【51CTO.com 綜合消息】當(dāng)前的網(wǎng)絡(luò)邊界安全防護(hù)，已經(jīng)不能有效保障網(wǎng)絡(luò)的安全，只有邊界安全與內(nèi)網(wǎng)安全管理立體布控，才能有效為網(wǎng)絡(luò)安全提供保障。然而，內(nèi)網(wǎng)安全集中關(guān)注的對(duì)象包括了引起信息安全威脅的內(nèi)部網(wǎng)絡(luò)用戶(hù)、應(yīng)用環(huán)境、應(yīng)用環(huán)境邊界和內(nèi)網(wǎng)通信安全，內(nèi)網(wǎng)安全從更加全面和完整的角度對(duì)信息安全威脅的途徑進(jìn)行了分析、處理和控制，使信息安全成為一個(gè)完整的體系。

如何在企業(yè)的內(nèi)網(wǎng)構(gòu)建一個(gè)有機(jī)統(tǒng)一的安全控制系統(tǒng)，實(shí)現(xiàn)立體式實(shí)時(shí)監(jiān)管，減少安全風(fēng)險(xiǎn)。如何通過(guò)加強(qiáng)技術(shù)檢查、管理手段，防止敏感信息泄露，保障網(wǎng)絡(luò)安全運(yùn)行。是擺在網(wǎng)絡(luò)管理員面前的一道難題。

四級(jí)認(rèn)證實(shí)現(xiàn)可信防護(hù)

內(nèi)網(wǎng)安全不僅是安全產(chǎn)品的堆疊，現(xiàn)階段的內(nèi)網(wǎng)安全也由單純的安全產(chǎn)品部署，上升到了如何實(shí)現(xiàn)可信、可控的立體防護(hù)體系。通過(guò)四級(jí)可信認(rèn)證機(jī)制，可以確保系統(tǒng)既突出安全性，更注重管理性。

第一級(jí)認(rèn)證：基于硬件級(jí)別的安全防護(hù)和訪問(wèn)控制

在最底層實(shí)現(xiàn)對(duì)計(jì)算機(jī)終端進(jìn)行物理安全加固，例如使用鼎普計(jì)算機(jī)安全防護(hù)卡從BIOS級(jí)實(shí)現(xiàn)登錄認(rèn)證和全盤(pán)數(shù)據(jù)保護(hù)，一方面可以杜絕非法用戶(hù)從光盤(pán)啟動(dòng)繞過(guò)軟件防護(hù)竊取數(shù)據(jù)，同時(shí)還可令用戶(hù)不能隨意安裝操作系統(tǒng)、卸載已安裝的軟件系統(tǒng)改變現(xiàn)有安全環(huán)境。

第二級(jí)認(rèn)證：基于操作系統(tǒng)的身份認(rèn)證和文件保護(hù)

采用基于USB-KEY的雙因素認(rèn)證技術(shù)實(shí)現(xiàn)操作系統(tǒng)登錄的可信可控——即在計(jì)算機(jī)硬件啟動(dòng)之后，可以限制用戶(hù)權(quán)限，如是否可以進(jìn)一步登錄操作系統(tǒng)，以及可以進(jìn)行何種權(quán)限的文件操作，文件如何安全存放以及安全刪除。如果計(jì)算機(jī)終端發(fā)生系統(tǒng)災(zāi)難，如何進(jìn)行系統(tǒng)備份和災(zāi)難恢復(fù)。

第三級(jí)認(rèn)證：實(shí)現(xiàn)對(duì)程序安裝運(yùn)行的授權(quán)控制

對(duì)應(yīng)用程序進(jìn)行黑白名單控制：只有經(jīng)過(guò)管理員簽名授權(quán)的程序才能在單機(jī)終端上運(yùn)行使用，進(jìn)一步規(guī)范終端用戶(hù)的軟件程序使用行為，可以最大程度防止程序的隨意安裝使用帶來(lái)的病毒、木馬的傳播、泛濫。

