安全平台
安全平台
企業內部網路的規模,往往由網路終端計算機的規模來決定,但是“牛×”的光環卻帶來更多的信息安全隱憂。因為對企業內部網路來說,訪問終端就是一個個的“門”,當“門”越多的時候,“破門而入”的威脅自然就越多。之所以現在有太多安全風險存在,就因為隨著網路的飛速發展,區域網路的終端越來越多,而終端在IT架構中太多的不確定性,直接導致了網路安全的巨大隱患。
為什麼作為網路構成基礎的終端計算機,反而成為網路安全的隱患?如何才能恰當解決這個問題呢?
終端:網路肌體薄弱處
在企業的IT環境中,往往終端數量巨大,其形式多樣化、部署分散、不被重視、安全手段缺乏的現狀已成為信息安全體系的薄弱環節。權威統計數據表明,企業的安全損失有80%來自企業內部,終端安全管控是重中之重。
雖然終端資產的重要性級別通常低於網路中的交換機、路由器等核心網路設備以及各種業務主機和伺服器,但終端數量眾多,而且是組織日常辦公和業務運行的載體。如果終端安全受到威脅,即使網路中的核心設備安然無恙,整個網路的業務運行也會受到嚴重影響。
目前,傳統安全廠商的產品很難真正實現對所有區域網內的終端都實現一體化安全管理。原因有二:一是缺乏統一的網路技術標準限制了終端安全產品對網路設備的兼容性;二是各種新應用和新攻擊層出不窮。
傳統的計算環境也在發生革命性變化。在日常運營中可以發現,在以數據中心為核心的IT環境中,應用的核心引擎已經向數據中心轉移。當終端作為一種輕便的接入方式后,用戶通過桌面的各種應用可以通過數據中心接入整個信息網路系統,如ERP、CRM、BOSS系統和計費系統等。但傳統的安全體系架構有一些致命性問題,如安全策略難以統一,而且桌面應用過於強大。正是由於傳統桌面操作過於強大,每個員工又可以做很多額外工作,因此造成不確定性過高。
對於信息安全的實施與管理來說,控制終端、控制應用是首要任務。在實際的企業IT環境中,信息安全的不確定性因素幾乎都是由人產生的,而人通過類似PC、手機、PDA等終端設備接入到信息系統的界面和介面主要設施。
極通ewebs:解除終端威脅
我們可以換個角度思考安全——管住了應用,也就管住了不確定性;鎖定了數據流,也就保住了網路信息資產。這是體系結構上的根本性思路轉變,實現了信息看得見、摸得著,卻帶不走,這也是極通EWEBS應用虛擬化系統的最大價值。
極通EWEBS應用虛擬化技術,能夠無縫將各種應用軟體集中部署在EWEBS伺服器(集群)上,並通過EWEBS的應用程序虛擬化功能,將各種應用軟體整合到企業門戶中供終端用戶使用。終端客戶機無需安裝任何軟體,就能夠讓企業各種IT應用擺脫終端設備和網路帶寬的限制,實現終端客戶機用戶在任何時間、任何地點、使用任何設備、採用任何網路連接,都能夠高效、快捷、安全、方便地訪問已經集中部署在EWEBS伺服器(集群)上的各種應用軟體。這是應用虛擬化技術的核心思想。
因此,所有的程序運行和數據流,都在EWEBS伺服器(集群)上,方便於集中管控,無論有多少終端,都已經沒有實際的信息數據,不存在安全風險,同時終端受到EWEBS集中安全管控,也免除了外部黑客通過終端向中心伺服器“下手”的隱患,從而打造了一個十分靈活且堅固的集中式網路安全架構。
集中式安全架構的兩個實施步驟,第一要將業務指定的所有關鍵應用集中放置於數據中心,以簡便管理和支持;第二是選擇最佳的應用虛擬化系統平台,實現應用集中部署和管控。當然,將所有終端應用都管起來並不現實,用戶要針對實際的業務應用,如財務系統、運營系統等關鍵系統進行集中管控。在終端桌面中,可以把一部分不需集中管控的個性化應用放到應用虛擬化體系之外,給終端用戶留出部分空間。通過虛擬化方式,把需要管控的應用管控起來,將不需要管控的應用排除出去,不影響已經用虛擬化系統保護起來的應用本身的數據交換和安全,因此這稱得上是一種體系架構的變革。
