论文部分内容阅读
眼见得《碟中碟》里的小汤哥可以在层层布防的机密室里窃取重要文件,《无间道》里的各方内鬼又在警匪两道来去自如,不要认为这些都是电影大师们虚构的故事情节,在我们身边,通过内网盗取商业机密的可谓比比皆是。
在超过85%的安全威胁来自企业内部的惊人事实面前,人们开始警醒于对内网安全的特别关注,而厂商们的相关产品和解决方案也开始频频亮相,显露端倪。
内网防护刻不容缓
人们对于外网(Internet)的安全认识由来已久,黑客、病毒这些十年前还不曾为人所知的名词,却因其破坏力之大、威胁范围之广而备受注目,但是如今对于内网的安全防护问题则很少有人问津。毕竟在很多企业看来,看好公司大门,就可以阻止一切商业窃贼的暗夜入侵了。
图1 银行柜面业务终端安全网络结构
据FBI和CSI在2002年对484家公司进行的网络安全专项调查结果显示:超过85%的安全威胁来自公司内部,其中,有16%来自内部未授权的存取,有14%来自专利信息被窃取,有12%来自内部人员的财务欺骗,而来自外网黑客攻击的却只有5%;在损失金额上,由于内部人员泄密所导致的资产损失高达6000万美元以上,它是黑客所造成损失的16倍,病毒所造成损失的12倍。这组数据充分说明了内部人员对于企业局域网泄密的严重危害,同时也提醒了国内相关组织应加强网络内部安全的建设。但是另据不完全统计,国外在建设内网时,投资额的15%是用于加强内网的网络安全,但在我国IT市场中,用户在内网安全方面的投资比例明显不如国外。究其原因,高技术含量所带来的掌握难、实施难、维护难问题,反倒让内网在安全性仍未有保证的情况下,再痛失稳定性与操控性。由此,卫士通“一KEY通”局域网安全解决方案也就随行业趋势与用户需求应运而生了。
“一KEY通”
实战内网安全
内网源于IT产品的搭建,因此其安全性也必将通过IT产品来实现,这就是卫士通在设计研发内网安全解决方案时所倡导的“安全IT化,IT安全化”的整体战略思想。秉承这一理念的指导,卫士通“一KEY通”局域网安全解决方案全面解决了企业在内网防护时遇到的诸多问题,根据涉密信息系统内网防护的特点及多年涉密信息系统攻防的研究和实践,它重点严防于局域网攻击流程中的三道门槛。
防查找,严防登录是防查找的主要内容,所以“一KEY通”首先在单机Windows认证登录的“用户名+密码”方面加以改进,“用户名+密码+key+PIN”的四重身份认证方式成为防止入侵者的第一道屏障;而针对单一硬盘的访问,“一KEY通”也设计有“密钥在key中”的方案,以此实现密码的再保护;此外,通过对平台底层技术的控制,防止单机在运行模式、安全模式甚至是离线模式下非授权者对外设进行访问;而“一KEY通”的主机安全防护平台也改变了Windows系统的引导流程和认证流程,这使得安全内核随操作系统同时加载,以防止非法者引导操作系统时用F8进入安全模式;最后,网络设备的设置权限也被控制起来,一旦发生改变,系统会立刻上报安全管理中心。
防获取,在这一环节,加强认证是必不可少的。“一KEY通”中,用户访问后台服务器时需经过代理服务器和认证服务器的有效认证,没有合法令牌的用户根本无法穿透;而在网络上传输的数据也都一律经过本地加密后才进行传输,密钥协商过程采用用户证书保护,用网络监听黑客工具虽然可以得到传输的密文数据包,但是没有密钥解密数据,同样无法获取传输的明文数据;此外,安全管理中心可以随时发送确定网络主机存在的探测数据包,而该主机即便是有防火墙的非法用户,也不能对包进行拦截,那么一旦有不正确的回应则认为其非法,管理中心将立刻报警。
防流出,这一环节多为非法连接外设、外网来拷贝和改变内网信息。在拷贝方面,访问内网的存储介质(如U盘)需得到“一KEY通”的合法授权后才可拷贝数据,但该数据也被强制加密保护,只有用合法者的数字证书或者对方的证书才能打开;而针对MODEM的启用、监视和禁用,“一KEY通”可以控制本地拨号来阻止传输数据者,且利用局域网综合安全保护系统的监控子系统,还可以对底层调用拨号者进行有效堵截;另外,“一KEY通”的局域网综合安全保护系统除了为文件和程序提供自主型存取控制、强制型存取控制以及特权管理以外,还可以根据需要提供一张关键应用程序保护列表。该系统自动识别这张表中的文件,所有涉及到的表上文件,无论是写操作还是任何改动都是被禁止的;而该系统对终端保护平台的反安装也进行过特殊处理,除专用卸载程序外,使用网上常用的卸载工具尝试卸载,都会使控制失效。
