打造立体防御体系
“未来一年,贵公司是否制定了进一步加强内网安全管理的计划”,结果显示,41.6%的企业表示有,32.7%的用户表示暂时没有,25.7%的用户表示不确定。可见,有四成多的用户打算加强内网安全部署。
不过,涉及内网安全的因素非常多,产品形式也比较多样,在哪些环节如何部署就显得非常重要。总体而言,内网安全集中关注的对象包括引起信息安全威胁的内网用户、应用环境、应用环境边界和内网通信安全,因此,如何在企业内网构建一个有机统一的安全控制系统,实现立体式实时监管,才是实施内网安全部署的关键所在。
在万俊看来,保障内网安全不能仅靠各种功用安全产品的堆叠,而需要由单纯的安全产品部署上升到如何实现可信、可控的立体防护体系。比如通过四级可信认证机制,则可以让系统既突出安全性,有注重管理性。
第一级认证:基于硬件级别的安全防护和访问控制。在最底层实现对计算机终端进行物理安全加固,例如使用鼎普计算机安全防护卡从BIOS级实现登录认证和全盘数据保护,一方面可以杜绝非法用户从光盘启动绕过软件防护窃取数据,同时还可令用户不能随意安装操作系统、卸载已安装的软件系统改变现有安全环境。
第二级认证:基于操作系统的身份认证和文件保护。采用基于USB-KEY的双因素认证技术实现操作系统登录的可信可控,即在计算机硬件启动之后,可以限制用户权限,如是否可以进一步登录操作系统,以及可以进行何种权限的文件操作,文件如何安全存放以及安全删除。
第三级认证:实现对程序安装运行的授权控制。对应用程序进行黑白名单控制,只有经过管理员签名授权的程序才能在单机终端上运行使用,进一步规范终端用户的软件程序使用行为,可以最大程度防止程序的随意安装使用带来的病毒、木马的传播。
第四级认证:实现可信计算机接入内网的认证管理。网络边界的安全可控是内网安全的基本问题,通过基于802.1X认证协议的可信终端认证子系统,实现网络的安全接入——只有经过授权许可的可信、可控、健康计算机才能接入到内网,并对入终端的运行、健康状态进行实时监控,通过创新的技术理念打造出一个信得过、进得来、控得住的健康可信内部网络。如果不健康,防护系统会采取进一步措施,如报警、断网等。
在建立以上四级可信认证机制的纵深防御体系基础上,企业用户还要实现身份鉴别、介质管理、数据保护、安全审计、实时监控等防护要求,如此才能达到扎实有效的安全效果。
(新闻稿 2009-12-03)