论文部分内容阅读
数据已经成为关系到企业自身生存、发展的最重要资产,一旦研发成果或销售机密被竞争对手获取,企业的核心竞争力很可能在瞬间化为乌有。然而,在利用各种网络安全防护手段对抗外部威胁的同时,传统的内网安全架构与缺乏实效性的监管措施已使得数据泄密事件频发。
Gartner的调查数据显示,目前有超过85%的企业信息安全威胁来自企业内网。虽然很多企业的信息安全防护体系都将外部威胁作为防护的重中之重,但数据泄露事件却愈演愈烈,企业的内网安全面临挑战。
大量投入却效果不佳
为了防范数据泄露事件的发生,目前虽然许多企业开始调整信息安全资金的投入方向,并在改善内网安全环境的同时推出更为严格的惩戒制度,但实际上,理想的防范水准与现实情况还存在着很大的差距。
“企业内网的信息系统面临的安全风险日渐加剧。”北京市国路安信息技术有限公司(下文简称国路安,GLA)研发总监林顺东认为,有两个关键因素导致企业内网安全防护的效果不佳:首先是在传统的防护结构中,每台终端及应用操作人员都是系统与外部环境连接的边界,这些边界数量多、分布范围广、类型复杂,给企业的安全管理控制带来极大的难度;其次是传统的杀毒软件、入侵检测等安全工具基于“黑名单”的安全机制,已经无法满足当前企业的防护需求,特别是企业的业务系统具有相对明确的操作人员和运行流程,应该采用更为适合也更严格的“白名单”机制。
从架构上防止数据泄露
为了改变企业在内网安全领域遇到的窘境,国路安提出了称为“云纵深防御”的新思路。据林顺东介绍,云纵深防御架构是通过安全虚拟化技术和应用安全网关系统,将应用系统(包括应用终端和应用服务器)整体部署到云端(数据中心或机房),从而有效减少应用系统与外部环境之间的边界数量和边界种类。另外,云纵深防御还采用“白名单”安全机制对应用操作人员及其操作行为进行安全控制和规范,从根本上提高了应用系统的安全性。
“技术应该服务于应用,而不是反过来。每一个企业决策者都不愿意为了新技术而大幅调整应用,因为这需要相当一段时间让员工再调整、再适应。”林顺东介绍,因此,云纵深防御中采用了国路安独有的业务系统前置应用安全网关,它可以在不改变应用的前提下,对各区域应用进行协议代理和访问控制。前置应用安全网关可实现基于CA证书的身份认证以及细颗粒度、标记化的访问控制,并确保整个应用过程可审计、可加密、可追踪。同时,由于所有的控制是针对应用而非针对物理资源,因此,即使采用VPN等远程访问,同样可以实现云环境下的应用安全隔离和访问控制。
林顺东描绘了云纵深防御的部署方式:在企业的产品、研发等涉密部门,通过安全云桌面系统将内网信息系统的应用边界转移到机房,让用户仅能通过机房内的应用终端访问涉密的应用系统,而日常的上网行为则与工作内容完全隔离。在这个“闭环”网络中,用户的操作终端与应用终端之间是物理分离的,它们之间的信息交换只能通过安全云桌面系统,从结构上减少了系统的安全风险,并降低了手动更新与维护管理的难度。另外,云桌面中的应用程序只能在基于加密的“白名单”机制下运行,只有授权程序方可安装和访问,有效防范了各种已知或未知的木马病毒。
Gartner的调查数据显示,目前有超过85%的企业信息安全威胁来自企业内网。虽然很多企业的信息安全防护体系都将外部威胁作为防护的重中之重,但数据泄露事件却愈演愈烈,企业的内网安全面临挑战。
大量投入却效果不佳
为了防范数据泄露事件的发生,目前虽然许多企业开始调整信息安全资金的投入方向,并在改善内网安全环境的同时推出更为严格的惩戒制度,但实际上,理想的防范水准与现实情况还存在着很大的差距。
“企业内网的信息系统面临的安全风险日渐加剧。”北京市国路安信息技术有限公司(下文简称国路安,GLA)研发总监林顺东认为,有两个关键因素导致企业内网安全防护的效果不佳:首先是在传统的防护结构中,每台终端及应用操作人员都是系统与外部环境连接的边界,这些边界数量多、分布范围广、类型复杂,给企业的安全管理控制带来极大的难度;其次是传统的杀毒软件、入侵检测等安全工具基于“黑名单”的安全机制,已经无法满足当前企业的防护需求,特别是企业的业务系统具有相对明确的操作人员和运行流程,应该采用更为适合也更严格的“白名单”机制。
从架构上防止数据泄露
为了改变企业在内网安全领域遇到的窘境,国路安提出了称为“云纵深防御”的新思路。据林顺东介绍,云纵深防御架构是通过安全虚拟化技术和应用安全网关系统,将应用系统(包括应用终端和应用服务器)整体部署到云端(数据中心或机房),从而有效减少应用系统与外部环境之间的边界数量和边界种类。另外,云纵深防御还采用“白名单”安全机制对应用操作人员及其操作行为进行安全控制和规范,从根本上提高了应用系统的安全性。
“技术应该服务于应用,而不是反过来。每一个企业决策者都不愿意为了新技术而大幅调整应用,因为这需要相当一段时间让员工再调整、再适应。”林顺东介绍,因此,云纵深防御中采用了国路安独有的业务系统前置应用安全网关,它可以在不改变应用的前提下,对各区域应用进行协议代理和访问控制。前置应用安全网关可实现基于CA证书的身份认证以及细颗粒度、标记化的访问控制,并确保整个应用过程可审计、可加密、可追踪。同时,由于所有的控制是针对应用而非针对物理资源,因此,即使采用VPN等远程访问,同样可以实现云环境下的应用安全隔离和访问控制。
林顺东描绘了云纵深防御的部署方式:在企业的产品、研发等涉密部门,通过安全云桌面系统将内网信息系统的应用边界转移到机房,让用户仅能通过机房内的应用终端访问涉密的应用系统,而日常的上网行为则与工作内容完全隔离。在这个“闭环”网络中,用户的操作终端与应用终端之间是物理分离的,它们之间的信息交换只能通过安全云桌面系统,从结构上减少了系统的安全风险,并降低了手动更新与维护管理的难度。另外,云桌面中的应用程序只能在基于加密的“白名单”机制下运行,只有授权程序方可安装和访问,有效防范了各种已知或未知的木马病毒。