或许在“一KEY通”的面前,小汤哥的灵活身手也要黯然失色吧,而这也充分证明了对于内网安全的提前防范,要远比事后的亡羊补牢更为可取。“一KEY 通”局域网安全解决方案凭借其专业化的局域网综合安全防护系统,势必于军工、金融、政府等行业领域大有一番作为,而卫士通也必将一如既往地缔造着这个网络时代内网安全的不朽神话。
图2 银行桌面办公终端安全网络结构
保卫银行从台面做起
对于当代的众多金融企业来讲,网络的安全防范是一个备受关注的话题。由于人们在防范外网病毒和黑客攻击方面的重视程度,要远远高于对付来自企业内网的侵害与威胁。所以,绝大多数商业间谍宁可铤而走险,亲临犯罪现场,也不愿在外网通过严密的网络边界安全设备实施盗窃活动。
在我国目前的金融行业里,银行作为最主要的企业形式广泛存在着,其内部局域网络通常由应用服务器区和计算机终端区两部分组成,但是在银行日常业务的处理安全性上,它们却都体现出了不同程度的薄弱之处。比如,网络服务器终端的非授权访问、被恶意攻击和传输的数据被窃取;计算机终端的非授权访问、数据安全问题;终端操作系统的漏洞或服务被利用;端对端的电子文件共享风险等,这些都直接威胁着银行内网的稳定性和数据安全。
据介绍,“一Key通”银行终端安全解决方案,则是建立在银行业务终端安全防护体系上的计算机终端安全防护平台。该平台充分把握住了金融信息源的安全问题,无论是在服务器终端还是在计算机终端,“一Key通”都确保了对应用系统的访问人实施身份认证和严格的访问控制。同时,它还建有终端监控与审计系统,确保所有单机都在实时受控状态下运行,并能够对各种单机操作行为进行及时地审核控制。
众所周知,在银行业务的处理过程中,终端设备是最容易暴露在外人面前的,所以它的安全性问题也是最受重视的。因此,卫士通推出的“一Key通”银行终端安全解决方案,将内网的安保实施进一步细分为银行柜面业务终端和银行桌面终端两部分。这样,在方案运作的过程中不仅更具针对性,其最终的实施效果也将更为全面、显著。
银行柜面业务终端安全解决方案是以强制访问控制技术、密码技术、可信计算技术等安全技术,加强终端系统的安全,提高终端系统的自身免疫力。它从控制安全威胁的源头入手,通过对银行系统的业务终端和终端服务器进行可信化改造,实现“人→机→业务”的严格绑定,做到未经授权的用户无法进入业务系统、合法的用户不能越权办事、用户所作的操作有据可查,从而实现对银行业务系统的全面安全保护。
在超过85%的安全威胁来自企业内部的惊人事实面前,人们开始警醒于对内网安全的特别关注,而厂商们的相关产品和解决方案也开始频频亮相,显露端倪。
内网防护刻不容缓
人们对于外网(Internet)的安全认识由来已久,黑客、病毒这些十年前还不曾为人所知的名词,却因其破坏力之大、威胁范围之广而备受注目,但是如今对于内网的安全防护问题则很少有人问津。毕竟在很多企业看来,看好公司大门,就可以阻止一切商业窃贼的暗夜入侵了。
图1 银行柜面业务终端安全网络结构
据FBI和CSI在2002年对484家公司进行的网络安全专项调查结果显示:超过85%的安全威胁来自公司内部,其中,有16%来自内部未授权的存取,有14%来自专利信息被窃取,有12%来自内部人员的财务欺骗,而来自外网黑客攻击的却只有5%;在损失金额上,由于内部人员泄密所导致的资产损失高达6000万美元以上,它是黑客所造成损失的16倍,病毒所造成损失的12倍。这组数据充分说明了内部人员对于企业局域网泄密的严重危害,同时也提醒了国内相关组织应加强网络内部安全的建设。但是另据不完全统计,国外在建设内网时,投资额的15%是用于加强内网的网络安全,但在我国IT市场中,用户在内网安全方面的投资比例明显不如国外。究其原因,高技术含量所带来的掌握难、实施难、维护难问题,反倒让内网在安全性仍未有保证的情况下,再痛失稳定性与操控性。由此,卫士通“一KEY通”局域网安全解决方案也就随行业趋势与用户需求应运而生了。
“一KEY通”
实战内网安全
内网源于IT产品的搭建,因此其安全性也必将通过IT产品来实现,这就是卫士通在设计研发内网安全解决方案时所倡导的“安全IT化,IT安全化”的整体战略思想。秉承这一理念的指导,卫士通“一KEY通”局域网安全解决方案全面解决了企业在内网防护时遇到的诸多问题,根据涉密信息系统内网防护的特点及多年涉密信息系统攻防的研究和实践,它重点严防于局域网攻击流程中的三道门槛。
