破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。信息安全涉及到個(gè)人權(quán)益、企業(yè)生存、金融風(fēng)險(xiǎn)防范、社會(huì)穩(wěn)定和國(guó)家安全的大事。它是物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息內(nèi)容安全、信息基礎(chǔ)設(shè)施安全與公共、國(guó)家信息安全的總和。信息安全問(wèn)題已經(jīng)成為互聯(lián)網(wǎng)發(fā)展中無(wú)法回避的核心問(wèn)題。為實(shí)現(xiàn)網(wǎng)絡(luò)安全，多數(shù)企業(yè)已經(jīng)采取了防病毒、防火墻、入侵檢測(cè)、數(shù)據(jù)加密、身份認(rèn)證等多種安全手段，然而企業(yè)的安全架構(gòu)在新一代攻擊手段面前依然十分脆弱，頻頻受到攻擊。目前的網(wǎng)絡(luò)安全技術(shù)只是針對(duì)個(gè)別安全問(wèn)題，企業(yè)需要構(gòu)造一個(gè)能徹底解決網(wǎng)絡(luò)安全問(wèn)題的平臺(tái)，可以自動(dòng)、智能地對(duì)企業(yè)進(jìn)行管理，從而使企業(yè)的安全管理更加規(guī)范化。同時(shí)，企業(yè)也需要這樣一套解決方案，首先它能夠清楚地幫用戶了解企業(yè)內(nèi)部的通信行為模式，其次幫助用戶根據(jù)這些行為模式制訂出相應(yīng)的安全策略，最后便于用戶將這套策略強(qiáng)制實(shí)施到企業(yè)網(wǎng)絡(luò)的每一個(gè)角落。下面我們分幾個(gè)方面來(lái)對(duì)信息安全技術(shù)展開(kāi)討論：內(nèi)網(wǎng)安全與外網(wǎng)安全的區(qū)別傳統(tǒng)網(wǎng)絡(luò)安全考慮的是防范外網(wǎng)對(duì)內(nèi)網(wǎng)的攻擊，即可以說(shuō)是外網(wǎng)安全。外網(wǎng)安全的威脅模型假設(shè)內(nèi)部網(wǎng)絡(luò)都是安全可信的，威脅都來(lái)自于外部網(wǎng)絡(luò)，其途徑主要通過(guò)內(nèi)外網(wǎng)邊界出口。所以，在外網(wǎng)安全的威脅模型假設(shè)下，只要將網(wǎng)絡(luò)邊界處的安全控制措施做好，就可以確保整個(gè)網(wǎng)絡(luò)的安全。

內(nèi)網(wǎng)安全的威脅模型與外網(wǎng)安全模型相比，更加全面和細(xì)致。假設(shè)內(nèi)網(wǎng)網(wǎng)絡(luò)中的任何一個(gè)終端、用戶和網(wǎng)絡(luò)都是不安全和不可信的，威脅既可能來(lái)自外網(wǎng)，也可能來(lái)自內(nèi)網(wǎng)的任何—個(gè)節(jié)點(diǎn)上。所以，在內(nèi)網(wǎng)安全的威脅模型下，需要對(duì)內(nèi)部網(wǎng)絡(luò)中所有組成節(jié)點(diǎn)和參與者進(jìn)行細(xì)致的管理，實(shí)現(xiàn)—個(gè)可管理、可控制和可信任的內(nèi)網(wǎng)。

由此可見(jiàn)，相比于外網(wǎng)安全，內(nèi)網(wǎng)安全具有以下特點(diǎn)：（1）要求建立一種更加全面、客觀和嚴(yán)格的信任體系和安全體系。（2）要求建立更加細(xì)粒度的安全控制措施，對(duì)計(jì)算機(jī)終端、服務(wù)器、網(wǎng)絡(luò)和使用者都進(jìn)行更加具有針對(duì)性的管理。（3）對(duì)信息進(jìn)行生命周期的完善管理。正如《內(nèi)網(wǎng)安全初探》一文中的闡述，傳統(tǒng)的網(wǎng)絡(luò)安全更多地考慮防范外網(wǎng)對(duì)內(nèi)網(wǎng)的攻擊，也就是所謂的外網(wǎng)安全。所以，目前提及的“網(wǎng)絡(luò)安全”，在多數(shù)情況下會(huì)被單一地理解成外網(wǎng)安全，而事實(shí)上根據(jù)網(wǎng)絡(luò)可以被分為外網(wǎng)和內(nèi)網(wǎng)的特性，網(wǎng)絡(luò)安全應(yīng)該是同時(shí)涵蓋外網(wǎng)安全及內(nèi)網(wǎng)安全的一個(gè)整合概念。

而信息安全，就是一個(gè)更加寬泛的概念。根據(jù)國(guó)際信息安全管理標(biāo)準(zhǔn)BS7799，即國(guó)際標(biāo)準(zhǔn)ISO17799，信息安全管理工作應(yīng)當(dāng)涉及十個(gè)項(xiàng)目，具體參見(jiàn)圖一[1]：

