2014年2月27日国家主席主持召开中央网络安全和信息化小组首次会议,要求把我国建设成为网络强国。这足以看出国家对信息化建设和网络安全建设的重视,也侧面说明安全态势严峻。
当今世界,信息技术革命日新月异,互联网和信息化工作取得了显著发展成就,但在享受信息化建设带来的诸多便利时,信息的安全问题也日益受到重视。特别在去年6月6日“棱镜门”事件的被曝光后,让国家和更多企业正视了安全问题,促使大家对信息安全重新深度思考。
面对信息易泄露、网络易受攻击的安全态势,国家相关机关为加强管理已颁布了许多政策和法规,各企事业单位为确保信息安全,也采取了防火墙、入侵检测防御、文件流转监控、漏洞扫描等等相应技术手段防止敏感信息泄露和阻止恶意攻击,并收到了较好的效果,但在各种变幻莫测的剽窃手段面前,我们只好未雨绸缪,多维度挖掘发现隐藏的安全漏洞,从根源上保护敏感信息安全,及时制止非法接入行为,实时阻断各种恶意攻击,避免无谓的经济损失和安全威胁。对此,认为可引进以下技术产品,进一步加强信息安全保护工作。
1、多防护功能集成的UltraUTM
新一代的攻击表现出了许多新的特点:一是混合型攻击,即多种攻击方式的混合;二是新漏洞的攻击产生速度快;三是伴随社会工程陷阱元素的攻击层出不穷,间谍软件、网络欺诈、基于邮件的攻击和恶意Web站点等,使得企业内部网络、敏感资产和重要数据的安全难以得到保证。
用户非常需要多样化和集成化的安全防护产品来保障应用系统的安全运行和保证内部网络和重要数据不被侵扰,例如蓝盾的高性能UTM产品,它基于蓝盾4D-UTM架构,引进动立方技术理念,采用各种科技前沿技术:先进的云安全技术、多核并行处理技术、智能检测/防御技术、蜜罐陷阱技术、自动反向拍照技术,深度整合公司多款优势的安全防护产品,形成一体化架构,革新性地解决了网络“点”(即主机)、“线”(即边界)、“面”(即全面安全策略管理)的安全管理难题,并通过加密隧道的立体防护机制,打造一个全面覆盖整体网络及设备的安全防御体系,大幅提高整体防护效率,把防护上升到应用层,实现七层协议的保护,真正做到了全网安全防护。
此外,蓝盾UltraUTM将原有基于X86架构的全线网关产品改造为多核架构(基于Cavium Octeon芯片架构),在提供多功能防护的基础上,实现并行计算性能的整体提高,解决了大数据的处理性能瓶颈,降低能耗,减少成本。
2、全网络安全设备联动
信息安全就是保护信息的保密性、完整性和可用性。但在面对黑客不断升级的攻击方式和窃密手段的多元化和藏匿化,单一的安全防护产品已显得力不从心。这方面如SOC之类的综合安全管理平台表现出色,它能与防火墙、IDS、信息审计、主机安全等多款网络安全设备进行联动,收集各安全设备传送过来的事件信息,进行过滤、归类、分析、整合等处理后,自动改变安全策略并统一下发至各安全设备,各安全设备接收到细粒度安全策略,及时对违规接入和恶意攻击进行阻断,形成一个自适应的闭环处理链,使网络能适应动态的安全要求。这种联动防御机制能更加快速地拆接数据包,实时审计出数据包内容是否合法,并第一时间联动其它网络安全设备实施相应的应对策略,是一种时效性较高的防御方法。
3、磁盘全盘动态加解密技术
采用国内最为先进的动态加解密技术,基于全盘物理扇区级和文件级的加密方法,结合拦截、获取、加解密、数据存取等机制对全盘数据进行实时加解密,使有居心者在加密数据面前无能为力。
动态加解密是在系统内核层进行自动实现的,无需用户的干预,可以拦截到所有的数据读写请求操作,并基于用户提交的验证物,对磁盘进行全盘加解密。加密后的数据对于非法用户都是密文形式,其读取完全依赖于用户设置的密码,为了防止破解,系统不会在磁盘上存储用户的密码,它存储的只是算法运算后的散列值,且就密码学的理论可知,通过散列值是无法逆推出用户密码的。即使其他用户通过修改计算机启动流程或将硬盘挂接到其它计算机上,实现了不需输入密码即可继续执行的目的,但由于没有正确的密码,系统会用不正确的密码去解密磁盘数据,在这种情况下,“解密”后的数据只会更混乱。
当用户向对磁盘数据发起读写请求时,系统启动认证机制,对请求操作进行拦截控制,基于用户名和密码双因子确认用户身份,并基于用户提交的验证物对磁盘数据进行实时加密和解密操作,从而保护磁盘中所有数据的存储和使用安全,避免因便携终端或移动设备丢失、存储设备报废和维修所带来的数据泄密风险。
4、新一代主机接入控制技术
主机接入控制系统采用C/S体系结构,包括控制中心和装有代理客户端的代理主机。控制中心负责对代理主机的监控管理和主机策略的管理,代理主机通过代理客户端(可通过代理主机软件实现)与控制中心进行通信,接收来自控制中心的动态加密钥、主机白名单策略。
发送方代理客户端判断目标主机是否在防火墙白名单策略中,若是,则直接发出数据包,否则,加密数据包之后再发出;接收方代理客户端判断源主机是否在防火墙白名单策略中,若是,则直接接收数据包,否则,解密数据包之后再接收。系统包括:发送方代理客户端和接收方代理客户端。由于安全内网中的合法主机之间通过统一管理的密钥加解密传输数据或者通过防火墙白名单策略传输数据,所以解决了针对普通主机接口控制系统的局限性,是一套通用性、安全性、可控性和可扩展性较强的主机接入控制的解决方案。
同时,采用防火墙技术,基于IP策略、SNAT和DNAT策略、桥内策略等安全访问控制策略,结合状态检测技术和多种响应联动手段,对进、出内部网络的服务与访问进行智能化管控和细粒度审计,允许局域网内部合规用户正常访问外部网络,阻止外部入侵者非法进入局域网内部。
结语
当前网络安全态势仍然严峻,网络信息安全是一个永恒的命题。引进上述的高新防护技术和运用恰当的智能网络安全产品可大幅提高全面的安全防护能力,能更深层次地从数据根源上保护数据的安全性、完整性、保密性,主动分析入网主机的合法性,能联动全网安全设备实时、高效、准确地切断入侵源,最大限度保障信息安全。同时各企事业单位还可在安全审计、移动介质管理、应用控制、检查监管、安全意识培训等方面做得更多,以便更进一步地完善和部署网络安全战略。 |