防查找,严防登录是防查找的主要内容,所以“一KEY通”首先在单机Windows认证登录的“用户名+密码”方面加以改进,“用户名+密码+key+PIN”的四重身份认证方式成为防止入侵者的第一道屏障;而针对单一硬盘的访问,“一KEY通”也设计有“密钥在key中”的方案,以此实现密码的再保护;此外,通过对平台底层技术的控制,防止单机在运行模式、安全模式甚至是离线模式下非授权者对外设进行访问;而“一KEY通”的主机安全防护平台也改变了Windows系统的引导流程和认证流程,这使得安全内核随操作系统同时加载,以防止非法者引导操作系统时用F8进入安全模式;最后,网络设备的设置权限也被控制起来,一旦发生改变,系统会立刻上报安全管理中心。
防获取,在这一环节,加强认证是必不可少的。“一KEY通”中,用户访问后台服务器时需经过代理服务器和认证服务器的有效认证,没有合法令牌的用户根本无法穿透;而在网络上传输的数据也都一律经过本地加密后才进行传输,密钥协商过程采用用户证书保护,用网络监听黑客工具虽然可以得到传输的密文数据包,但是没有密钥解密数据,同样无法获取传输的明文数据;此外,安全管理中心可以随时发送确定网络主机存在的探测数据包,而该主机即便是有防火墙的非法用户,也不能对包进行拦截,那么一旦有不正确的回应则认为其非法,管理中心将立刻报警。
防流出,这一环节多为非法连接外设、外网来拷贝和改变内网信息。在拷贝方面,访问内网的存储介质(如U盘)需得到“一KEY通”的合法授权后才可拷贝数据,但该数据也被强制加密保护,只有用合法者的数字证书或者对方的证书才能打开;而针对MODEM的启用、监视和禁用,“一KEY通”可以控制本地拨号来阻止传输数据者,且利用局域网综合安全保护系统的监控子系统,还可以对底层调用拨号者进行有效堵截;另外,“一KEY通”的局域网综合安全保护系统除了为文件和程序提供自主型存取控制、强制型存取控制以及特权管理以外,还可以根据需要提供一张关键应用程序保护列表。该系统自动识别这张表中的文件,所有涉及到的表上文件,无论是写操作还是任何改动都是被禁止的;而该系统对终端保护平台的反安装也进行过特殊处理,除专用卸载程序外,使用网上常用的卸载工具尝试卸载,都会使控制失效。
或许在“一KEY通”的面前,小汤哥的灵活身手也要黯然失色吧,而这也充分证明了对于内网安全的提前防范,要远比事后的亡羊补牢更为可取。“一KEY 通”局域网安全解决方案凭借其专业化的局域网综合安全防护系统,势必于军工、金融、政府等行业领域大有一番作为,而卫士通也必将一如既往地缔造着这个网络时代内网安全的不朽神话。
图2 银行桌面办公终端安全网络结构
保卫银行从台面做起
对于当代的众多金融企业来讲,网络的安全防范是一个备受关注的话题。由于人们在防范外网病毒和黑客攻击方面的重视程度,要远远高于对付来自企业内网的侵害与威胁。所以,绝大多数商业间谍宁可铤而走险,亲临犯罪现场,也不愿在外网通过严密的网络边界安全设备实施盗窃活动。
在我国目前的金融行业里,银行作为最主要的企业形式广泛存在着,其内部局域网络通常由应用服务器区和计算机终端区两部分组成,但是在银行日常业务的处理安全性上,它们却都体现出了不同程度的薄弱之处。比如,网络服务器终端的非授权访问、被恶意攻击和传输的数据被窃取;计算机终端的非授权访问、数据安全问题;终端操作系统的漏洞或服务被利用;端对端的电子文件共享风险等,这些都直接威胁着银行内网的稳定性和数据安全。
据介绍,“一Key通”银行终端安全解决方案,则是建立在银行业务终端安全防护体系上的计算机终端安全防护平台。该平台充分把握住了金融信息源的安全问题,无论是在服务器终端还是在计算机终端,“一Key通”都确保了对应用系统的访问人实施身份认证和严格的访问控制。同时,它还建有终端监控与审计系统,确保所有单机都在实时受控状态下运行,并能够对各种单机操作行为进行及时地审核控制。
众所周知,在银行业务的处理过程中,终端设备是最容易暴露在外人面前的,所以它的安全性问题也是最受重视的。因此,卫士通推出的“一Key通”银行终端安全解决方案,将内网的安保实施进一步细分为银行柜面业务终端和银行桌面终端两部分。这样,在方案运作的过程中不仅更具针对性,其最终的实施效果也将更为全面、显著。
银行柜面业务终端安全解决方案是以强制访问控制技术、密码技术、可信计算技术等安全技术,加强终端系统的安全,提高终端系统的自身免疫力。它从控制安全威胁的源头入手,通过对银行系统的业务终端和终端服务器进行可信化改造,实现“人→机→业务”的严格绑定,做到未经授权的用户无法进入业务系统、合法的用户不能越权办事、用户所作的操作有据可查,从而实现对银行业务系统的全面安全保护。