根據(jù)百度百科闡述，“IT”意為informationtechnology，即信息技術(shù)。其中涵蓋有三個(gè)層次：第一層是指硬件，主要指數(shù)據(jù)存儲(chǔ)、處理和傳輸?shù)闹鳈C(jī)和網(wǎng)絡(luò)通信設(shè)備；第二層是指軟件，包括可用來(lái)搜集、存儲(chǔ)、檢索、分析、應(yīng)用、評(píng)估信息的各種軟件，它包括我們通常所指的ERP、CRM、SCM等商用管理軟件，也包括用來(lái)加強(qiáng)流程管理的WF管理軟件、輔助分析的DW/DM軟件等；第三層是指應(yīng)用，指搜集、存儲(chǔ)、檢索、分析、應(yīng)用、評(píng)估使用各種信息，包括應(yīng)用ERP、CRM、SCM等軟件直接輔助決策，也包括利用其它決策分析模型或借助DW/DM等技術(shù)手段來(lái)進(jìn)一步提高分析的質(zhì)量，輔助決策者作決策。

另一方面，IT在應(yīng)用上的構(gòu)成，雖然業(yè)界有著各自不同的解釋，但是其中存在一種普遍被認(rèn)可的觀點(diǎn)。即IT由傳感技術(shù)、通信技術(shù)和計(jì)算器技術(shù)三部分共同組成，具體如下：

(1)傳感技術(shù):這是人的感覺(jué)器官的延伸與拓展，最明顯的例子是條碼閱讀器；(2)通信技術(shù):這是人的神經(jīng)系統(tǒng)的延伸與拓展，承擔(dān)傳遞信息的功能；(3)計(jì)算機(jī)技術(shù):這是人的大腦功能延伸與拓展，承擔(dān)對(duì)信息進(jìn)行處理的功能。

由此，可以發(fā)現(xiàn)，信息安全除了包括計(jì)算機(jī)信息安全外，還應(yīng)當(dāng)涵蓋傳感技術(shù)和通信技術(shù)所涉及的領(lǐng)域。事實(shí)上，它是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。

總的說(shuō)來(lái)，我們簡(jiǎn)化地理解，內(nèi)網(wǎng)安全從屬于網(wǎng)絡(luò)安全和信息安全，前者是更為具體細(xì)致的概念，后者則是更為概括寬泛的概念。

應(yīng)對(duì)企業(yè)內(nèi)網(wǎng)安全挑戰(zhàn)的10種策略這10種策略即是內(nèi)網(wǎng)的防御策略，同時(shí)也是一個(gè)提高大型企業(yè)網(wǎng)絡(luò)安全的策略。1、注意內(nèi)網(wǎng)安全與網(wǎng)絡(luò)邊界安全的不同

內(nèi)網(wǎng)安全的威脅不同于網(wǎng)絡(luò)邊界的威脅。網(wǎng)絡(luò)邊界安全技術(shù)防范來(lái)自Internet上的攻擊，主要是防范來(lái)自公共的網(wǎng)絡(luò)服務(wù)器如HTTP或SMTP的攻擊。網(wǎng)絡(luò)邊界防范(如邊界防火墻系統(tǒng)等)減小了資深黑客僅僅只需接入互聯(lián)網(wǎng)、寫(xiě)程序就可訪問(wèn)企業(yè)網(wǎng)的幾率。

內(nèi)網(wǎng)安全威脅主要源于企業(yè)內(nèi)部。惡性的黑客攻擊事件一般都會(huì)先控制局域網(wǎng)絡(luò)內(nèi)部的一臺(tái)Server，然后以此為基地，對(duì)Internet上其他主機(jī)發(fā)起惡性攻擊。因此，應(yīng)在邊界展開(kāi)黑客防護(hù)措施，同時(shí)建立并加強(qiáng)內(nèi)網(wǎng)防范策略。2、限制VPN的訪問(wèn)

虛擬專用網(wǎng)(VPN)用戶的訪問(wèn)對(duì)內(nèi)網(wǎng)的安全造成了巨大的威脅。因?yàn)樗鼈儗⑷趸淖烂娌僮飨到y(tǒng)置于企業(yè)防火墻的防護(hù)之外。很明顯VPN用戶是可以訪問(wèn)企業(yè)內(nèi)網(wǎng)的。

因此要避免給每一位VPN用戶訪問(wèn)內(nèi)網(wǎng)的全部權(quán)限。這樣可以利用登錄控制權(quán)限列表來(lái)限制VPN用戶的登錄權(quán)限的級(jí)別，即只需賦予他們所需要的訪問(wèn)權(quán)限級(jí)別即可，如訪問(wèn)郵件服務(wù)器或其他可選擇的網(wǎng)絡(luò)資源的權(quán)限。

