【51CTO.com綜合報(bào)道】近年來(lái)，泄密事件隨著經(jīng)濟(jì)活動(dòng)的繁榮而愈演愈烈。從索尼失竊客戶數(shù)據(jù)信息和信用卡資料到IMF（國(guó)際貨幣基金組織）承認(rèn)數(shù)據(jù)庫(kù)被入侵，各大泄密事件正挑動(dòng)著人們的神經(jīng)，然而我們能見(jiàn)諸于新聞?dòng)赏獠抗魧?dǎo)致的泄密事件還只是冰山一角，隱而不見(jiàn)的企業(yè)內(nèi)部泄密才是泄密事件的重災(zāi)區(qū)。2010內(nèi)網(wǎng)安全報(bào)告顯示，因?yàn)閮?nèi)部原因造成的數(shù)據(jù)泄密較上一年增加了兩倍，達(dá)到了46%，并且還以高速的發(fā)展趨勢(shì)，快速增長(zhǎng)。

桌面終端安全應(yīng)引起重視

頻發(fā)的泄密事件應(yīng)該給金融行業(yè)敲響警鐘，金融業(yè)作為國(guó)家經(jīng)濟(jì)的重要組成，其信息安全的重要性不言而喻，金融企業(yè)在數(shù)據(jù)中心的安全尤其在防止外部攻擊方面投入巨大，可以說(shuō)做的非常成熟。但是，內(nèi)部泄密途徑眾多且不易管控，簡(jiǎn)單的網(wǎng)絡(luò)行為或移動(dòng)設(shè)備的拷貝即可以輕易繞過(guò)企業(yè)辛苦建立起的“馬奇諾防線”。

對(duì)于在國(guó)內(nèi)發(fā)生過(guò)的某知名外資銀行客戶銀行存款被盜案件，上海師范大學(xué)金融工程研究中心主任孫茂輝曾表示：“金融行業(yè)其實(shí)相比其他行業(yè)在信息安全的硬件建設(shè)上是最成熟的。像這類企業(yè)，更多是由于內(nèi)部員工或者合作伙伴引起的數(shù)據(jù)丟失。此案的爆發(fā)，對(duì)整個(gè)銀行業(yè)有一定的警示作用。目前，銀行多專注于防控來(lái)自外部的風(fēng)險(xiǎn)，而內(nèi)部的人員管理卻流于形式。”

實(shí)際上，桌面終端也在內(nèi)網(wǎng)，連接了所有嚴(yán)格布防的數(shù)據(jù)中心，如果終端沒(méi)有管理好，肯定會(huì)影響到數(shù)據(jù)中心的核心系統(tǒng)和核心應(yīng)用，對(duì)于桌面終端的安全管理，大家往往是不太重視，但實(shí)際上卻是最容易出問(wèn)題的環(huán)節(jié)。金融行業(yè)同樣存在大量的外包人員和第三方伙伴，因?yàn)楹献餍枰尤雰?nèi)網(wǎng)，如果管理不當(dāng)，也存在發(fā)生安全事故的風(fēng)險(xiǎn)。

傳統(tǒng)方案存在諸多不足

終端對(duì)核心業(yè)務(wù)數(shù)據(jù)進(jìn)行單獨(dú)訪問(wèn)，傳統(tǒng)方式主要是采用網(wǎng)絡(luò)安全隔離卡、安全隔離網(wǎng)閘、基于無(wú)盤(pán)系統(tǒng)的隔離、雙網(wǎng)絡(luò)系統(tǒng)等物理隔離的辦法，采取物理隔離的方式有較高的安全性，但是數(shù)據(jù)的傳輸與處理仍是以明文的方式來(lái)進(jìn)行，客觀上還是有一定的風(fēng)險(xiǎn)存在。物理隔離在實(shí)際的使用中，還存在著諸多不足。

