【51CTO.com綜合報(bào)道】隨著信息化程度的提高，政府、軍隊(duì)、企業(yè)事業(yè)單位都搭建了內(nèi)部網(wǎng)絡(luò)，網(wǎng)絡(luò)的架設(shè)、信息系統(tǒng)的建設(shè)給我們帶來了很多便利，如資源共享、辦公自動(dòng)化、方便的信息傳遞等，極大地提高了工作效率。但伴隨著網(wǎng)絡(luò)化程度的提高，越來越多的信息安全問題也將被引入原本封閉的系統(tǒng)。信息安全的核心在于信息本身的安全，而網(wǎng)絡(luò)具有的開放性、共享性等特點(diǎn)，使得分布在網(wǎng)絡(luò)中的涉密信息處于一種高風(fēng)險(xiǎn)的狀態(tài)。涉密信息的整個(gè)生命周期包括獲取、存儲(chǔ)、傳送、利用和控制，任何一個(gè)薄弱環(huán)節(jié)都將會(huì)給整個(gè)系統(tǒng)帶來安全威脅。這些信息很容易受到非法監(jiān)聽、非法復(fù)制、非法訪問等各種惡意的攻擊。如何有效地管理這些重要的涉密信息資源，對(duì)它們的使用進(jìn)行合理的授權(quán)與監(jiān)管，日益成為信息網(wǎng)絡(luò)應(yīng)用中的一個(gè)重要問題。

內(nèi)網(wǎng)安全經(jīng)過10年的發(fā)展，經(jīng)歷了終端防護(hù)（非法接入控制、非法外聯(lián)控制、補(bǔ)丁分發(fā)問題）、"監(jiān)控"和"審計(jì)"、文檔透明加解密、數(shù)據(jù)泄漏防護(hù)（融合終端防護(hù)、進(jìn)程管理、文件管理、U盤管理、外設(shè)端口控制、網(wǎng)頁信息保護(hù)、即時(shí)通訊攔截等多個(gè)功能）、"整體信息防泄漏"（融審計(jì)、監(jiān)控、加密于一體）等幾個(gè)階段，無論是產(chǎn)品還是模式都取得長足的進(jìn)步。但是現(xiàn)有手段、方法以及模式都無法應(yīng)對(duì)這樣的困境：作為防護(hù)對(duì)象的涉密信息數(shù)據(jù)分散存儲(chǔ)在各計(jì)算機(jī)中，終端用戶不止是涉密文檔的使用者，也是涉密文檔的所有者，使用權(quán)和所有權(quán)沒有分離，管理者難于掌握本單位涉密文檔的分布和使用情況，管理風(fēng)險(xiǎn)大，泄密事件屢禁不止。

為此我們以科盾內(nèi)網(wǎng)安全平臺(tái)為基礎(chǔ)提出一種分層保護(hù)、集中存儲(chǔ)的解決方案，為涉密信息打造安全環(huán)境。

分層保護(hù)

通過分層、逐步加深的保護(hù)方式為涉密信息打造安全環(huán)境

 l 第一層保護(hù)：劃定網(wǎng)絡(luò)邊界讓非法終端進(jìn)不來

通過一定的技術(shù)手段劃定網(wǎng)絡(luò)邊界讓非法終端進(jìn)不來，這些技術(shù)手段主要包括：基于802.1x的終端準(zhǔn)入控制保證非法終端無法通過有線方式接入內(nèi)網(wǎng)；基于ARP的終端準(zhǔn)入控制使得非法終端無法通過無線等其他方式接入內(nèi)網(wǎng)；通過網(wǎng)絡(luò)分區(qū)分域管理、非法外聯(lián)控制等手段限制合法終端連通的區(qū)域，以達(dá)到自我保護(hù)的目的。

 l 第二層保護(hù)：讓合法的機(jī)器保持良好的狀態(tài)

通過補(bǔ)丁分發(fā)、合規(guī)檢查、自我保護(hù)（注冊(cè)表、文件等）等手段修正合法終端的不健康狀態(tài)，提升自身的保護(hù)能力；通過涉密檢查等方式檢查和規(guī)范合法終端的行為，杜絕泄密現(xiàn)象的發(fā)生。

 l 第三層保護(hù)：杜絕涉密信息通過“擺渡”的方式流出內(nèi)部網(wǎng)絡(luò)

外設(shè)、網(wǎng)絡(luò)、移動(dòng)存儲(chǔ)設(shè)備等作為信息交換的媒介，一方面方便了用戶，另一方面也引入了不安全的因素。通過移動(dòng)設(shè)備管理、刻錄管理、打印控制、網(wǎng)絡(luò)訪問控制、郵件控制、端口控制等手段，防止合法終端和用戶利用各種媒介通過“擺渡”的方式將涉密信息帶出內(nèi)部網(wǎng)絡(luò)。

l          l  第四層保護(hù)：確保只能在干凈、安全、可信的工作環(huán)境中處理涉密信息

以注冊(cè)表保護(hù)、文件訪問控制、進(jìn)程控制等技術(shù)為基礎(chǔ)，利用沙盒技術(shù)為用戶提供一個(gè)干凈、安全、可信的工作環(huán)境，讓用戶只能在該工作環(huán)境中處理涉密信息，并且將處理的涉密信息以透明、強(qiáng)制和加密的方式存儲(chǔ)到服務(wù)器中，保證終端不留密。

涉密信息集中存儲(chǔ)

以自主研發(fā)的網(wǎng)絡(luò)磁盤系統(tǒng)為基礎(chǔ)，通過文件重定向的方式，實(shí)現(xiàn)了涉密信息的集中存儲(chǔ)。

服務(wù)器端采用通用的磁盤訪問接口做到與物理存儲(chǔ)介質(zhì)無關(guān)，無論是磁盤陣列、光盤陣列等等都可以得到很好的支持； 基于RAID技術(shù)實(shí)現(xiàn)磁盤級(jí)數(shù)據(jù)的可靠性；基于備份和鏡像的方式保證服務(wù)不間斷和用戶數(shù)據(jù)的可恢復(fù)性；以一用戶一密碼的方式對(duì)存儲(chǔ)在服務(wù)器上的用戶數(shù)據(jù)進(jìn)行透明加解密，很好地保證了服務(wù)器端數(shù)據(jù)的安全性。

客戶端基于驅(qū)動(dòng)級(jí)的文件重定向技術(shù)使得能夠在不改變用戶使用習(xí)慣的前提下實(shí)現(xiàn)涉密數(shù)據(jù)的透明和強(qiáng)制集中存儲(chǔ)。