3、為合作企業(yè)網(wǎng)建立內(nèi)網(wǎng)型的邊界防護(hù)

合作企業(yè)網(wǎng)也是造成內(nèi)網(wǎng)安全問(wèn)題的一大原因。例如安全管理員雖然知道怎樣利用實(shí)際技術(shù)來(lái)完固防火墻，保護(hù)MS-SQL，但是Slammer蠕蟲(chóng)仍能侵入內(nèi)網(wǎng)，這就是因?yàn)槠髽I(yè)給了他們的合作伙伴進(jìn)入內(nèi)部資源的訪問(wèn)權(quán)限。由此，既然不能控制合作者的網(wǎng)絡(luò)安全策略和活動(dòng)，那么就應(yīng)該為每一個(gè)合作企業(yè)創(chuàng)建一個(gè)DMZ，并將他們所需要訪問(wèn)的資源放置在相應(yīng)的DMZ中，不允許他們對(duì)內(nèi)網(wǎng)其他資源的訪問(wèn)。

4、自動(dòng)跟蹤的安全策略

智能的自動(dòng)執(zhí)行實(shí)時(shí)跟蹤的安全策略是有效地實(shí)現(xiàn)網(wǎng)絡(luò)安全實(shí)踐的關(guān)鍵。它帶來(lái)了商業(yè)活動(dòng)中一大改革，極大的超過(guò)了手動(dòng)安全策略的功效。商業(yè)活動(dòng)的現(xiàn)狀需要企業(yè)利用一種自動(dòng)檢測(cè)方法來(lái)探測(cè)商業(yè)活動(dòng)中的各種變更，因此，安全策略也必須與相適應(yīng)。例如實(shí)時(shí)跟蹤企業(yè)員工的雇傭和解雇、實(shí)時(shí)跟蹤網(wǎng)絡(luò)利用情況并記錄與該計(jì)算機(jī)對(duì)話的文件服務(wù)器?？傊?，要做到確保每天的所有的活動(dòng)都遵循安全策略。5、關(guān)掉無(wú)用的網(wǎng)絡(luò)服務(wù)器

大型企業(yè)網(wǎng)可能同時(shí)支持四到五個(gè)服務(wù)器傳送e-mail，有的企業(yè)網(wǎng)還會(huì)出現(xiàn)幾十個(gè)其他服務(wù)器監(jiān)視SMTP端口的情況。這些主機(jī)中很可能有潛在的郵件服務(wù)器的攻擊點(diǎn)。因此要逐個(gè)中斷網(wǎng)絡(luò)服務(wù)器來(lái)進(jìn)行審查。若一個(gè)程序(或程序中的邏輯單元)作為一個(gè)window文件服務(wù)器在運(yùn)行但是又不具有文件服務(wù)器作用的，關(guān)掉該文件的共享協(xié)議。6、首先保護(hù)重要資源

若一個(gè)內(nèi)網(wǎng)上連了千萬(wàn)臺(tái)(例如30000臺(tái))機(jī)子，那么要期望保持每一臺(tái)主機(jī)都處于鎖定狀態(tài)和補(bǔ)丁狀態(tài)是非常不現(xiàn)實(shí)的。大型企業(yè)網(wǎng)的安全考慮一般都有擇優(yōu)問(wèn)題。這樣，首先要對(duì)服務(wù)器做效益分析評(píng)估，然后對(duì)內(nèi)網(wǎng)的每一臺(tái)網(wǎng)絡(luò)服務(wù)器進(jìn)行檢查、分類、修補(bǔ)和強(qiáng)化工作。必定找出重要的網(wǎng)絡(luò)服務(wù)器(例如實(shí)時(shí)跟蹤客戶的服務(wù)器)并對(duì)他們進(jìn)行限制管理。這樣就能迅速準(zhǔn)確地確定企業(yè)最重要的資產(chǎn)，并做好在內(nèi)網(wǎng)的定位和權(quán)限限制工作。7、建立可靠的無(wú)線訪問(wèn)

審查網(wǎng)絡(luò)，為實(shí)現(xiàn)無(wú)線訪問(wèn)建立基礎(chǔ)。排除無(wú)意義的無(wú)線訪問(wèn)點(diǎn)，確保無(wú)線網(wǎng)絡(luò)訪問(wèn)的強(qiáng)制性和可利用性，并提供安全的無(wú)線訪問(wèn)接口。將訪問(wèn)點(diǎn)置于邊界防火墻之外，并允許用戶通過(guò)VPN技術(shù)進(jìn)行訪問(wèn)。8、建立安全過(guò)客訪問(wèn)

對(duì)于過(guò)客不必給予其公開(kāi)訪問(wèn)內(nèi)網(wǎng)的權(quán)限。許多安全技術(shù)人員執(zhí)行的“內(nèi)部無(wú)Internet訪問(wèn)”的策略，使得員工給客戶一些非法的訪問(wèn)權(quán)限，導(dǎo)致了內(nèi)網(wǎng)實(shí)時(shí)跟蹤的困難。因此，須在邊界防火墻之外建立過(guò)客訪問(wèn)網(wǎng)絡(luò)塊。

