內(nèi)部網(wǎng)信息安全分析的論文-計算機網(wǎng)絡(luò)論文

內(nèi)部網(wǎng)信息安全分析的論文計算機網(wǎng)絡(luò)論文

【摘要】本文通過對內(nèi)網(wǎng)面臨的安全威脅和現(xiàn)有安全產(chǎn)品的功能進行分析，提出了一種以多因素身份認證為基礎(chǔ)，基于加密網(wǎng)絡(luò)協(xié)議和加密磁盤文件系統(tǒng)，同時具有強移動存儲安全管理的方便、有效、先進的內(nèi)網(wǎng)信息安全管理控制技術(shù)和解決方案，可以有效解決內(nèi)網(wǎng)的諸多安全問題。

【關(guān)鍵詞】內(nèi)網(wǎng)網(wǎng)絡(luò)安全加密身份認證

一、引言

隨著信息技術(shù)特別是網(wǎng)絡(luò)技術(shù)的發(fā)展，大部分的企業(yè)或機關(guān)單位都組建了內(nèi)部局域網(wǎng)，實現(xiàn)了資源共享，信息傳遞快速有效，極大地提高了工作效率。內(nèi)網(wǎng)已成為企事業(yè)單位日常工作不可或缺的重要組成部分，同時，內(nèi)網(wǎng)中一般會有大量的保密數(shù)據(jù)文件和信息通過網(wǎng)絡(luò)進行傳遞。例如政府、軍隊或軍工單位內(nèi)具有一定密級的文件、文檔、設(shè)計圖紙等；設(shè)計院所的圖紙和設(shè)計圖庫等；研發(fā)型企業(yè)的設(shè)計方案、源代碼和圖紙等數(shù)字知識產(chǎn)權(quán)；企事業(yè)單位的財務(wù)數(shù)據(jù)等，都是保密數(shù)據(jù)信息。如何對這些保密數(shù)據(jù)信息進行全方位的保護，是非常重要的。

二、內(nèi)部網(wǎng)絡(luò)安全面臨的威脅

隨著技術(shù)的發(fā)展，網(wǎng)絡(luò)讓信息的獲取、共享和傳播更加方便，同時內(nèi)部局域網(wǎng)開放共享的特點，使得分布在各臺主機中的重要信息資源處于一種高風(fēng)險的狀態(tài)，很容易受到來自系統(tǒng)內(nèi)部和外部的非法訪問。防火墻、入侵檢測、網(wǎng)絡(luò)隔離裝置等網(wǎng)絡(luò)安全保護對于防止外部入侵有不可替代的作用，而對于內(nèi)部泄密顯得無可奈何，內(nèi)部人員的非法竊密事件逐漸增多。據(jù)中國國家信息安全測評認證中心調(diào)查，信息安全的現(xiàn)實威脅也主要為內(nèi)部信息泄露和內(nèi)部人員犯罪，而非病毒和外來黑客引起。Www..cOM根據(jù)對內(nèi)網(wǎng)具體情況的總結(jié)分析，來自內(nèi)部的安全威脅（見圖1）主要有4類：a．竊取者將自己的計算機非法接入內(nèi)網(wǎng)或者非法直接鏈接計算機終端，竊取內(nèi)網(wǎng)重要數(shù)據(jù)；b．竊取者直接利用局域網(wǎng)中的某一臺主機，通過網(wǎng)絡(luò)攻擊或欺騙的手段，非法取得其他主機甚至是某臺服務(wù)器的重要數(shù)據(jù)；c．內(nèi)部員工將只允許在局域網(wǎng)內(nèi)部使用的數(shù)據(jù)通過磁盤復(fù)制、打印、非法撥號外聯(lián)等手段泄漏到外部；d．內(nèi)部人員竊取管理員用戶名和密碼，非法進入重要的系統(tǒng)和應(yīng)用服務(wù)器獲取內(nèi)部重要數(shù)據(jù)。

在網(wǎng)絡(luò)互聯(lián)互通實現(xiàn)信息快速交換的同時，如何加強網(wǎng)絡(luò)內(nèi)部的安全，防止企事業(yè)單位的關(guān)鍵數(shù)據(jù)從網(wǎng)絡(luò)中泄漏出去，是網(wǎng)絡(luò)安全領(lǐng)域內(nèi)一個主要的發(fā)展方向。

三、現(xiàn)有內(nèi)部網(wǎng)絡(luò)安全產(chǎn)品分析

為了解決內(nèi)網(wǎng)安全問題，市場上也出現(xiàn)了諸多的內(nèi)網(wǎng)信息安全產(chǎn)品，主要分為三類。1.監(jiān)控與審計系統(tǒng)

