網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全涉及到網(wǎng)絡(luò)自身的安全和網(wǎng)絡(luò)內(nèi)信息的安全兩部分。通常所說的網(wǎng)絡(luò)安全,一方面要保證網(wǎng)絡(luò)運(yùn)行無障礙,還要保證網(wǎng)絡(luò)的內(nèi)容即網(wǎng)絡(luò)中產(chǎn)生、存儲、流轉(zhuǎn)、傳輸中的信息的完整性、保密性和可用性。
一、 網(wǎng)絡(luò)安全分層控制理論
1. 網(wǎng)絡(luò)安全的主要威脅
影響網(wǎng)絡(luò)安全的因素很多,既有自然因素,也有人為因素,其中人為因素危害較大,歸結(jié)起來,主要有六個方面構(gòu)成對網(wǎng)絡(luò)的威脅:
1. 人為失誤:一些無意的行為,如:丟失口令、非法操作、資源訪問控制不合理、管理員安全配置不當(dāng)以及疏忽大意允許不應(yīng)進(jìn)入網(wǎng)絡(luò)的人上網(wǎng)等,
2. 病毒感染:從“蠕蟲”病毒開始到CIH、愛蟲病毒,病毒一直是計算機(jī)系統(tǒng)安全最直接的威脅,
3. 來自網(wǎng)絡(luò)外部的攻擊:這是指來自局域網(wǎng)外部的惡意的攻擊,
4. 來自網(wǎng)絡(luò)內(nèi)部的攻擊:在局域網(wǎng)內(nèi)部,一些非法用戶冒用合法用戶的口令以合法身份登陸網(wǎng)站后,查看機(jī)密信息,修改信息內(nèi)容及破壞應(yīng)用系統(tǒng)的運(yùn)行。
5. 系統(tǒng)的漏洞及“后門”:操作系統(tǒng)及網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷、無漏洞的。另外,編程人員為自便而在軟件中留有“后門”,
6. 隱私及機(jī)密資料的存儲和傳輸:機(jī)密資料存儲在網(wǎng)絡(luò)系統(tǒng)內(nèi),當(dāng)系統(tǒng)受到攻擊時,如不采取措施,很容易被搜集而造成泄密。同樣,機(jī)密資料在傳輸過程中,由于要經(jīng)過多外節(jié)點(diǎn),且難以查證,在任何中介網(wǎng)站均可能被讀取。因而,隱私和機(jī)密資料的存儲及傳輸也是威脅網(wǎng)絡(luò)安全的一個重要方面。
2. 網(wǎng)絡(luò)安全的分層控制方法
在網(wǎng)絡(luò)安全上,通常采用分層控制方案,將整個網(wǎng)絡(luò)分為外部網(wǎng)絡(luò)傳輸控制層、內(nèi)外網(wǎng)間訪問控制層、內(nèi)部網(wǎng)絡(luò)訪問控制層、操作系統(tǒng)及應(yīng)用軟件層和數(shù)據(jù)存儲層,進(jìn)而對各層的安全采取不同的技術(shù)措施。
1. 外部網(wǎng)絡(luò)傳輸控制層
外部網(wǎng)絡(luò)是指局域網(wǎng)路由器和防水墻之外的公用網(wǎng)。可以從四個方面采取措施:虛擬專網(wǎng)(VPN)技術(shù)、身份認(rèn)證技術(shù)、加密技術(shù)、物理隔離。
2. 內(nèi)外網(wǎng)間訪問控制層
在內(nèi)部局域網(wǎng)和外部網(wǎng)絡(luò)之間,可以采用以下技術(shù)來對外部和內(nèi)部網(wǎng)絡(luò)間的訪問進(jìn)行控制:防火墻、防毒網(wǎng)關(guān)、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)、代理服務(wù)及路由器、安全掃描、入侵檢測。
3. 內(nèi)部網(wǎng)訪問控制層
在局域網(wǎng)內(nèi)部,非法用戶的登陸和對數(shù)據(jù)的非法修改更加不易查出。當(dāng)用戶安全意識差、口令選擇或保存不慎、帳號轉(zhuǎn)借和共享都會對網(wǎng)絡(luò)安全造成極大的威脅,從內(nèi)部網(wǎng)訪問控制層進(jìn)行安全防護(hù),可采取五種措施:用戶的身份認(rèn)證、權(quán)限控制、加密技術(shù)、客戶端安全防護(hù)、安全檢測。
4. 操作系統(tǒng)及應(yīng)用軟件層