9、創(chuàng)建虛擬邊界防護(hù)

主機(jī)是被攻擊的主要對(duì)象。與其努力使所有主機(jī)不遭攻擊(這是不可能的)，還不如在如何使攻擊者無(wú)法通過(guò)受攻擊的主機(jī)來(lái)攻擊內(nèi)網(wǎng)方面努力。于是必須解決企業(yè)網(wǎng)絡(luò)的使用和在企業(yè)經(jīng)營(yíng)范圍建立虛擬邊界防護(hù)這個(gè)問(wèn)題。這樣，如果一個(gè)市場(chǎng)用戶的客戶機(jī)被侵入了，攻擊者也不會(huì)由此而進(jìn)入到公司的R&D。因此要實(shí)現(xiàn)公司R&D與市場(chǎng)之間的訪問(wèn)權(quán)限控制。大家都知道怎樣建立互聯(lián)網(wǎng)與內(nèi)網(wǎng)之間的邊界防火墻防護(hù)，現(xiàn)在也應(yīng)該意識(shí)到建立網(wǎng)上不同商業(yè)用戶群之間的邊界防護(hù)。

10、可靠的安全決策

網(wǎng)絡(luò)用戶也存在著安全隱患。有的用戶或許對(duì)網(wǎng)絡(luò)安全知識(shí)非常欠缺，例如不知道RADIUS和TACACS之間的不同，或不知道代理網(wǎng)關(guān)和分組過(guò)濾防火墻之間的不同等等，但是他們作為公司的合作者，也是網(wǎng)絡(luò)的使用者。因此企業(yè)網(wǎng)就要讓這些用戶也容易使用，這樣才能引導(dǎo)他們自動(dòng)的響應(yīng)網(wǎng)絡(luò)安全策略。

另外，在技術(shù)上，采用安全交換機(jī)、重要數(shù)據(jù)的備份、使用代理網(wǎng)關(guān)、確保操作系統(tǒng)的安全、使用主機(jī)防護(hù)系統(tǒng)和入侵檢測(cè)系統(tǒng)等等措施也不可缺。3.內(nèi)網(wǎng)安全技術(shù)分析與標(biāo)準(zhǔn)探討3.1內(nèi)網(wǎng)安全問(wèn)題的本質(zhì)探討

3.1.1內(nèi)網(wǎng)安全問(wèn)題的形成原因

內(nèi)網(wǎng)安全問(wèn)題的提出跟國(guó)家信息化的進(jìn)程息息相關(guān)，信息化程度的提高，使得內(nèi)部信息網(wǎng)絡(luò)具備了以下三個(gè)特點(diǎn)：1）隨著ERP、OA和CAD等生產(chǎn)和辦公系統(tǒng)的普及，單位的日程運(yùn)轉(zhuǎn)對(duì)內(nèi)部信息網(wǎng)絡(luò)的依賴程度越來(lái)越高，內(nèi)網(wǎng)信息網(wǎng)絡(luò)已經(jīng)成了各個(gè)單位的生命線，對(duì)內(nèi)網(wǎng)穩(wěn)定性、可靠性和可控性提出高度的要求。2）內(nèi)部信息網(wǎng)絡(luò)由大量的終端、服務(wù)器和網(wǎng)絡(luò)設(shè)備組成，形成了統(tǒng)一有機(jī)的整體，任何一個(gè)部分的安全漏洞或者問(wèn)題，都可能引發(fā)整個(gè)網(wǎng)絡(luò)的癱瘓，對(duì)內(nèi)網(wǎng)各個(gè)具體部分尤其是數(shù)量巨大的終端可控性和可靠性提出前所未有的要求。3）由于生產(chǎn)和辦公系統(tǒng)的電子化，使得內(nèi)部網(wǎng)絡(luò)成為單位信息和知識(shí)產(chǎn)權(quán)的主要載體，傳統(tǒng)的對(duì)信息的控制管理手段不再使用，新的信息管理控制手段成為關(guān)注的焦點(diǎn)。上述三個(gè)問(wèn)題，都是依賴于內(nèi)網(wǎng)，與內(nèi)網(wǎng)的安全緊密相連的，內(nèi)網(wǎng)安全受到廣泛的高度重視也就不以為奇。3.1.2內(nèi)網(wǎng)安全問(wèn)題的威脅模型