目前,應用虛擬化能夠展現給用戶最直接的功能還是遠程應用交付,或者叫遠程接入。從全球應用虛擬化領域看,走在最前沿的廠商還是Citrix(思傑),其推出的應用虛擬化平台Citrix交付中心(Citrix Delivery Center),即Citrix應用交付基礎架構解決方案正在逐步進行中國全面本地化的進程。而國內最具實力的應用虛擬化領導廠商則非極通科技莫屬,2008年7月,極通科技向全球推出極通EWEBS2008應用虛擬化系統,已經全面填補國內空白,趕超了Citrix(思傑)等全球先進技術,該產品在EWEBS 2008中採用了極通科技獨創的AIP(Application Integration Protocol)技術,實現應用虛擬化集中式安全架構。
TST是一款硬體加密晶元與軟體結合的信息安全產品,基於國際密碼局自主加密演演算法構建,由清華同方電腦率先在國內生產和銷售。平台通過硬體加密晶元與軟體結合,為用戶提供專屬私密存儲區,搭建工作組內部機密信息共享平台,可以封堵機密信息通過截屏、郵件、木馬、病毒、移動存儲、聊天工具等方式,有意識或無意識泄露。同時提供操作審計日誌,出現問題可追根溯源。
編輯
1)個人密盤:密盤內文件通過電子郵件、截屏、拷貝、複製、粘貼、列印等途徑傳輸后,全部都是亂碼。
2) 授權密網:加密數據在安全工作域中共享、傳遞,離開工作域后,數據打開即是亂碼。
3) 即時備份:按文件夾大小、類型對指定文件夾增量備份,幫助恢復被他人惡意刪除或誤刪除的重要數據。
4) 行為審計:保存所有操作記錄,審計員可通過時間、操作類型、操作結果等選項,快速檢索所需要的審計信息。
5)硬體加密:國家自主可控TCM晶元硬體加密。
編輯
A公司王老闆將《銷售代理協議書》及“稅務信息”存放到自己的電腦中,電腦有問題送到維修點去修,修好后,維修工程師找到了這兩份,並敲詐王老闆,王老闆苦不堪言。
信息泄露的根源:機密信息在計算機上明文存儲。
使用同方TST安全平台後,A公司稅務信息被加密保存,並被系統隱藏,維修工根本就感覺不到這些文件的存在,他就不會得逞了。
某軟體公司研發總監最近又招來一批研發人員,它把剛開發好的軟體的源代碼分別通過網路共享給這些人來審查代碼。其中一名員工突然被競爭對手挖走,結果對手搶先申請專利併發布,十個月的工作付出東流。那麼如何做到在將核心資料與大家分享的同時,還能保證信息的安全性呢?
信息泄露的根源:機密信息在計算機網路上明文共享。
可信任安全平台模塊(TPM)通過安全系統有效保護密鑰交換的安全進程,提供硬體級安全防護,讓您免遭黑客的攻擊,保護您的密碼、密鑰以及機密數據。
NiordSec內網安全平台的總體目標是保障內網系統安全有序的運行,規範和約束員工的各種行為,防止敏感信息泄密。NiordSec內網安全平台由一個基礎平台和6個子系統組成,可信網路認證授權子系統提供以用戶和計算機為對象的各種認證操作,同時基於訪問控制、授權認證、數據加密、行為監控、安全審計等內置功能,通過與可信網路認證子系統、可信桌面管理子系統、可信網路監控子系統、可信移動存儲介質管理子系統、可信網路分域管理子系統和可信文檔安全管理子系統相結合,對內網系統提供全方位的保護。
編輯
可信網路認證從訪問控制的角度,分析傳統的企業網路的安全狀況,存在三種嚴重的安全缺陷。(1)不能保證企業網內主機可信,即沒有明確的企業網安全設備邊界,這樣造成的嚴重安全隱患是惡意主機可以方便地接入企業網路,進行恣意的網路破壞和竊密活動。(2)不能保證企業網內用戶的可信,即沒有明確的企業網安全用戶邊界,這樣不僅造成終端使用者行為不可控,而且造成了他們的行為不能有效審計,在安全事故發生后,出現了難以有效追蹤和定位泄露源以及追究泄密者安全責任的尷尬局面。(3)不能保證服務資源的使用者可信,即沒有可靠的服務資源的安全使用邊界,因此惡意竊密者可以利用可以接觸的網內任意主機進行暴力攻擊(如密碼的字典攻擊)和旁路攻擊(如繞過信息系統的認證機制,直接登入該信息系統依賴的資料庫)而竊密網路內重要的服務資源。
因此,為了保障企業網的安全,必須要保證網內所有接入主機可信,保證網內所有接入用戶可信,以及保證服務資源的使用者可信。