内网安全需防“家贼”

长期以来，对于信息安全问题，无论是企业，还是政府机构，通常认为员工是最不需要担心的一部分，往往把主要的精力放在网络边缘，大家认为安全问题是从外面进来的。这些组织都希望通过在互联网接入的地方，把病毒和攻击挡住，就可以万事大吉了，就可以安全无忧了。殊不知，安全是无内、外之分的。而有许多重大的网络安全问题却是由于内部员工所引起的。例如，在员工浏览色情网站、利用即时通讯和访问购物网站的时候，一些间谍软件、广告软件等恶意软件就会不知不觉地下载到电脑中，而且这些恶意软件还会在企业内部网络中进行传播，不仅会产生安全隐患，而且还会影响网络的使用率。特别值得注意的是，企业的机密资料、客户数据等信息可能会由于恶意软件的存在，在不知不觉中被盗取。据CSI对484家公司调查的结果显示，超过85%的安全威胁来自企业内部;而其中的威胁，有16%来自于内部未授权的存取。因此，当今企业的真正安全风险来自于企业内部，而不仅仅是外部。

目前，大部分企业都采用了防病毒软件、防火墙、IDS等外网安全解决方案，而忽视了内网安全的建设。相对于外网安全来自互联网的威胁，内网安全的重点是数据和信息的安全，而这些数据和信息，才是企业真正有价值的资源。数据安全的风险来自于两个方面，一方面是数据本身是否安全，也就是说数据是否加密；另一方面，在于是否得到授权的人访问了这些数据和信息；从风险的这两个方面来看，数据加密和身份认证是目前适合内网安全的主要技术手段。利用数据加密解决方案可保护笔记本电脑、工作站和服务器等设备的硬盘上的所有文件(包括操作系统的文件)的安全。即使硬盘被盗，您依然可放心数据不会被非授权人浏览或获取。虽然黑客可以潜入企业的服务器，但是，也无法对服务器上的数据和信息资产造成破坏，因为，这些资产都得到了安全的加密保护。利用双因素身份认证技术，可以确保访问人员的身份，只有一定级别的授权用户，才可以访问某些等级的数据和信息，不会让数据和信息仓库，无人值守，仓门大开。

硬盘加密

对电脑硬盘进行加密保护，可以降低信息被非授权者所利用的风险。硬盘加密采用业界公认的加密算法（例如AES 256位长度密钥），对硬盘进行高强度保护。目前的这种保护强度，不会被攻破。在没有经过授权的情况下，硬盘会处于加密保护状态，即使将其连接到其他系统也无法读取或存储硬盘数据，唯一处理的方式就是将硬盘格式化。采用硬盘加密技术的笔记本电脑，其硬盘上的所有数据被保护起来，大大降低机密数据泄露的风险。

用户密钥文件。硬盘加密产品都需要一个密钥来加密硬盘中的数据，密钥的管理是一个重要的方面。SafeNet的ProtectDrive产品中，提供了一个方便密钥管理的“syskey.bin”文件。在ProtectDrive安装时需要此文件。在对硬盘进行加密时，此文件将被用做加密硬盘的密钥文件的种子。若没有此文件，将无法移除ProtectDrive、无法针对被加密的硬盘做解密，也不能处理密码复原的动作。这样把Syskey.bin交给管理员管理，解决了密钥管理的问题。

硬盘加密产品需要为用户提供方便的系统登录方式，可以降低因为用户的网上冲浪，社会交际和写下密码而将密码泄露给未经授权使用者的风险。使用串口、打印口及磁盘驱动器阻挡其它辅助装置拷贝未经授权的数据。专业用户可以通过辅助端口(例如串口和并口)及计算机系统的软盘驱动器拷贝信息。大多数的公司通常采用活动目录(Active directory)的功能强制禁止使用辅助装置。您可以在硬件加密方案提供的活动目录管理接口中，设定全域策略来限制所有用户使用二级存储设备。本地用户将无法修改域安全设定，这样就达到通过禁止使用二级存储设备来保护本机的机密信息的目的。