相對(duì)于內(nèi)網(wǎng)安全概念，傳統(tǒng)意義上的網(wǎng)絡(luò)安全更加為人所熟知和理解，事實(shí)上，從本質(zhì)來(lái)說(shuō)，傳統(tǒng)網(wǎng)絡(luò)安全考慮的是防范外網(wǎng)對(duì)內(nèi)網(wǎng)的攻擊，即可以說(shuō)是外網(wǎng)安全，包括傳統(tǒng)的防火墻、入侵檢察系統(tǒng)和VPN都是基于這種思路設(shè)計(jì)和考慮的。外網(wǎng)安全的威脅模型假設(shè)內(nèi)部網(wǎng)絡(luò)都是安全可信的，威脅都來(lái)自于外部網(wǎng)絡(luò)，其途徑主要通過(guò)內(nèi)外網(wǎng)邊界出口。所以，在外網(wǎng)安全的威脅模型假設(shè)下，只要將網(wǎng)絡(luò)邊界處的安全控制措施做好，就可以確保整個(gè)網(wǎng)絡(luò)的安全。

而內(nèi)網(wǎng)安全的威脅模型與外網(wǎng)安全模型相比，更加全面和細(xì)致，它即假設(shè)內(nèi)網(wǎng)網(wǎng)絡(luò)中的任何一個(gè)終端、用戶和網(wǎng)絡(luò)都是不安全和不可信的，威脅既可能來(lái)自外網(wǎng)，也可能來(lái)自內(nèi)網(wǎng)的任何一個(gè)節(jié)點(diǎn)上。所以，在內(nèi)網(wǎng)安全的威脅模型下，需要對(duì)內(nèi)部網(wǎng)絡(luò)中所有組成節(jié)點(diǎn)和參與者的細(xì)致管理，實(shí)現(xiàn)一個(gè)可管理、可控制和可信任的內(nèi)網(wǎng)。由此可見(jiàn)，相比于外網(wǎng)安全，內(nèi)網(wǎng)安全具有以下特點(diǎn)：1）要求建立一種更加全面、客觀和嚴(yán)格的信任體系和安全體系；2）要求建立更加細(xì)粒度的安全控制措施，對(duì)計(jì)算機(jī)終端、服務(wù)器、網(wǎng)絡(luò)和使用者都進(jìn)行更加具有針對(duì)性的管理；3）要求對(duì)信息進(jìn)行生命周期的完善管理。3.2現(xiàn)有內(nèi)網(wǎng)安全產(chǎn)品和技術(shù)分析

自從內(nèi)網(wǎng)安全概念提出到現(xiàn)在，有眾多的廠商紛紛發(fā)布自己的內(nèi)網(wǎng)安全解決方案，由于缺乏標(biāo)準(zhǔn)，這些產(chǎn)品和技術(shù)各不相同，但是總結(jié)起來(lái)，應(yīng)該包括監(jiān)控審計(jì)類、桌面管理類、文檔加密類、文件加密類和磁盤加密類等。下面分別對(duì)這些產(chǎn)品和技術(shù)類型的特性做了簡(jiǎn)單的分析和說(shuō)明。

3.2.

監(jiān)控審計(jì)類產(chǎn)品是最早出現(xiàn)的內(nèi)網(wǎng)安全產(chǎn)品，50％以上的內(nèi)網(wǎng)安全廠商推出的內(nèi)網(wǎng)安全產(chǎn)品都是監(jiān)控審計(jì)類的。監(jiān)控審計(jì)類產(chǎn)品主要對(duì)計(jì)算機(jī)終端訪問(wèn)網(wǎng)絡(luò)、應(yīng)用使用、系統(tǒng)配置、文件操作以及外設(shè)使用等提供集中監(jiān)控和審計(jì)功能，并可以生成各種類型的報(bào)表。監(jiān)控審計(jì)產(chǎn)品一般基于協(xié)議分析、注冊(cè)表監(jiān)控和文件監(jiān)控等技術(shù)，具有實(shí)現(xiàn)簡(jiǎn)單和開(kāi)發(fā)周期短的特點(diǎn)，能夠在內(nèi)網(wǎng)發(fā)生安全事件后，提供有效的證據(jù)，實(shí)現(xiàn)事后審計(jì)的目標(biāo)。監(jiān)控審計(jì)類產(chǎn)品的缺點(diǎn)是不能做到事情防范，不能從根本上實(shí)現(xiàn)提高內(nèi)網(wǎng)的可控性和可管理性。

3.2.2

桌面管理類產(chǎn)品主要針對(duì)計(jì)算機(jī)終端實(shí)現(xiàn)一定的集中管理控制策略，包括外設(shè)管理、應(yīng)用程序管理、網(wǎng)絡(luò)管理、資產(chǎn)管理以及補(bǔ)丁管理等功能，這類型產(chǎn)品通常跟監(jiān)控審計(jì)產(chǎn)品有類似的地方，也提供了相當(dāng)豐富的審計(jì)功能，桌面監(jiān)控審計(jì)類產(chǎn)品除了使用監(jiān)控審計(jì)類產(chǎn)品的技術(shù)外，還可能需要對(duì)針對(duì)Windows系統(tǒng)使用鉤子技術(shù)，對(duì)資源進(jìn)行控制，總體來(lái)說(shuō)，技術(shù)難度也不是很大。桌面監(jiān)控審計(jì)類產(chǎn)品實(shí)現(xiàn)了對(duì)計(jì)算機(jī)終端資源的有效管理和授權(quán)，其缺點(diǎn)不能實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)信息數(shù)據(jù)提供有效的控制。

3.2.