首先是易用性差，現(xiàn)代辦公對(duì)網(wǎng)絡(luò)應(yīng)用更加的依賴，在保證信息安全的情況下，則不能方便的進(jìn)行其它文件跨網(wǎng)使用、移動(dòng)辦公、外網(wǎng)郵件、IM即時(shí)通訊等應(yīng)用；其次是擴(kuò)展性差，后期擴(kuò)展必須增加兩套設(shè)備；再次是IT成本高，包括建設(shè)、管理、維護(hù)。基于物理隔離以上的使用特點(diǎn)，我們可以看到：傳統(tǒng)的隔離方式已經(jīng)不能更好的適應(yīng)金融信息化的快速發(fā)展。這時(shí)能否出現(xiàn)一些前瞻性的解決方案提供商，對(duì)金融信息安全的建設(shè)進(jìn)行引導(dǎo)，將顯得至關(guān)重要。

專家支招:從源頭抓起

如何確保桌面終端有更高的安全性，而且易于部署，同時(shí)還不影響員工的工作效率？深信服公司金融事業(yè)部產(chǎn)品經(jīng)理郝曉龍?zhí)岢隽私ㄗh：“要解決內(nèi)部泄密應(yīng)該從信息的源頭抓起。”內(nèi)部泄密分為主動(dòng)泄密和被動(dòng)泄密，主動(dòng)泄密主要通過(guò)網(wǎng)絡(luò)對(duì)外發(fā)送、移動(dòng)存儲(chǔ)拷貝、在內(nèi)網(wǎng)獲取信息后通過(guò)3G等其他網(wǎng)絡(luò)對(duì)外發(fā)送，而被動(dòng)泄密則是內(nèi)部人員將重要信息留存在本地桌面，后因遺失或其它原因?qū)е滦姑埽灰覀兛刂屏诵畔⒌脑搭^，就能從很大程度上保障信息的安全。

具體操作上是在服務(wù)器前部署安全網(wǎng)關(guān)實(shí)現(xiàn)統(tǒng)一管理，所有訪問(wèn)服務(wù)器的終端必須通過(guò)安全網(wǎng)關(guān)來(lái)進(jìn)行，經(jīng)身份認(rèn)證后安全網(wǎng)關(guān)向桌面終端推送生成一個(gè)虛擬安全桌面，所有核心業(yè)務(wù)數(shù)據(jù)和應(yīng)用的訪問(wèn)只能通過(guò)安全桌面。

安全桌面是一個(gè)相對(duì)孤立的環(huán)境，本地桌面與安全桌面不能進(jìn)行數(shù)據(jù)交互，即訪問(wèn)終端不能把任何資料或文件保留在本地；在安全桌面中禁止和外網(wǎng)、本地局域網(wǎng)的任何地址進(jìn)行通訊，數(shù)據(jù)不能通過(guò)即時(shí)通訊和郵件等工具進(jìn)行發(fā)送，也不能連接到打印機(jī)進(jìn)行打印；虛擬桌面獲取的臨時(shí)業(yè)務(wù)數(shù)據(jù)在退出安全桌面中會(huì)被銷毀，所有的操作痕跡將會(huì)被清除。同時(shí)，部署安全桌面不需要改變網(wǎng)絡(luò)結(jié)構(gòu)，用戶在默認(rèn)桌面和安全桌面間可以自由切換。在安全桌面中，用戶可以在訪問(wèn)服務(wù)器時(shí)獲得與默認(rèn)桌面一致的用戶體驗(yàn)，具有良好的易用性。

郝曉龍表示：“深信服安全桌面采用的‘沙盒’技術(shù)已經(jīng)是非常成熟的虛擬化技術(shù)，它可以最大程度的防止內(nèi)部泄密。”虛擬化安全桌面中所有運(yùn)行的程序和臨時(shí)存儲(chǔ)的數(shù)據(jù)，都是在虛擬獨(dú)立的硬盤(pán)空間和內(nèi)存空間中的，運(yùn)行的過(guò)程中直接對(duì)該區(qū)域進(jìn)行加密。所以，在默認(rèn)桌面中，任何程序都無(wú)法查看或者調(diào)用安全桌面中的運(yùn)行數(shù)據(jù)和臨時(shí)存儲(chǔ)的數(shù)據(jù)。

看來(lái)信息安全攻防的矛與盾都在不斷發(fā)展，但不管怎么演變，從源頭抓起的思路應(yīng)該是一個(gè)很好的選擇。