摘要:内网安全管理系统主要对内网上的主机进行统一安全管理,文章通过对内网安全进行分析、处理和控制,提出了较为完善的内网安全解决方案。
关键词:内网安全;监督;信息泄漏;失泄密
一、前言
随着互联网在全世界的兴起,网络的应用越来越广,网络安全也就成了一个非常重要的课题。内网安全也成为了人们研究的热点。国家、政府、军事以及银行、金融、高新企业等行业需要一种能够充分解决网络外部攻击和由内而外的信息泄漏的全方位信息安全解决方案。
内网安全管理系统主要对内网上的主机进行统一安全管理。统一安全管理是指对网络主机用户操作实施监督控制,并对主机中的安全软件(如主机入侵监测系统、主机防火墙和主机身份认证系统等等)进行统一的管理,使其运行在一个比较合适和安全的状态之下。其中,主机的用户操作监督控制是指对用户的操作行为进行监督(如文件拷贝、网络访问、更改网络主机IP地址、添加管理员用户名以及文件网络共享等等用户操作),同时对恶意用户做出的违规行为(如拨号外联等等)进行控制。
二、内网安全管理系统的基本目标
(一)面向桌面计算机系统的内部安全管理系统
管理桌面计算机系统的规模大,效率高,策略周全,能够将企/事业单位的全部个人桌面系统纳入管理范畴,解决了企业最难管理的、数量最多的、覆盖范围最大的桌面系统的安全问题。
(二)周全的内部系统信息泄漏保护体系
系统集成了针对计算机网络、计算机外设、计算机外围接口、数据存储载体、打印机等可能造成失泄密途径的保护技术和方法,结合企业内部现有的其他安全系统,如认证系统,可构成强大、完备的内部系统信息泄漏保护体系,不遗漏任何一个可能泄密的途径。
(三)周密的系统资源安全管理
企业和单位内部个人计算机的硬件配置、软件安装等信息都在管理和审计之列,支持动态获取、控制和管理。从技术上防止了未经批准就安装和运行任何一款硬件设备和软件系统的行为。
(四)集中配置和管理
企业和单位内部的全部个人计算机系统集中在系统的管理之下。支持统一而灵活的安全策略配置,支持统一或者灵活的系统配置管理,支持管理域内的安全事件、安全事故的统一配置管理。
(五)便于管理和稳固高效的内部安全体系
系统体系结构合理,客户端-服务器-管理中心3层结构合理,真正实现了分布式防护、集中式/分级管理功能。桌面计算机系统的管理层次符合中国现行企事业单位的组织与管理体系。
(六)系统安全性高稳定性好
系统的安全性综合取决于系统间通信的安全性,系统各个组件的安全性以及存储的内部安全数据的自身安全。而系统基于PKI体系结构建立。因此无论是通信的安全性、还是数据的私密性、存储的完整性和可靠性,都有充分的保证。系统的稳定性取决于系统间通信的稳定性以及系统各个组件的稳定性。系统内部通信多种方式相结合,保证了系统间通信的稳固性和有效性。
三、内网安全管理系统的功能分析
(一)防数据存储载体失泄密
内部安全管理系统确保任何人都无法利用任何市面可见的数据存储载体以不安全的方式带出受保护的内部电子数据信息。内部安全管理系统可控制和管理以下数据存储载体:防本地硬盘失泄密、防扩展本地硬盘失泄密、防移动硬盘失泄密、防软盘失泄密、防可刻录光盘失泄密、防闪存失泄密、防磁带失泄密。内部安全管理系统对以上数据存储载体均提供禁用、只读、安全读写、正常读写等多种安全控制方法。
(二)防计算机外设失泄密
内部安全管理系统在确保任何人都无法利用任何市面可见的数据存储载体以不安全的方式带出受保护的内部电子数据信息之外,额外提供了多种多样的、周全严密多层次的防计算机数据信息失泄密的补充手段。防计算机外设失泄密就是对防数据存储载体失泄密功能之外的最重要的一种有效补充控制手段。内部安全管理系统可控制和管理以下计算机外设:从网卡(无线)防失泄密、从网卡(有线)防失泄密、从调制解调器防失泄密、从可刻录光驱防失泄密、从软驱防失泄密。内部安全管理系统对以上计算机外设均提供禁用和允许等两种开关式安全控制方法。
(三)防计算机外围接口失泄密
内部安全管理系统在确保任何人都无法利用任何市面可见的数据存储载体以不安全的方式带出受保护的内部电子数据信息之外,系统额外提供了多种多样的、周全严密多层次的防计算机数据信息失泄密的补充手段。防计算机外围接口失泄密与防计算机外设失泄密一起,构成了对防数据存储载体失泄密的有效补充。内部安全管理系统可控制和管理以下计算机外围接口:从USB(通用串行总线架构)接口防失泄密、从SERIAL(串行总线架构)接口防失泄密、从PARALLEL(并行总线架构)接口防失泄密、从IrDA(红外架构)接口防失泄密、从BlueTooth(蓝牙)接口防失泄密、从1394(火线架构)接口防失泄密、从PCMCIA(个人计算机存储卡)接口防失泄密、从CF(Compact Flash)接口防失泄密。内部安全管理系统对以上计算机外围接口均提供禁用和允许等两种开关式安全控制方法。
(四)防网络失泄密
内部安全管理系统在确保任何人都无法利用任何市面可见的数据存储载体、通过计算机外设、通过计算机外围接口以不安全的方式带出受保护的内部电子数据信息之外,系统还针对使用十分广泛的计算机网络进行了严密的防范和控制,确保任何人都无法利用网络所提供的便利条件以不安全的方式带出受保护的内部电子数据信息。内部安全管理系统提供以下防网络失泄密手段和方法:网络层——IP地址安全控制,提供默认访问控制和黑白名单等安全控制方法、IP流量统计、传输层——TCP端口安全控制,提供默认访问控制和黑白名单等安全控制方法、UDP端口安全控制,提供默认访问控制和黑白名单等安全控制方法、网络层和传输层组合控制——IP/PORT组合安全控制,提供黑名单控制方法、应用层——HTTP安全控制,提供HTTP端口重定义、默认访问控制、URL黑白名单、HTTP日志、HTTP重放等安全控制方法、HTTP流量统计、FTP安全控制,提供FTP端口重定义、默认访问控制、FTPL黑白名单、FTP日志、FTP重放等安全控制方法、FTP流量统计、应用层——SMTP安全控制,提供SMTP端口重定义、默认访问控制、邮件地址黑白名单(支持SMTP以及WEB MAIL)、SMTP日志、SMTP重放等安全控制方法、SMTP流量统计