操作系統(tǒng)是整個系統(tǒng)工作的基礎(chǔ),也是系統(tǒng)安全的基礎(chǔ),因而必須采取措施保證操作系統(tǒng)平臺的安全。安全措施主要包括:采用安全性較高的系統(tǒng),對系統(tǒng)文件加密,操作系統(tǒng)防病毒、系統(tǒng)漏洞及入侵檢測等:采用安全性較高的系統(tǒng)、加密技術(shù)、病毒的防范、安全掃描、入侵檢測。
5. 數(shù)據(jù)存儲層
數(shù)據(jù)存儲在服務(wù)器或加密終端上,數(shù)據(jù)存儲的安全性是系統(tǒng)安全性的重要組成部分。對數(shù)據(jù)的安全保護(hù)措施可以采用以下幾種方式:、使用較安全的數(shù)據(jù)庫系統(tǒng)、加密技術(shù)、數(shù)據(jù)庫安全掃描、存儲介質(zhì)的安全技術(shù)。
3. 網(wǎng)絡(luò)安全分層控制的典型代表
在網(wǎng)絡(luò)安全分層控制理論指導(dǎo)下,目前主流的安全廠商都建立了各自的網(wǎng)絡(luò)分層安全解決方案。以Juniper公司為代表,我們簡單介紹一下網(wǎng)絡(luò)安全分層控制解決方案。
Juniper公司把網(wǎng)絡(luò)安全分為5種安全層,并針對不同的安全層設(shè)立相應(yīng)的安全目標(biāo):
n 保護(hù)遠(yuǎn)程訪問的通信安全
n 站點(diǎn)間的通信安全
n 網(wǎng)絡(luò)外圍構(gòu)筑防御工事
n 最后一道防線:保護(hù)網(wǎng)絡(luò)數(shù)據(jù)中心/網(wǎng)絡(luò)核心
n 保護(hù)局域網(wǎng)的安全
針對不同的安全層,Juniper公司采用各種安全組件來保證同一層的安全。基本組件包括:
n 防火墻
n 入侵防護(hù)
n 虛擬專用網(wǎng)VPN
n 防病毒
n WEB 過濾
n 防垃圾郵件
二、 網(wǎng)絡(luò)安全分層控制兩大特點(diǎn)
經(jīng)過對網(wǎng)絡(luò)安全分層控制理論及代表性解決方案的介紹,我們可以看到這種安全方式的兩大基本特點(diǎn):
1. 分層安全偏重于保障網(wǎng)絡(luò)自身安全,對信息安全保護(hù)力度不夠
防火墻、入侵防護(hù)、防病毒、WEB過濾、防垃圾郵件這些主要的安全組件,是從網(wǎng)絡(luò)本身硬件、軟件和網(wǎng)絡(luò)系統(tǒng)自身安全角度出發(fā),來保證系統(tǒng)連續(xù)可靠正常地運(yùn)行,對于網(wǎng)絡(luò)所受到病毒侵襲、外部攻擊、內(nèi)部攻擊保護(hù)比較多,對于信息安全的保護(hù),主要是通過訪問控制、身份認(rèn)證等手段防止非法用戶接觸信息,在信息產(chǎn)生、存儲、流轉(zhuǎn)、傳輸生命周期中,往往只能控制流轉(zhuǎn)部分,不能做到全生命周期保護(hù)。
2. 加密技術(shù)使用雖多,但采用的是靜態(tài)加密技術(shù),無法滿足用戶的業(yè)務(wù)需求
當(dāng)前對于信息安全的要求方面,不僅僅要求靜態(tài)的安全性,還要求與業(yè)務(wù)流程結(jié)合的動態(tài)安全性,也就是說,結(jié)合信息產(chǎn)生、存儲、流轉(zhuǎn)、傳輸生命周期,與用戶業(yè)務(wù)流程相結(jié)合的完整性、保密性和可用性。
加密技術(shù)有靜態(tài)加密和動態(tài)加密兩種基本方式。動態(tài)加密(Encrypt on-the-fly)是指數(shù)據(jù)在使用過程中自動(動態(tài))對數(shù)據(jù)進(jìn)行加密或解密操作,無需用戶干預(yù),合法用戶在使用加密的文件前,也不需要進(jìn)行解密操作即可使用。表面看來,訪問加密的文件和訪問未加密的文件基本相同,對合法用戶來說,這些加密文件是“透明的”,即好像沒有加密一樣,但對于沒有訪問權(quán)限的用戶,即使通過其它非常規(guī)手段得到了這些文件,由于文件是加密的,因此也無法使用。由于動態(tài)加密技術(shù)不僅不改變用戶的使用習(xí)慣,而且無需用戶太多的干預(yù)操作即可實(shí)現(xiàn)文檔的安全,因而近年來得到了廣泛應(yīng)用。
