企业内部网路的规模,往往由网路终端计算机的规模来决定,但是“牛×”的光环却带来更多的信息安全隐忧。 因为对企业内部网路来说,访问终端就是一个个的“门”,当“门”越多的时候,“破门而入”的威胁自然就越多。之所以现在有太多安全风险存在,就因为随着网路的飞速发展,区域网路的终端越来越多,而终端在IT架构中太多的不确定性,直接导致了网路安全的巨大隐患。
基本介绍
- 中文名:安全平台
- 外文名:security platform
为什幺作为网路构成基础的终端计算机,反而成为网路安全的隐患?如何才能恰当解决这个问题呢?
终端:网路肌体薄弱处
在企业的IT环境中,往往终端数量巨大,其形式多样化、部署分散、不被重视、安全手段缺乏的现状已成为信息安全体系的薄弱环节。权威统计数据表明,企业的安全损失有80%来自企业内部,终端安全管控是重中之重。
虽然终端资产的重要性级别通常低于网路中的交换机、路由器等核心网路设备以及各种业务主机和伺服器,但终端数量众多,而且是组织日常办公和业务运行的载体。如果终端安全受到威胁,即使网路中的核心设备安然无恙,整个网路的业务运行也会受到严重影响。
目前,传统安全厂商的产品很难真正实现对所有区域网路内的终端都实现一体化安全管理。原因有二:一是缺乏统一的网路技术标準限制了终端安全产品对网路设备的兼容性;二是各种新套用和新攻击层出不穷。
传统的计算环境也在发生革命性变化。在日常运营中可以发现,在以数据中心为核心的IT环境中,套用的核心引擎已经向数据中心转移。当终端作为一种轻便的接入方式后,用户通过桌面的各种套用可以通过数据中心接入整个信息网路系统,如ERP、CRM、BOSS系统和计费系统等。但传统的安全体系架构有一些致命性问题,如安全策略难以统一,而且桌面套用过于强大。正是由于传统桌面操作过于强大,每个员工又可以做很多额外工作,因此造成不确定性过高。
对于信息安全的实施与管理来说,控制终端、控制套用是首要任务。在实际的企业IT环境中,信息安全的不确定性因素几乎都是由人产生的,而人通过类似PC、手机、PDA等终端设备接入到信息系统的界面和接口主要设施。
极通ewebs:解除终端威胁
我们可以换个角度思考安全——管住了套用,也就管住了不确定性;锁定了数据流,也就保住了网路信息资产。这是体系结构上的根本性思路转变,实现了信息看得见、摸得着,却带不走,这也是极通EWEBS套用虚拟化系统的最大价值。
极通EWEBS套用虚拟化技术,能够无缝将各种套用软体集中部署在EWEBS伺服器(集群)上,并通过EWEBS的应用程式虚拟化功能,将各种套用软体整合到企业门户中供终端用户使用。终端客户机无需安装任何软体,就能够让企业各种IT套用摆脱终端设备和网路频宽的限制,实现终端客户机用户在任何时间、任何地点、使用任何设备、採用任何网路连线,都能够高效、快捷、安全、方便地访问已经集中部署在EWEBS伺服器(集群)上的各种套用软体。这是套用虚拟化技术的核心思想。
因此,所有的程式运行和数据流,都在EWEBS伺服器(集群)上,方便于集中管控,无论有多少终端,都已经没有实际的信息数据,不存在安全风险,同时终端受到EWEBS集中安全管控,也免除了外部黑客通过终端向中心伺服器“下手”的隐患,从而打造了一个十分灵活且坚固的集中式网路安全架构。
集中式安全架构的两个实施步骤,第一要将业务指定的所有关键套用集中放置于数据中心,以简便管理和支持;第二是选择最佳的套用虚拟化系统平台,实现套用集中部署和管控。当然,将所有终端套用都管起来并不现实,用户要针对实际的业务套用,如财务系统、运营系统等关键系统进行集中管控。在终端桌面中,可以把一部分不需集中管控的个性化套用放到套用虚拟化体系之外,给终端用户留出部分空间。通过虚拟化方式,把需要管控的套用管控起来,将不需要管控的套用排除出去,不影响已经用虚拟化系统保护起来的套用本身的数据交换和安全,因此这称得上是一种体系架构的变革。
