【51CTO.com 綜合消息】一些含有重要敏感數據的單位內網，他們的計算機終端在安全管理上面臨哪些威脅？如何應對這些威脅，做好信息化管理和數據防泄露的具體工作，鼎普科技在這方面做了細致的研究與分析，提出了一套自己的綜合防護管理方案。

1 內網的安全威脅與防護分析

一般而言，內網安全威脅的主要來源有：惡意人員、軟硬件故障、惡意代碼和病毒、越權或濫用、物理攻擊、網絡攻擊、篡改、惡意行為、無意行為等多個方面；而信息泄露的途徑無外乎就是一些主要的點，如網絡途徑，存儲途徑，端口外設途徑、打印途徑、電磁發射途徑等。從信息系統安全基本要素的角度看，“網絡安全、主機安全、介質安全、數據與應用安全、網絡安全隔離與信息交換”等5個方面對終端的安全管理產生著巨大影響。

實際上，從另外一個角度看，計算機終端在安全管理和信息防泄漏方面面臨著一些更直接的基本問題和挑戰：如領導的意識，單位重視程度，或者經濟、預算狀況不是很好，網絡信息的規模及其復雜程度；無法確保部署的防護軟件不被隨意卸載或者繞過，新的泄密途徑層出不窮；還有國家政策、行業標準的推出是否得到及時跟進等等。

終端面臨著來自多個方面、不同層次的安全威脅，如何做好內網終端的安全防護與防信息泄露管理，這將是內網安全研究領域共同關注的問題，圖1為鼎普科技提出的內網安全防護的理念架構圖。

 
圖1 基本防護路線

在這個架構圖中，有國際上的ISO/IEC 2007等指導性標準，有國內針對涉密、非涉密系統的分級保護和等級保護兩大領域的一系列標準，它們都是內網安全策略制定的一些依據或借鑒。有了這些依據或標準，我們就要采取相應的技術手段進行防護了。然而，并非采取了防護手段，系統就一定安全，還要看系統采取的防護是否足夠到位，這就需要一種途徑或者方式來檢驗，我們稱之為自我的檢測和評估，這里面就會有風險評估的工具、掃描、檢測和計算機安全性檢查等等。另外就是管理的問題，一般無外乎兩種手段，一個是人的管理，另一個是技術的管理。兩種管理都需要相應的機構和制度，然后由人員來制定相關的策略，并去切實的執行。
#p#

2 鼎普的內網安全防護體系

鼎普科技作為內網安全領域的專家，經過多年的產品研發、市場探索和政策研究，在終端的安全與防泄漏管理上提出了一套完整的防護體系和理念。圖2、圖3分別列出了鼎普的TIPS安全防護平臺和TIPS安全檢查平臺。
 

圖2  TIPS安全防護平臺

圖3  TIPS安全檢查平臺

由圖2可以看出，TIPS安全防護平臺建立了四級的防護體系：首先就是以硬件級防護為基礎，建立可信可控的信息系統；其次，建立四級可信認證機制的縱深防御體系；接著是實現身份鑒別、介質管理、數據保護、安全審計、實時監控等一系列基本防護要求；最后，安全性、管理性并重，系統既突出安全性，更注重可管理性。同時，為實現對終端的安全管理，鼎普科技為用戶提供了一系列技術手段，幫助他們建立一個自檢平臺，如圖3所示，從單機、網絡行為、網絡環境三個層面進行一系列安全性檢查、評估。尤其重視了當前對計算機終端安全威脅極為嚴重的木馬檢測——通過靜態、動態檢測方式的密切配合，準確識別已知和未知的木馬，監測木馬的行為，并給出一個關于木馬的風險等級評估。

為構建上述“TIPS安全防護體系”，實現對終端的安全和防泄漏管理，鼎普科技以“Information”為出發點，充分考慮四個要素——機密性、可用性、完整性、可審計性?；旧?，這四大屬性的實現可以覆蓋95%以上的信息系統安全。

進一步，以“信息四要素”為核心，以“Information”為主體，從業務和管理應用角度出發，若實現對終端的安全和防泄漏管理，就必須實現——啟用硬件資源可信、進入操作系統可信、進入網絡可信、系統運行環境健康可信、運行程序健康可信、系統運行環境容災備份恢復、強制敏感文件安全存儲并自動備份恢復、文件操作/網絡連接行為實時監控、事中/事后的行為追查審計，同時所有這些都必須在統一的安全管理平臺下實現。
#p#

3 鼎普內網安全防護體系的實現途徑

回顧現有的安全防護系統，其安全性基本上完全取決于操作系統本身。而操作系統本身的安全性眾所周知——以歐美為主流，安全性不言而喻。如果把安全建立在他們的基礎之上，這種設想恐怕不容樂觀。