文檔加密類產(chǎn)品也是內(nèi)網(wǎng)安全產(chǎn)品中研發(fā)廠商相對(duì)較多的內(nèi)網(wǎng)安全產(chǎn)品類型，其主要解決特定格式主流文檔的權(quán)限管理和防泄密問(wèn)題，可以部分解決專利資料、財(cái)務(wù)資料、設(shè)計(jì)資料和圖紙資料的泄密問(wèn)題。文檔加密技術(shù)一般基于文件驅(qū)動(dòng)和應(yīng)用程序的API鉤子技術(shù)結(jié)合完成，具有部署靈活的特點(diǎn)。但是，因?yàn)槲臋n加密技術(shù)基于文件驅(qū)動(dòng)鉤子、臨時(shí)文件和API鉤子技術(shù)，也具有軟件兼容性差、應(yīng)用系統(tǒng)適應(yīng)性差、安全性不高以及維護(hù)升級(jí)工作量大的缺點(diǎn)。

3.2.

文件加密類產(chǎn)品類型繁多，有針對(duì)單個(gè)文件加密，也有針對(duì)文件目錄的加密，但是總體來(lái)說(shuō)，基本上是提供了一種用戶主動(dòng)的文件保護(hù)措施。文件加密類產(chǎn)品主要基于文件驅(qū)動(dòng)技術(shù)，不針對(duì)特定類型文檔，避免了文檔加密類產(chǎn)品兼容性差等特點(diǎn)，但是由于其安全性主要依賴于使用者的喜好和習(xí)慣，難以實(shí)現(xiàn)對(duì)數(shù)據(jù)信息的強(qiáng)制保護(hù)和控制。

3.2.

磁盤加密類產(chǎn)品在磁盤驅(qū)動(dòng)層對(duì)部分或者全部扇區(qū)進(jìn)行加密，對(duì)所有文件進(jìn)行強(qiáng)制的保護(hù)，結(jié)合用戶或者客戶端認(rèn)證技術(shù)，實(shí)現(xiàn)對(duì)磁盤數(shù)據(jù)的全面保護(hù)。磁盤加密技術(shù)由于基于底層的磁盤驅(qū)動(dòng)和內(nèi)核驅(qū)動(dòng)技術(shù)，具有技術(shù)難度高、研發(fā)周期長(zhǎng)的特點(diǎn)。此外，由于磁盤加密技術(shù)對(duì)于上層系統(tǒng)、數(shù)據(jù)和應(yīng)用都是透明的，要實(shí)現(xiàn)比較好的效果，必須結(jié)合其它內(nèi)網(wǎng)安全管理控制措施。

3.3構(gòu)建完整的內(nèi)網(wǎng)安全體系

從前面的介紹可以看出，上述的內(nèi)網(wǎng)安全產(chǎn)品，都僅僅解決了內(nèi)網(wǎng)安全部分的問(wèn)題，并且由于其技術(shù)的限制，存在各自的缺點(diǎn)。事實(shí)上，要真正構(gòu)建一個(gè)可管理、可信任和可控制的內(nèi)網(wǎng)安全體系，應(yīng)該統(tǒng)一規(guī)劃，綜合上述各種技術(shù)的優(yōu)勢(shì)，構(gòu)建整體一致的內(nèi)網(wǎng)安全管理平臺(tái)。根據(jù)上述分析和內(nèi)網(wǎng)安全的特點(diǎn)，一個(gè)整體一致的內(nèi)網(wǎng)安全體系，應(yīng)該包括身份認(rèn)證、授權(quán)管理、數(shù)據(jù)保密和監(jiān)控審計(jì)四個(gè)方面，并且，這四個(gè)方面應(yīng)該是緊密結(jié)合、相互聯(lián)動(dòng)的統(tǒng)一平臺(tái)，才能達(dá)到構(gòu)建可信、可控和可管理的安全內(nèi)網(wǎng)的效果。

身份認(rèn)證是內(nèi)網(wǎng)安全管理的基礎(chǔ)，不確認(rèn)實(shí)體的身份，進(jìn)一步制定各種安全管理策略也就無(wú)從談起。內(nèi)網(wǎng)的身份認(rèn)證，必須全面考慮所有參與實(shí)體的身份確認(rèn)，包括服務(wù)器、客戶端、用戶和主要設(shè)備等。其中，客戶端和用戶的身份認(rèn)證尤其要重點(diǎn)關(guān)注，因?yàn)樗麄兙哂袛?shù)量大、環(huán)境不安全和變化頻繁的特點(diǎn)。

