设为首页 - 加入收藏
热搜: 网销 团购企业
广告位
当前位置: 网销中国 > 大营销 > 管理信息化 >

内部网信息安全的理论分析

2010-06-15 00:36 [管理信息化] 来源于:
导读:随着信息技术特别是网络技术的发展,大部分的企业或机关单位都组建了内部局域网,实现了资源共享,信息传递快速有效

    随着信息技术特别是网络技术的发展,大部分的企业或机关单位都组建了内部局域网,实现了资源共享,信息传递快速有效,极大地提高了工作效率。内网已成为企事业单位日常工作不可或缺的重要组成部分,同时,内网中一般会有大量的保密数据文件和信息通过网络进行传递。如何对这些保密数据信息进行全方位的保护,是非常重要的。

    随着信息技术特别是网络技术的发展,大部分的企业或机关单位都组建了内部局域网,实现了资源共享,信息传递快速有效,极大地提高了工作效率。内网已成为企事业单位日常工作不可或缺的重要组成部分,同时,内网中一般会有大量的保密数据文件和信息通过网络进行传递。例如政府、军队或军工单位内具有一定密级的文件、文档、设计图纸等;设计院所的图纸和设计图库等;研发型企业的设计方案、源代码和图纸等数字知识产权;企事业单位的财务数据等,都是保密数据信息。如何对这些保密数据信息进行全方位的保护,是非常重要的。

    随着技术的发展,网络让信息的获取、共享和传播更加方便,同时内部局域网开放共享的特点,使得分布在各台主机中的重要信息资源处于一种高风险的状态,很容易受到来自系统内部和外部的非法访问。防火墙、入侵检测、网络隔离装置等网络安全保护对于防止外部入侵有不可替代的作用,而对于内部泄密显得无可奈何,内部人员的非法窃密事件逐渐增多。据中国国家信息安全测评认证中心调查,信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪,而非病毒和外来黑客引起。根据对内网具体情况的总结分析,来自内部的安全威胁主要有4类:窃取者将自己的计算机非法接入内网或者非法直接链接计算机终端,窃取内网重要数据;窃取者直接利用局域网中的某一台主机,通过网络攻击或欺骗的手段,非法取得其他主机甚至是某台服务器的重要数据;内部员工将只允许在局域网内部使用的数据通过磁盘复制、打印、非法拨号外联等手段泄漏到外部;内部人员窃取管理员用户名和密码,非法进入重要的系统和应用服务器获取内部重要数据。

    为了解决内网安全问题,市场上也出现了诸多的内网信息安全产品,主要分为三类。

    1.监控与审计系统

    现有各厂商的监控与审计系统一般都由三部分组成:客户端、服务器。其中,客户端安装在受控的计算机终端,用来收集数据信息,并执行来自服务器模块的指令;服务器端一般安装在内网中一台具有高性能CPU和大容量内存的用作服务器的计算机上,存储和管理所有客户端计算机数据;系统安全管理员可以登录到服务器端管理各类审计功能模块,并制定各种安全策略。客户端根据控制端下发的安全策略,对受控主机进行相应的监控,并将相应的信息上传至服务器。它能够获取受控主机的信息资料,对各类输入输出端口如USB、软驱、光驱、网卡、串/并口、调制解调器、红外通信等进行控制与监控,也可以对各类应用程序进行监控,防止终端计算机非法接入、非法外联,对文件操作等行为进行审计。

    这类产品提供了一定的安全控制功能,但由于其重点是按照安全策略进行记录和审计,属于事后审计产品,因此并不能很好地阻止单位信息泄密事件的发生,一旦发现泄密事件发生,损失已经造成,所以这类产品的安全作用有一定的局限性。

    2.文档加密系统

    文档加密系统采用一定的加密算法对文件进行加密,实现对各类电子文档内容级的安全保护,一般由客户端加解密软件和认证服务器构成。加密软件对涉密文件进行加密,设置不同级别的使用权限。权限设计可由管理员或加密文件的拥有者进行设置。管理员可以控制终端用户对重要文件的读取、存储、复制、打印等,从而防止用户之间非法复制、外部发行、光盘拷贝,可以杜绝使用U盘、软盘、光盘、电子邮件等方式窃取企事业单位的电子文档。

    文档加密可以实现对重要数据的加密保护,但是管理不灵活,而且内网资源众多,需要分别进行权限的设置,管理难度大,尤其当用户权限发生频繁更换的时候,容易造成漏洞,此类产品可操作性较差。

    3.身份认证系统

    用户认证系统采用各种认证方式实现用户的安全登陆和认证,独立于计算机原有的登陆系统,安全可靠性更高。一般由认证服务器和认证代理组成,有些产品提供认证令牌。认证服务器是网络中的认证引擎,由安全管理员进行管理,主要用于令牌签发,安全策略的设置与实施,日志创建等;认证代理是一种安装在终端计算机上的专用代理软件,实施认证服务器建立的各种安全策略;认证令牌以硬件、软件或智能卡等多种形式向用户提供,用来确认用户身份,如果令牌认证正确,就可以高度确信该用户是合法用户。目前这类产品主要实现了单一的用户身份鉴别,并不能实现对计算机的有效访问控制,其应用范围相对有限。

    上述三类产品在一定程度上或某些方面解决了内网信息安全问题,并没有实现计算机、用户、策略三个方面的全面防护。

编辑:白雪
2

(编辑:网销顾问)

网友评论
推荐文章