操作系統安全的“硬”保障

鼎普科技從硬件做起，實現安全防護中的“硬道理”——基于《PCI局部總線規范》在最底層實現對計算機終端進行物理安全加固?；谶@一思想設計的以PCI適配卡為載體的“鼎普計算機安全防護卡”自身安全性不依賴于任何操作系統或軟件，實現了強制終端從硬盤啟動，杜絕從光盤啟動，防止隨意重裝操作系統；并且實現了基于BIOS最底層的硬件級登錄認證；對包括操作系統在內的所有硬盤數據實施芯片級的全盤數據保護，但保護對用戶完全透明，即使硬盤丟失，數據也不可能被恢復。同時對終端操作系統上安裝的其他安全防護軟件也進行了安全加固，防止被繞過、刪除、格式化等一系列操作導致的防護失效。更為突出的是，由于其獨特的技術路線實現了對所有硬件平臺和操作系統的兼容，可以實現對除WINDOWS之外的其他操作系統平臺進行同樣的安全保護。

此后要考慮的事情就是實現登錄操作系統的可信可控——就是計算機硬件啟動之后，是否有權限進一步登陸操作系統，以及可以進行什么權限的文件操作，文件如何安全存放。如果計算機終端發生系統災難，如何進行系統備份和災難恢復。

內網接入的健康可控

在確保了終端安全的前提下，就要考慮實現終端進入網絡的健康、可信、可控——只有經過授權許可的“可信、可控、健康”計算機才允許接入到內網，并對入網計算機終端的運行、健康狀態進行實時監控，通過創新的技術及理念打造出一個信得過、進得來、控得住的健康可信的內部網絡。且這一機制的實現所依賴的“唯一識別標識”是硬件形式，不可偽造或隨意更改。接入內網的終端，如果不健康，防護系統會采取進一步措施，如報警、斷網或修補漏洞等。

內網終端非法外聯的實時阻斷

終端進入網絡后利用網絡進行各種敏感操作進而威脅終端安全的空間非常廣闊，如果不加任何限制的話。所以要對內部網路行為進行嚴密監視，更要“控制一切非授權外部連接”——因為未經授權的外部連接必然導致不可控的信息泄露。實時阻斷（或過濾）涉密計算機（或非密內部終端）連接互聯網，敏感單機（如筆記本）與外部網絡或主機的連接必須可控，需經過帶智能KEY的身份認證或管理部門授權。

移動存儲介質的使用管理

近兩年來，根據對終端發生泄密或安全失控事件的統計分析，得到一個極為震撼的現象：不論在涉密信息系統，還是非涉密信息系統，移動存儲介質的使用管理都是導致信息泄露和安全管理失控的重要源頭。因此，在做終端安全管理防護架構設計之初，鼎普科技就對移動存儲介質的管理控制做了充分考慮。

在體系中，對移動存儲介質的安全管理的核心目標就是——防止內外部、不同密級之間介質的交叉使用，同時使介質的管理集中、統一而高效。實現 “一個全面、兩個運行周期”，即全面掌控介質使用狀態、配置信息；嚴控介質從購買后的注冊發放、使用、統一臺帳監控、狀態查詢到收集注銷的運行周期；嚴控介質從插入、進行各種操作到拔除全程進行跟蹤記錄和實時報警的運行周期；通過對介質集中注冊產生翔實的臺帳記錄，提取生成的“介質編號、可信ID號、硬件ID號、品牌、責任人、使用人、聯系方式、部門、密級、授權狀態、使用狀態、備注信息”等基礎安全參數，構成了企業的“介質管理查詢數據庫”，方便監督管理部門對介質進行動態跟蹤、監控和快速的狀態查詢，掌控單位內介質的使用情況及狀態。

內外部信息交互的物理保障

在移動存儲介質管理這個范疇中，內外部信息交互的安全可控可能是終端防泄漏管理的一個重要應用焦點。利用光的物理單向傳輸的特性，鼎普科技開發了數據單向導入管理系統，在技術上極大地防范了高安全等級信息系統中內外網信息交互中的風險。同時使用專有技術研發的“安全移動傳輸盤”，必要時結合介質管理系統，很好的解決了介質交叉泄密和內外部信息安全交互、敏感信息外帶等一系列應用型問題。

內網終端綜合一體化的防護效果

以終端主機、桌面安全為出發點，采用C/S、B/S結構的體系設計，通過運用驅動攔截、網絡協議驅動過濾、文件驅動過濾、加密傳輸、身份認證、訪問控制技術等一系列技術開發的鼎普內網綜合管理系統，實現了終端一體化的安全管理防護效果，如圖4所示。
 

圖4 一體化安全管理防護效果

鼎普科技的目標是構建一個全面管理的安全平臺。通過提供“從終端、網絡到管理中心三點一線”的操作平臺，實現對主機各種泄密途徑實時控制，提供了網絡運行安全、管理高效的分布式、一體化集中解決方案，如圖5所示：
 

圖5 分布式、一體化集中解決方案

信息安全是一項集管理和技術為一體的系統工程。它是以計算機網絡安全技術應用為基礎，通過各種管理平臺和工具為手段來達到系統安全目的。鼎普科技將不斷研究新情況，解決新問題，密切關注信息安全的未來走向，為業界提供更安全更可靠更切實的解決思路。