授權(quán)管理是以身份認(rèn)證為基礎(chǔ)的，其主要對(duì)內(nèi)部信息網(wǎng)絡(luò)各種信息資源的使用進(jìn)行授權(quán)，確定“誰(shuí)”能夠在那些“計(jì)算機(jī)終端或者服務(wù)器”使用什么樣的“資源和權(quán)限”。授權(quán)管理的信息資源應(yīng)該盡可能全面，應(yīng)該包括終端使用權(quán)、外設(shè)資源、網(wǎng)絡(luò)資源、文件資源、服務(wù)器資源和存儲(chǔ)設(shè)備資源等。數(shù)據(jù)保密是內(nèi)網(wǎng)信息安全的核心，其實(shí)質(zhì)是要對(duì)內(nèi)網(wǎng)信息流和數(shù)據(jù)流進(jìn)行全生命周期的有效管理，構(gòu)建信息和數(shù)據(jù)安全可控的使用、存儲(chǔ)和交換環(huán)境，從而實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)核心數(shù)據(jù)的保密和數(shù)字知識(shí)產(chǎn)權(quán)的保護(hù)。由于信息和數(shù)據(jù)的應(yīng)用系統(tǒng)和表現(xiàn)方式多種多樣，所以要求數(shù)據(jù)保密技術(shù)必須具有通用性和應(yīng)用無(wú)關(guān)性。