目前,套用虚拟化能够展现给用户最直接的功能还是远程套用交付,或者叫远程接入。从全球套用虚拟化领域看,走在最前沿的厂商还是Citrix(思杰),其推出的套用虚拟化平台Citrix交付中心(Citrix Delivery Center),即Citrix套用交付基础架构解决方案正在逐步进行中国全面本地化的进程。而国内最具实力的套用虚拟化领导厂商则非极通科技莫属,2008年7月,极通科技向全球推出极通EWEBS 2008套用虚拟化系统,已经全面填补国内空白,赶超了Citrix(思杰)等全球先进技术,该产品在EWEBS 2008中採用了极通科技独创的AIP(Application Integration Protocol)技术,实现套用虚拟化集中式安全架构。
TST安全平台
TST是一款硬体加密晶片与软体结合的信息安全产品,基于国际密码局自主加密算法构建,由清华同方电脑率先在国内生产和销售。平台通过硬体加密晶片与软体结合,为用户提供专属私密存储区,搭建工作组内部机密信息共享平台,可以封堵机密信息通过截屏、邮件、木马、病毒、移动存储、聊天工具等方式,有意识或无意识泄露。同时提供操作审计日誌,出现问题可追根溯源。
功能点:
编辑
1)个人密盘:密盘内档案通过电子邮件、截屏、拷贝、複製、贴上、列印等途径传输后,全部都是乱码。
2) 授权密网:加密数据在安全工作域中共享、传递,离开工作域后,数据打开即是乱码。
3) 即时备份:按资料夹大小、类型对指定资料夹增量备份,帮助恢复被他人恶意删除或误删除的重要数据。
4) 行为审计:保存所有操作记录,审计员可通过时间、操作类型、操作结果等选项,快速检索所需要的审计信息。
5)硬体加密:国家自主可控TCM晶片硬体加密。
套用场景分析:
编辑
个人密盘:
A公司王老闆将《销售代理协定书》及“税务信息”存放到自己的电脑中,电脑有问题送到维修点去修,修好后,维修工程师找到了这两份,并敲诈王老闆,王老闆苦不堪言。
信息泄露的根源:机密信息在计算机上明文存储。
使用同方TST安全平台后,A公司税务信息被加密保存,并被系统隐藏,维修工根本就感觉不到这些档案的存在,他就不会得逞了。
授权密网:
某软体公司研发总监最近又招来一批研发人员,它把刚开发好的软体的原始码分别通过网路共享给这些人来审查代码。其中一名员工突然被竞争对手挖走,结果对手抢先申请专利并发布,十个月的工作付出东流。那幺如何做到在将核心资料与大家分享的同时,还能保证信息的安全性呢?
信息泄露的根源:机密信息在计算机网路上明文共享。
套用同方TST安全平台,研发总监可通过授权密网功能,创建一个安全工作域,将软体代码加密后,在此安全域内共享,就可避免泄密事件的发生。
可信任安全平台模组
可信任安全平台模组(TPM)通过安全系统有效保护密钥交换的安全进程,提供硬体级安全防护,让您免遭黑客的攻击,保护您的密码、密钥以及机密数据。
奥德区域网路安全平台
NiordSec区域网路安全平台的总体目标是保障区域网路系统安全有序的运行,规範和约束员工的各种行为,防止敏感信息泄密。NiordSec区域网路安全平台由一个基础平台和6个子系统组成,可信网路认证授权子系统提供以用户和计算机为对象的各种认证操作,同时基于访问控制、授权认证、数据加密、行为监控、安全审计等内置功能,通过与可信网路认证子系统、可信桌面管理子系统、可信网路监控子系统、可信移动存储介质管理子系统、可信网路分域管理子系统和可信文档安全管理子系统相结合,对区域网路系统提供全方位的保护。
授权
编辑
可信网路认证从访问控制的角度,分析传统的企业网路的安全状况,存在三种严重的安全缺陷。(1)不能保证企业网内主机可信,即没有明确的企业网安全设备边界,这样造成的严重安全隐患是恶意主机可以方便地接入企业网路,进行恣意的网路破坏和窃密活动。(2)不能保证企业网内用户的可信,即没有明确的企业网安全用户边界,这样不仅造成终端使用者行为不可控,而且造成了他们的行为不能有效审计,在安全事故发生后,出现了难以有效追蹤和定位泄露源以及追究泄密者安全责任的尴尬局面。(3)不能保证服务资源的使用者可信,即没有可靠的服务资源的安全使用边界,因此恶意窃密者可以利用可以接触的网内任意主机进行暴力攻击(如密码的字典攻击)和旁路攻击(如绕过信息系统的认证机制,直接登入该信息系统依赖的资料库)而窃密网路内重要的服务资源。
因此,为了保障企业网的安全,必须要保证网内所有接入主机可信,保证网内所有接入用户可信,以及保证服务资源的使用者可信。
