科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航



ZDNet>网络频道>ZD评测>内网安全需防“家贼”

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

长期以来,对于信息安全问题,无论是企业,还是政府机构,通常认为员工是最不需要担心的一部分,往往把主要的精力放在网络边缘,大家认为安全问题是从外面进来的。

来源: 2006年08月07日

关键字:内网安全

长期以来,对于信息安全问题,无论是企业,还是政府机构,通常认为员工是最不需要担心的一部分,往往把主要的精力放在网络边缘,大家认为安全问题是从外面进来的。这些组织都希望通过在互联网接入的地方,把病毒和攻击挡住,就可以万事大吉了,就可以安全无忧了。殊不知,安全是无内、外之分的。而有许多重大的网络安全问题却是由于内部员工所引起的。例如,在员工浏览色情网站、利用即时通讯和访问购物网站的时候,一些间谍软件、广告软件等恶意软件就会不知不觉地下载到电脑中,而且这些恶意软件还会在企业内部网络中进行传播,不仅会产生安全隐患,而且还会影响网络的使用率。特别值得注意的是,企业的机密资料、客户数据等信息可能会由于恶意软件的存在,在不知不觉中被盗取。据CSI对484家公司调查的结果显示,超过85%的安全威胁来自企业内部;而其中的威胁,有16%来自于内部未授权的存取。因此,当今企业的真正安全风险来自于企业内部,而不仅仅是外部。

目前,大部分企业都采用了防病毒软件、防火墙、IDS等外网安全解决方案,而忽视了内网安全的建设。相对于外网安全来自互联网的威胁,内网安全的重点是数据和信息的安全,而这些数据和信息,才是企业真正有价值的资源。数据安全的风险来自于两个方面,一方面是数据本身是否安全,也就是说数据是否加密;另一方面,在于是否得到授权的人访问了这些数据和信息;从风险的这两个方面来看,数据加密和身份认证是目前适合内网安全的主要技术手段。利用数据加密解决方案可保护笔记本电脑、工作站和服务器等设备的硬盘上的所有文件(包括操作系统的文件)的安全。即使硬盘被盗,您依然可放心数据不会被非授权人浏览或获取。虽然黑客可以潜入企业的服务器,但是,也无法对服务器上的数据和信息资产造成破坏,因为,这些资产都得到了安全的加密保护。利用双因素身份认证技术,可以确保访问人员的身份,只有一定级别的授权用户,才可以访问某些等级的数据和信息,不会让数据和信息仓库,无人值守,仓门大开。

硬盘加密

对电脑硬盘进行加密保护,可以降低信息被非授权者所利用的风险。硬盘加密采用业界公认的加密算法(例如AES 256位长度密钥),对硬盘进行高强度保护。目前的这种保护强度,不会被攻破。在没有经过授权的情况下,硬盘会处于加密保护状态,即使将其连接到其他系统也无法读取或存储硬盘数据,唯一处理的方式就是将硬盘格式化。采用硬盘加密技术的笔记本电脑,其硬盘上的所有数据被保护起来,大大降低机密数据泄露的风险。

用户密钥文件。硬盘加密产品都需要一个密钥来加密硬盘中的数据,密钥的管理是一个重要的方面。SafeNet的ProtectDrive产品中,提供了一个方便密钥管理的“syskey.bin”文件。在ProtectDrive安装时需要此文件。在对硬盘进行加密时,此文件将被用做加密硬盘的密钥文件的种子。若没有此文件,将无法移除ProtectDrive、无法针对被加密的硬盘做解密,也不能处理密码复原的动作。这样把Syskey.bin交给管理员管理,解决了密钥管理的问题。

硬盘加密产品需要为用户提供方便的系统登录方式,可以降低因为用户的网上冲浪,社会交际和写下密码而将密码泄露给未经授权使用者的风险。使用串口、打印口及磁盘驱动器阻挡其它辅助装置拷贝未经授权的数据。专业用户可以通过辅助端口(例如串口和并口)及计算机系统的软盘驱动器拷贝信息。大多数的公司通常采用活动目录(Active directory)的功能强制禁止使用辅助装置。您可以在硬件加密方案提供的活动目录管理接口中,设定全域策略来限制所有用户使用二级存储设备。本地用户将无法修改域安全设定,这样就达到通过禁止使用二级存储设备来保护本机的机密信息的目的。

备份和恢复。硬盘加密产品通常都提供数据备份和恢复的工具。当硬盘加密信息变更时,此产品将立即进行系统备份。当系统不稳时,可以使用由数据表文件组成的备份文件来恢复硬盘。

密码遗失。密码管理通常为IT的头号敌人。研究指出大部份密码管理的时间都花在如忘记密码等密码复原的问题上。以SafeNet ProtectDrive来看,它提供挑战-响应(Challenge-response)的机制进行密码恢复。用户必须按下功能键来产生一个13个字符的挑战码。和拥有用户syskey.bin档的管理人员联络并告知此挑战码,管理人员就可以为用户产生一个响应。在“响应”字段中输入此响应,用户就可以通过屏幕中的启动前登录。当用户登录系统后便可更改密码。

双因素认证

随着企业信息化工作的开展和不断深化,越来越多的企业信息通过网络沟通、共享和保存。这些信息和数据既包含业务数据,也包括财务凭证、报表以及人事档案资料、公司内部公文,还包括合作伙伴的结算信息。这些信息有些是企业的商业机密,有些用于企业的规范管理,有些用于辅助决策,它们对企业的生存和发展起到至关重要的作用。因此,数据安全成为当今企业安全建设的重中之重。

双因素认证功能是为了防止非授权者入侵操作系统存取机密数据。只有采用双因素身份认证的方式,才能达到高强度的安全保护。身份认证可以通过智能卡,一次性口令,或者是USB令牌的方式进行,具有更高的可靠性。用户可以选择使用密码或令牌做为授权的方式。比如,SafeNet iKey双因素认证令牌。在登录应用系统时,用户需要同时知道iKey的PIN码以及iKey硬件才能通过认证,而这个PIN码是随机变化的。如果用户仅持有其中一个因素是无法通过访问验证的。这与使用银行卡在ATM提款机上取款时同样的道理。

通过数据加密和双因素认证来保护数字资产,是防止未经授权泄漏重要电子信息的终极手段。保存有机密数据的移动设备非常容易丢失或被盗窃,而通过公司网络或互联网传输的数据则有可能会遭到截取。这会给敏感数据带来巨大风险。虽然网络非常坚固,但对于一些网上黑客或恶意员工而言,由于他们了解如何来突破部署在网络周边的安全措施,最终他们仍然会通过最后防线窃取到机密数据。这样,唯一可对其形成阻碍的手段就是:数据加密和双因素认证。

(责任编辑:王琨玥

推广二维码
邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题