三、 網(wǎng)絡(luò)信息安全分域控制理論
面對一個龐大、復(fù)雜的信息系統(tǒng),單獨(dú)對每一項信息資產(chǎn)確定保護(hù)方法,是非常復(fù)雜的工作,暢游于疏忽或者錯誤導(dǎo)致安全漏洞。但是將整個系統(tǒng)當(dāng)成一個安全等級來防護(hù),也難免造成沒有防護(hù)層次和防范重點(diǎn),對風(fēng)險,尤其是內(nèi)部風(fēng)險的控制能力不足。
較好的處理方式是進(jìn)行安全域的劃分,制定資產(chǎn)劃分的規(guī)則,將信息資產(chǎn)歸入到不同的安全域中,每個安全域的內(nèi)部都有著基本相同的安全特性,如安全等級、安全威脅、安全弱點(diǎn)、風(fēng)險等。在此安全域的基礎(chǔ)上確定該區(qū)域的信息系統(tǒng)安全保護(hù)等級和防護(hù)手段,統(tǒng)一安全域內(nèi)的資產(chǎn)實(shí)施統(tǒng)一的保護(hù)。
安全域是由一組具有相同安全保護(hù)需求、并相互信任的系統(tǒng)組成的邏輯區(qū)域。同一安全域的系統(tǒng)共享相同的安全側(cè)綠。安全域劃分的目的是把一個大規(guī)模復(fù)雜系統(tǒng)的安全問題,化解為更小區(qū)域的安全保護(hù)問題,是實(shí)現(xiàn)大規(guī)模復(fù)雜信息系統(tǒng)等級保護(hù)的有效辦法。
從信息安全的基本邏輯關(guān)系來看,可以把信息安全域分為安全計算域、安全業(yè)務(wù)域和安全存儲域、安全域邊界四個子域,可以將整個內(nèi)部網(wǎng)絡(luò)的終端、端口、服務(wù)器、磁盤、數(shù)據(jù)庫等分別歸類,按照安全域分別采用相應(yīng)的控制辦法。
1、 安全存儲域
安全存儲域包括終端磁盤、服務(wù)器磁盤、移動存儲設(shè)備磁盤等。
2、 安全業(yè)務(wù)域
安全業(yè)務(wù)域主要是需要訪問安全計算域的各類客戶端和維護(hù)終端,是安全域的風(fēng)險子域,這也是處理所有業(yè)務(wù)的各個終端,包括臺式機(jī)、工作站、移動終端(筆記本電腦)、遠(yuǎn)程連接終端等。
3、 安全計算域
安全計算域主要包括服務(wù)器和數(shù)據(jù)庫。這是安全域的核心子域。需要重點(diǎn)防護(hù)的是計算域內(nèi)的數(shù)據(jù)進(jìn)行加密
4、 安全域邊界
安全域邊界主要是端口。這主要包括|:終端端口(物理端口和網(wǎng)絡(luò)端口)、服務(wù)器數(shù)據(jù)進(jìn)出端口,內(nèi)網(wǎng)與外網(wǎng)連接端口。
如下圖:
四、 信息安全分域控制的代表性解決方案
采用加密技術(shù)來信息安全,已經(jīng)成為共識。從實(shí)際應(yīng)用上看,必須結(jié)合用戶的業(yè)務(wù)流程來確保信息全生命周期安全,所以以透明動態(tài)加密技術(shù)為核心的信息安全解決方案成為當(dāng)前最合適的解決辦法。下面以北京億賽通公司的數(shù)據(jù)泄露防護(hù)(DLP)解決方案簡單介紹信息安全分域控制解決方案。
億賽通基于驅(qū)動層透明動態(tài)加解密技術(shù),采用對應(yīng)客戶需求的安全策略,以透明加密功能為核心,結(jié)合文檔透明加密、文檔權(quán)限管理、文檔外發(fā)控制、文檔備份、業(yè)務(wù)流程審批、磁盤全盤加密、磁盤分區(qū)加密等基本功能,融合身份認(rèn)證、日志審計、端口管理、移動存儲管控和系統(tǒng)容災(zāi)管理等功能,構(gòu)建完整的數(shù)據(jù)泄露防護(hù)(Data Leakage Prevention,DLP)體系。
億賽通DLP采用分域安全架構(gòu),將整個網(wǎng)絡(luò)分為終端、端口、磁盤、服務(wù)器、局域網(wǎng)五大安全域,并以筆記本電腦、移動存儲設(shè)備、數(shù)據(jù)庫為安全域特例,針對各個安全域采取對應(yīng)的安全策略,在確保內(nèi)部網(wǎng)絡(luò)各個節(jié)點(diǎn)數(shù)據(jù)安全的基礎(chǔ)上,實(shí)現(xiàn)整體一致的全面防護(hù)。