現(xiàn)有各廠商的監(jiān)控與審計系統(tǒng)一般都由三部分組成：客戶端、服務(wù)器。其中，客戶端安裝在受控的計算機終端，用來收集數(shù)據(jù)信息，并執(zhí)行來自服務(wù)器模塊的指令；服務(wù)器端一般安裝在內(nèi)網(wǎng)中一臺具有高性能cpu和大容量內(nèi)存的用作服務(wù)器的計算機上，存儲和管理所有客戶端計算機數(shù)據(jù)；系統(tǒng)安全管理員可以登錄到服務(wù)器端管理各類審計功能模塊，并制定各種安全策略?？蛻舳烁鶕?jù)控制端下發(fā)的安全策略，對受控主機進行相應(yīng)的監(jiān)控，并將相應(yīng)的信息上傳至服務(wù)器。它能夠獲取受控主機的信息資料，對各類輸入輸出端口如usb、軟驅(qū)、光驅(qū)、網(wǎng)卡、串/并口、調(diào)制解調(diào)器、紅外通信等進行控制與監(jiān)控，也可以對各類應(yīng)用程序進行監(jiān)控，防止終端計算機非法接入、非法外聯(lián)，對文件操作等行為進行審計。

這類產(chǎn)品提供了一定的安全控制功能，但由于其重點是按照安全策略進行記錄和審計，屬于事后審計產(chǎn)品，因此并不能很好地阻止單位信息泄密事件的發(fā)生，一旦發(fā)現(xiàn)泄密事件發(fā)生，損失已經(jīng)造成，所以這類產(chǎn)品的安全作用有一定的局限性。2.文檔加密系統(tǒng)文檔加密系統(tǒng)采用一定的加密算法對文件進行加密，實現(xiàn)對各類電子文檔內(nèi)容級的安全保護，一般由客戶端加解密軟件和認證服務(wù)器構(gòu)成。加密軟件對涉密文件進行加密，設(shè)置不同級別的使用權(quán)限。權(quán)限設(shè)計可由管理員或加密文件的擁有者進行設(shè)置。管理員可以控制終端用戶對重要文件的讀取、存儲、復(fù)制、打印等，從而防止用戶之間非法復(fù)制、外部發(fā)行、光盤拷貝，可以杜絕使用u盤、軟盤、光盤、電子郵件等方式竊取企事業(yè)單位的電子文檔。

文檔加密可以實現(xiàn)對重要數(shù)據(jù)的加密保護，但是管理不靈活，而且內(nèi)網(wǎng)資源眾多，需要分別進行權(quán)限的設(shè)置，管理難度大，尤其當用戶權(quán)限發(fā)生頻繁更換的時候，容易造成漏洞，此類產(chǎn)品可操作性較差。3.身份認證系統(tǒng)用戶認證系統(tǒng)采用各種認證方式實現(xiàn)用戶的安全登陸和認證，獨立于計算機原有的登陸系統(tǒng)，安全可靠性更高。一般由認證服務(wù)器和認證代理組成，有些產(chǎn)品提供認證令牌。認證服務(wù)器是網(wǎng)絡(luò)中的認證引擎，由安全管理員進行管理，主要用于令牌簽發(fā)，安全策略的設(shè)置與實施，日志創(chuàng)建等；認證代理是一種安裝在終端計算機上的專用代理軟件，實施認證服務(wù)器建立的各種安全策略；認證令牌以硬件、軟件或智能卡等多種形式向用戶提供，用來確認用戶身份，如果令牌認證正確，就可以高度確信該用戶是合法用戶。目前這類產(chǎn)品主要實現(xiàn)了單一的用戶身份鑒別，并不能實現(xiàn)對計算機的有效訪問控制，其應(yīng)用范圍相對有限。

上述三類產(chǎn)品在一定程度上或某些方面解決了內(nèi)網(wǎng)信息安全問題，并沒有實現(xiàn)計算機、用戶、策略三個方面的全面防護。四、內(nèi)網(wǎng)安全產(chǎn)品關(guān)鍵性能探討

內(nèi)網(wǎng)對信息安全的要求越來越高，內(nèi)網(wǎng)安全產(chǎn)品不應(yīng)該只是解決單方面的問題，應(yīng)該從用戶身份認證、計算機安全性、網(wǎng)絡(luò)通信安全性、數(shù)據(jù)自身安全性、外設(shè)安全管理、綜合安全審計等方面提供一整套完善的解決方案（見圖2），對數(shù)據(jù)的存儲、傳輸和使用在整個生命周期內(nèi)進行控制、保護和審計，確保數(shù)據(jù)的完整性和保密性，從而防止敏感信息泄漏，為企事業(yè)單位構(gòu)建可信可控的內(nèi)部網(wǎng)絡(luò)。