監(jiān)控審計(jì)是內(nèi)網(wǎng)安全不可缺少的輔助部分，可以實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)安全狀態(tài)的實(shí)時(shí)監(jiān)控，提供內(nèi)網(wǎng)安全狀態(tài)的評(píng)估報(bào)告，并在發(fā)生內(nèi)網(wǎng)安全事件后實(shí)現(xiàn)有效的取證。需要再次強(qiáng)調(diào)的是，上述四個(gè)方面，必須是整體一致的，如果只簡(jiǎn)單實(shí)現(xiàn)其中一部分，或者只是不同產(chǎn)品的簡(jiǎn)單堆砌，都難以建立和實(shí)現(xiàn)有效內(nèi)網(wǎng)安全管理體系。4.以下涉及到部分公司的信息安全技術(shù)：1）安全策略保證系統(tǒng)SYGATE安全策略保證系統(tǒng)引入了全新的系統(tǒng)架構(gòu)，以滿足開(kāi)放網(wǎng)絡(luò)日益突出的安全需求。該產(chǎn)品的問(wèn)世，將企業(yè)的網(wǎng)絡(luò)安全防線擴(kuò)展到企業(yè)內(nèi)部網(wǎng)絡(luò)中的每一臺(tái)網(wǎng)絡(luò)主機(jī)(本地或遠(yuǎn)程)之上。同時(shí)該系統(tǒng)具有很強(qiáng)的擴(kuò)展性，不但可以有效解決現(xiàn)有網(wǎng)絡(luò)安全問(wèn)題，還能夠整合第三方的安全產(chǎn)品以應(yīng)對(duì)未來(lái)的安全威脅。SYGATE安全策略保證系統(tǒng)由三個(gè)子系統(tǒng)組成，包括SYGATE策略管理服務(wù)器，安全代理，認(rèn)證強(qiáng)制網(wǎng)關(guān)。SYGATE策略管理服務(wù)器是整個(gè)系統(tǒng)的核心，負(fù)責(zé)管理企業(yè)安全策略的制定、修改和分發(fā)。同時(shí)還負(fù)責(zé)管理和維護(hù)企業(yè)網(wǎng)絡(luò)中的安全代理，使得管理員能夠?qū)Σ煌挠脩魧?shí)施不同的安全策略。SYGATE安全代理運(yùn)行在企業(yè)網(wǎng)絡(luò)中的每一臺(tái)聯(lián)網(wǎng)主機(jī)上，負(fù)責(zé)收集客戶端信息、監(jiān)控用戶的網(wǎng)絡(luò)行為、監(jiān)控客戶機(jī)的網(wǎng)絡(luò)通信和安全狀態(tài)，并將收集到的信息發(fā)送到策略管理服務(wù)器，以便管理員針對(duì)性地制定安全策略。同時(shí)安全代理自動(dòng)從策略管理服務(wù)器中下載新的安全策略，并在本地執(zhí)行指定的安全策略。SYGATE認(rèn)證強(qiáng)制網(wǎng)關(guān)負(fù)責(zé)認(rèn)證主機(jī)身份的完整性，檢查網(wǎng)絡(luò)客戶機(jī)是否安裝和運(yùn)行了安全代理，安全代理是否正確執(zhí)行了企業(yè)的安全策略，并根據(jù)檢查結(jié)果決定是否允許客戶端訪問(wèn)網(wǎng)絡(luò)內(nèi)部的資源。（中國(guó)IT實(shí)驗(yàn)室）2）中國(guó)萬(wàn)網(wǎng)統(tǒng)一資源平臺(tái)網(wǎng)絡(luò)平臺(tái)：電信級(jí)的網(wǎng)絡(luò)設(shè)備服務(wù)器：英特爾的多核服務(wù)器所有服務(wù)器都配置了領(lǐng)先的備份體系，將備份分為三級(jí)。既有本地備份，也有異地容災(zāi)備份，能夠保證用戶的數(shù)據(jù)在任何情況下都能夠不受損失。全國(guó)網(wǎng)絡(luò)監(jiān)控體系。我們是通過(guò)檢測(cè)、分析、決策、優(yōu)化這樣一個(gè)流程來(lái)進(jìn)行的。當(dāng)我們的私有客戶端和公有客戶端不斷的發(fā)回?cái)?shù)據(jù)，并且檢測(cè)到某一網(wǎng)絡(luò)的速率是否是正常還是延遲的時(shí)候，我們會(huì)形成對(duì)所有數(shù)據(jù)的優(yōu)化整合，清晰，并且最后出現(xiàn)各種統(tǒng)計(jì)報(bào)表。目標(biāo)是使用戶能夠在最適合自己的機(jī)房部署自己的應(yīng)用。在安全方面的運(yùn)維創(chuàng)新，廣義上的安全是分為網(wǎng)絡(luò)安全和信息安全，細(xì)化為五個(gè)部分，網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、內(nèi)容安全和訪問(wèn)安全。在網(wǎng)絡(luò)安全方面，投入了千兆的防火墻設(shè)備和各種千兆的防DDS攻擊設(shè)備，用來(lái)可以抵御很大規(guī)模的分布式攻擊。在系統(tǒng)安全方面，一是防病毒，二是通過(guò)遠(yuǎn)程掃描來(lái)捕獲自己的服務(wù)器當(dāng)前是否是安全的，包括入侵檢測(cè)系統(tǒng)等。在內(nèi)容安全方面，不僅做了內(nèi)容監(jiān)控，也包括使用一些自主研發(fā)的程序時(shí)時(shí)排查虛擬主機(jī)的客戶是不是被別人掛了木馬。在訪問(wèn)安全方面，采用SL技術(shù)，對(duì)VIP客戶能夠點(diǎn)對(duì)點(diǎn)的傳輸，保證信息安全。在中國(guó)地圖上所有有自己機(jī)房的結(jié)點(diǎn)，我們都會(huì)把所有的數(shù)據(jù)錄入進(jìn)去，可以測(cè)試任何兩個(gè)節(jié)點(diǎn)之間的速度?？梢詣?chuàng)造看到每一臺(tái)服務(wù)器，每一個(gè)物理機(jī)和虛擬機(jī)的運(yùn)行狀況?？梢钥吹椒?wù)器的硬件信息、軟件信息是否能夠登錄遠(yuǎn)程桌面，所有開(kāi)啟的服務(wù)器，并且下面可以看到對(duì)CPU、內(nèi)存、網(wǎng)卡的情況。所有的服務(wù)器都可以管理起來(lái)。而且細(xì)化到每一個(gè)虛擬機(jī)。在一臺(tái)物理機(jī)上如果有若干臺(tái)虛擬機(jī)也可以同樣的方式管理。實(shí)現(xiàn)有效的物理資源和邏輯資源的整合。5.案例(校園網(wǎng)解決方案)5.1應(yīng)用背景

某高?，F(xiàn)有全日制在校生14500人、教職工1000多人。隨著學(xué)校師資力量的不斷加強(qiáng)，現(xiàn)有教學(xué)用計(jì)算機(jī)3000臺(tái)，語(yǔ)音室座位1500個(gè)，多媒體教室座位9000個(gè)。在校園網(wǎng)絡(luò)中，學(xué)生學(xué)籍信息、教學(xué)任務(wù)、行政資料、財(cái)務(wù)數(shù)據(jù)等重要信息都保存在網(wǎng)絡(luò)內(nèi)部的服務(wù)器上，服務(wù)器承擔(dān)著非常巨大的訪問(wèn)流量，存儲(chǔ)、處理網(wǎng)絡(luò)上大約80%的數(shù)據(jù)、信息。因此，校園網(wǎng)絡(luò)在運(yùn)作過(guò)程中，必須注重對(duì)服務(wù)器群組的防護(hù)，以免服務(wù)器的開(kāi)放性和操作系統(tǒng)自身的安全漏洞帶來(lái)的內(nèi)部網(wǎng)絡(luò)信息丟失、遭受入侵攻擊等問(wèn)題。

5.2解決方案

通過(guò)多方細(xì)致調(diào)研，該高校最終選擇西安交大捷普網(wǎng)絡(luò)科技有限公司進(jìn)行網(wǎng)絡(luò)安全的技術(shù)支持。