第四級(jí)認(rèn)證：實(shí)現(xiàn)可信計(jì)算機(jī)接入內(nèi)網(wǎng)的認(rèn)證管理

網(wǎng)絡(luò)邊界的安全可控是內(nèi)網(wǎng)安全的基本問(wèn)題，通過(guò)基于802.1X認(rèn)證協(xié)議的可信終端認(rèn)證子系統(tǒng),實(shí)現(xiàn)網(wǎng)絡(luò)的安全接入——只有經(jīng)過(guò)授權(quán)許可的可信、可控、健康計(jì)算機(jī)才能接入到內(nèi)網(wǎng)，并對(duì)入終端的運(yùn)行、健康狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控，通過(guò)創(chuàng)新的技術(shù)理念打造出一個(gè)信得過(guò)、進(jìn)得來(lái)、控得住的健康可信內(nèi)部網(wǎng)絡(luò)。如果不健康，防護(hù)系統(tǒng)會(huì)采取進(jìn)一步措施，如報(bào)警、斷網(wǎng)等。

被忽略的內(nèi)網(wǎng)隱患

內(nèi)網(wǎng)安全還應(yīng)該以一個(gè)系統(tǒng)來(lái)體現(xiàn)它的價(jià)值，各安全產(chǎn)品之間要相輔相成，而網(wǎng)絡(luò)通道安全、終端源頭安全、服務(wù)器的保護(hù)、移動(dòng)存儲(chǔ)介質(zhì)的控制則是內(nèi)網(wǎng)安全防護(hù)的重要環(huán)節(jié)。

U盤(pán)的使用管理是企業(yè)內(nèi)網(wǎng)里最容易產(chǎn)生信息安全事故的一個(gè)環(huán)節(jié)，也是最容易被忽略的環(huán)節(jié)。對(duì)U盤(pán)實(shí)行管理的核心目標(biāo)就是防止內(nèi)外部、不同密級(jí)之間介質(zhì)的交叉使用，同時(shí)使介質(zhì)的管理集中、統(tǒng)一而高效。

有專(zhuān)家認(rèn)為，需要實(shí)現(xiàn) “一個(gè)全面、兩個(gè)運(yùn)行周期”的目標(biāo)，即全面掌控介質(zhì)使用狀態(tài)、配置信息；嚴(yán)控介質(zhì)從購(gòu)買(mǎi)后的注冊(cè)發(fā)放、使用、統(tǒng)一臺(tái)帳監(jiān)控、狀態(tài)查詢(xún)到收集注銷(xiāo)的運(yùn)行周期；嚴(yán)控介質(zhì)從插入、進(jìn)行各種操作到拔除全程進(jìn)行跟蹤記錄和實(shí)時(shí)報(bào)警的運(yùn)行周期。

據(jù)悉，鼎普科技提供了“鼎普數(shù)據(jù)單向傳輸U(kuò)盤(pán)系統(tǒng)”，通過(guò)U盤(pán)上集成的自成一體的身份認(rèn)證、網(wǎng)絡(luò)連接智能判斷模塊功能，較好的解決了外部數(shù)據(jù)通過(guò)移動(dòng)存儲(chǔ)介質(zhì)直接單向?qū)肫髽I(yè)內(nèi)網(wǎng)主機(jī)，同時(shí)保證不能對(duì)U盤(pán)反向?qū)懭霐?shù)據(jù)而導(dǎo)致內(nèi)網(wǎng)敏感信息的泄露。

此外，外網(wǎng)的安全在于防患于未然，內(nèi)網(wǎng)的安全在防患的基礎(chǔ)上，更加側(cè)重于監(jiān)控審計(jì)。目前，國(guó)際上比較先進(jìn)的做法是以終端主機(jī)、桌面安全為出發(fā)點(diǎn)，采用C/S、B/S結(jié)構(gòu)的體系設(shè)計(jì)，通過(guò)運(yùn)用驅(qū)動(dòng)攔截、網(wǎng)絡(luò)驅(qū)動(dòng)過(guò)濾、文件驅(qū)動(dòng)過(guò)濾、加密傳輸、身份認(rèn)證、訪問(wèn)控制技術(shù)實(shí)現(xiàn)一體化的監(jiān)控審計(jì)管理。

【編輯推薦】

1. 終端審計(jì)如何更好地服務(wù)內(nèi)網(wǎng)安全(圖)
2. Chinasec細(xì)分內(nèi)網(wǎng)安全市場(chǎng)挺進(jìn)石化能源領(lǐng)域
3. 專(zhuān)家談內(nèi)網(wǎng)安全技術(shù)分析與標(biāo)準(zhǔn)探討