政府部門、科研機構、軍隊及其他涉密單位計算機和計算機網絡的應用,極大的提高了這些部門的工作效率,也使得海量的信息存儲和處理成為了現實。但是,在享受到計算機以及計算機網絡所帶來的方便性的同時,也出現了目前受到廣泛關注的信息安全問題。

      數字信息安全之所以比傳統的數據文件安全更加受到關注,一方面是由于數字信息本身具有易于復制的特性,利用這個特性,信息更易于受到難以控制和追溯的盜取威脅;另一方面是由于計算機網絡所具有的遠程信息存取功能,網絡使信息更容易受到破壞、更改和盜取的威脅。很明顯,能否最大限度確保企業、政府或者其它組織內部數字信息的安全性已經關系到了計算機和計算機網絡能否真正成為有實質意義大規模應用的關鍵因素。

      嚴格來說,信息安全包含兩個方面:信息存儲的可靠性和信息的安全性,而本白皮書關注的是后者。一個組織內部的計算機通常都以網絡的形式相互連接,甚至跟外部的公共網絡相連以提供和獲取更加豐富的信息和更加廣泛的應用,所以,對數字信息安全的關注也就自然而然的演變為對網絡安全的關注。信息安全或者說網絡安全所關注的問題可以概況為以下兩個方面:

      n信息存儲的安全性。必須確保存儲在計算機和計算機網絡內的數據是安全的,不能受到未授權的訪問、破壞和盜取等攻擊。

      n信息傳輸的安全性。必須確保在計算機網絡中傳輸的重要信息是保密的,不能受到未授權的竊聽、破壞和仿造等攻擊。

      針對上述兩種信息安全的需求,許多的專家、學者和機構從不同角度提出了各種解決方案和技術方案,從關注信息訪問控制的對象和區域的側重點來劃分,基本上可以分為內部網絡安全和外部網絡安全兩種。

      外部網絡安全(簡稱外網安全)基于這么一種信任模型:網絡內部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。在這種模型中,衍生了眾多的網絡安全產品,如防火墻、入侵檢測(IDS)、內外網隔離以及其它針對外部網絡的訪問控制系統等等。但是,很明顯,外網安全的這種信任模型假設是存在巨大的漏洞的,它必然難以解決所有的網絡安全問題。

      內部網絡安全(檢查內網安全)基于這么一種信任模型:所有的用戶都是不可信的。在這種信任模型種,假設所有用戶(無論內部網絡用戶還是外部網絡用戶)都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內部網絡訪問服務器,下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部,這些隱患直接導致了信息被內部人員所竊取和破壞。但是,相較于外網安全而言,內網安全目前還沒有引起足夠的重視,基于內網安全思想的完整解決方案和產品也并不豐富。

      1.2內部網絡安全

      從某種意義上來說,內部網絡安全(內網安全)是外網安全的一種擴展和提升,它是基于更加科學和客觀的信任模型建立起來的。內網安全關注的對象不僅僅包括外部網絡的所有用戶,也包括了更可能引起信息安全威脅的內部網絡用戶,內網安全從更加全面和完整的角度對信息安全威脅的途徑進行了分析、處理和控制,使信息安全成為一個完整的整體,而不是一個存在明顯漏洞的片面解決方案。

      內網安全將用戶劃分為內網用戶和外網用戶,并且給予內網用戶更加仔細的關注。對所有外網用戶,內網安全理論將它們統一劃分為不信任的用戶,對來自外網的用戶通過身份驗證、授權和其它手段進行控制。對于內網用戶,內網安全理論給予每個用戶和其使用的個人計算機以極其詳細的關注和控制,因為這些用戶和計算機是更易于引起信息安全威脅的來源,下面是兩個簡單的例子:

      n內部人員可以輕松地從自己使用的計算機中復制機密信息,或者先從內部文件服務器下載機密信息,然后通過移動存儲設備或者網絡發送到組織外部,但是卻可以不留下任何痕跡。

      n內部人員可以在一個沒有內網安全產品支撐的網絡中輕松地對服務器進行攻擊,而不留下任何痕跡。這里,攻擊的手段可以是多樣的,比如通過網絡工具,或者直接接觸服務器進行物理接觸攻擊等等。

      一個完整的內網安全解決方案或者產品應該包含以下特征:

      n能夠防止外部用戶對內部網絡的惡意信息盜取、信息破壞和信息篡改等攻擊行為;

      n能夠防止內部用戶通過網絡將組織內部的機密信息通過網絡有意識或者無意識泄漏出去;

      n能夠防止內部用戶通過計算機或者計算機網絡的外部設備或終端設備將組織內部的機密信息有意識或者無意識泄漏出去;

      n能夠防止內部用戶對內部重要數據服務器進行攻擊和破壞;

      n能夠對內部網絡的所有計算機進行有效的管理和控制,并可以提供詳細的審計報告,在一旦發生信息安全威脅事件后進行責任追查。

      只有具備上述特征的內部網絡安全產品,才能具備完整保護內部網絡信息安全的能力,提供符合客觀管理模型的有效應用。

      1.3內網安全產品現狀分析

      傳統的基于外網安全理論的產品如防火墻、IDS和漏洞掃描等,僅僅解決了內網安全理論的一個方面,對于內網安全的內部用戶攻擊和威脅事件是無能為力的。

      目前來說,對一些具體內網安全問題,出現了一些針對性非常強的產品,比如防止移動存儲設備復制文件和檢查組織內部的郵件服務器等。這些產品共同的特點是針對某一個具體問題提出了解決方法,但是,根據木桶理論,網絡安全是一個有機的整體,也是一個環環相扣的鏈條,缺少其中任何一個環節,其安全性能就大幅度降低或者幾乎為零。內網安全絕不是這些產品的簡單組合能夠實現的。

      在技術上,這些產品并不是非常完善。比如某些防止移動存儲設備復制文件的系統,它們只是簡單粗暴地對移動存儲設備端口(比如USB端口)進行關閉和禁止使用,造成了用戶的極大不便,完全剝奪了用戶享受技術進步所帶來的方便性。

      綜上所述,國內外并沒有一個完整有效的內網安全解決方案,更缺乏系統有效的內網安全產品。正是為了填補國內外網絡安全產品的這項空白,為政府、企業和組織提供一個更加安全而有效的網絡環境,西安市信息技術應用研究所開發出了基于內網安全理論的神盾主機監控與審計系統(SD-INAS),并針對各個行業給出了基于SD-INAS的內網安全解決方案。



乱人伦中文视频在线_成 人 色综合_手机在线日本有码站