1.統(tǒng)一建立身份認證授權(quán)體系應(yīng)完全獨立于計算機、網(wǎng)絡(luò)系統(tǒng)原有的認證體系，采用軟硬件相結(jié)合的多重認證體系，提高可靠性，使用方便，對原有的內(nèi)網(wǎng)體系影響很小。同時，對所有外設(shè)、輸入/輸出端口及操作的授權(quán)管理，實現(xiàn)授權(quán)的人僅能操作授權(quán)的計算機，僅能使用授權(quán)的磁盤、磁盤分區(qū)、外設(shè)、移動存儲設(shè)備等，僅能使用授權(quán)的輸入輸出接口，為安全系統(tǒng)的可靠運行奠定基礎(chǔ)。2.透明模式強制網(wǎng)絡(luò)通訊加密由于標準的計算機通信協(xié)議本身設(shè)計上沒有考慮安全性，是一個開放的協(xié)議，使得網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)能夠被截獲。為確保內(nèi)網(wǎng)信息安全，必須要解決內(nèi)網(wǎng)中任意兩臺機器之間進行通信時數(shù)據(jù)的安全性問題。內(nèi)網(wǎng)安全產(chǎn)品應(yīng)實現(xiàn)網(wǎng)絡(luò)傳輸?shù)膹娭萍用?，任意兩臺計算機間的通信密鑰都是不一樣的，這有效防止了網(wǎng)內(nèi)使用惡意偵聽軟件的行為。同時，由于網(wǎng)絡(luò)協(xié)議數(shù)據(jù)封裝格式不通，內(nèi)部網(wǎng)絡(luò)的計算機的各種方式非法外聯(lián)也無法進行通信，這有效的防止了非法外聯(lián)行為的發(fā)生。非法接入內(nèi)部網(wǎng)絡(luò)的計算機，因為無法獲得有效的網(wǎng)絡(luò)通信密鑰，也都將無法聯(lián)通，有效防止了非法接入行為的發(fā)生。3.透明模式強制加密本地硬盤采用強加密算法改寫系統(tǒng)層對文件的讀寫操作，使得本地硬盤中的除系統(tǒng)盤外的所有文件均為加密存儲，只能在內(nèi)網(wǎng)安全產(chǎn)品啟動的情況下才能正常讀寫這些文件。同時根據(jù)需要制定審計策略，對特別重要的文件的讀寫操作進行審計。所有本地文件，都將被系統(tǒng)自動強制加密保存在磁盤中。同時為了在保證數(shù)據(jù)安全性的同時不影響用戶日常使用習(xí)慣，加解密必須采用透明方式。通過強制加密，即使磁盤被盜用或者丟失，都不會造成重要信息的泄密。防止了因為硬盤丟失、多操作系統(tǒng)和光盤啟動等造成的數(shù)據(jù)泄密事件的發(fā)生。4.加強對移動存儲介質(zhì)的安全管理通過管理員的注冊、認證、授權(quán)后才能在指定的范圍內(nèi)按照指定的讀寫策略使用移動存儲設(shè)備，可以實現(xiàn)對軟盤、u盤和移動硬盤等便攜式移動存儲設(shè)備的有效管理。

當移動存儲設(shè)備被注冊為加密讀寫策略的時候，所有寫入該移動存儲設(shè)備的文件數(shù)據(jù)將被強制加密，只能在管理員授權(quán)允許的終端上正常使用。如果使用移動存儲介質(zhì)將這些數(shù)據(jù)攜帶到出此范圍，無法正常讀寫，只是毫無意義的加密數(shù)據(jù)。這種方式有效地限定了數(shù)據(jù)的可用范圍，對于用戶來說，既可以享受移動存儲設(shè)備共享數(shù)據(jù)的方便性，又可以實現(xiàn)有效地數(shù)據(jù)共享范圍管理。

總之，新型的內(nèi)網(wǎng)信息安全產(chǎn)品要提供一種方便、有效、先進的內(nèi)網(wǎng)信息安全管理控制技術(shù)和解決方案，解決內(nèi)部網(wǎng)絡(luò)的用戶身份和計算機管理、網(wǎng)絡(luò)信息保密等安全問題，達到外部入侵進不來、非法外接出不去、內(nèi)外勾結(jié)拿不走、拿走東西看不懂的效果，有效防止機密敏感信息的泄漏，為企事業(yè)單位構(gòu)建了一個可信可控的內(nèi)網(wǎng)。

參考文獻：