【摘要】本文对内网安全理解的一些误区进行了澄清,并提出完善的内网安全架构应该是一个单位基本的安全支撑平台,其范畴应包括身份管理、资源授权、数据保密和监控审计等安全子系统。
【关键词】内网安全 数据保密 监控审计 身份认证 VPN
1、引言
内网安全在国内自2003内开始发展以来,取得了长足的进展,各级部门和单位对内网安全所面临的威胁有了更加深入的理解。但是,由于各种历史原因和一些产品厂商的误导,使得目前对内网安全的理解出现了偏差,导致有些单位在进行内网安全建设的时候,不能做好真正有效的规划,影响了内网安全建设的效果。目前对内网安全的理解误区是多样的,但主要包括两种论调:监控审计论和数据加密论。
监控审计论者在理解内网安全的时候,认为内网安全就等于监控审计,只要对各个计算机的设备、资源和软件等状态进行了一定的监控,并对计算机和用户行为提供一定的审计,就可以实现内网安全。如果我们详细分析内网安全的需求,就会发现,监控审计只是内网安全一个辅助部分,当然也是技术实现最简单的一个部分,以监控审计来替代内网安全的概念,是一种主次不分、以偏概全的行为。
数据加密论者认为只要实现了数据加密存储和传输,就可以实现内网安全。虽然内网安全的核心目标之一是数据保密,并且数据加密是其主要依赖的技术手段,但是,仅凭数据加密技术,数据保密性是非常脆弱的,只有结合其它各种内网安全管理措施,才能实现真正的数据保密。更进一步,数据保密也仅仅是内网安全的一个核心目标,但并不是全部。
无论是监控审计论或数据加密论者,都是仅看到了内网安全的一个方面,而没有正确理解和把握内网安全的广泛内涵和需求,本文将通过对内网安全架构的分析,对内网安全内涵做一个概要的介绍。
2、内网安全理论模型
内网安全理论的提出,是相对于传统的网络安全而言的。在传统的网络安全威胁模型中,假设内网的所有人员和设备都是安全和可信的,而外部网络则是不安全的。基于这种假设,产生了诸如防火墙和IDS等网络安全设备,部署在内网和外网之间的边界,防外为主。但是,随着各种单位信息化程度的提高以及用户计算机使用水平的提高,安全事件的发生更多是从内网开始,由此引发了对内网安全的关注。
Chinasec内网安全理论的安全威胁模型是假设网络中任何用户和任何设备都是不可信任的。所以,内网安全的研究方向也就是要求在这种假设条件下,如何实现对内网的安全管理。事实上,“内网”的范畴也不仅仅局限于内部的局域网,随着移动办公和分机机构的大量产生,“内网”的范围应该定义为单位内部信息所有可能流经的途径、PC和服务器等设备组成的网络。内网安全管理面临的问题是复杂而多样的,其需要解决的问题包括用户和设备身份的确认、授权管理、数据保密、行为监控和审计等。
用户身份和设备身份确认是内网安全的基础问题,只有解决这个问题,才能根据管理规则实施内网安全的管理措施。信息网络是现实设备在信息网络中一个映射模式,所以跟现实社会中一样,要实现有效的管理措施,最根本的条件之一就是必须确定被管理者(包括人和设备)的身份。
授权管理是内网安全的重要组成部分之一,PC、服务器和PC内部的设备等都是单位的信息资源,必须在确认用户身份的基础上,对这些资源的使用进行授权,从而最大可能控制内网面临的安全风险。授权的基本规则应该是:“谁(用户)”在“什么地方(计算机)”能“干什么(策略)”。
数据保密是内网安全的核心问题,内网安全需要构建一个安全的数据使用环境,具备对数据存储、交换和使用等环节的全程控制能力,从而确保数据保密性,保护企事业单位的数字知识产权。
审计监控是内部安全不可或缺的辅助部分,对用户的行为和资源的使用进行详细的记录和审计,并形成有效的报表和查询机制,从而可以对整个内网的安全情况和事件进行分析。
3、Chinasec内网安全管理平台构成
北京明朝万达科技有限公司基于上述完善的内网安全理论模型,经过多年的沉淀,开发出了Chinasec可信网络安全平台,为用户提供了一个全面而具有良好扩展性的内网安全管理平台。
Chinasec可信网络安全平台基于统一的管理平台开发,各个子系统共享同一个服务器、控制台和客户端引擎,子系统相互之间既具有良好的互动性和统一性,又具有相对的独立性。
Chinasec可信网络安全平台从系统划分为Chinasec可信网络认证系统(TIS)、可信网络监控系统(MGT)、可信网络保密系统(VCN)和可信数据管理系统(DMS)。其中,TIS系统解决了用户身份确认的基本问题,并结合MGT系统解决了内网各种资源授权管理的问题。MGT系统除了提供资源授权管理能力外,还提供了详细的审计手段。VCN和DMS分别针对内外网隔离和内外网互联的用户,提供了灵活高效的数据保密方案,真正起到有效的数字知识产权的保护。其中DMS尤其适应既要上网、又要保密的企业用户。Chinasec系列安全产品设计的时候,就充分考虑了对各种应用系统和网络架构的兼容性,以“透明化”的理念进行产品设计和开发,与用户应用系统和网络架构基本无关。
Chinasec安全专家还认为,“内网”是所有内部信息流可能流经的地方,所以充分考虑了移动办公和分支机构体系的需求,开发了基于SSL VPN技术的VPN接入网关,对移动办公用户和内网用户的统一管理,实现了“随心所欲可移动的内网,随时随地可管理的安全”的目标。
4、结论
内网安全相对于传统的网络安全来说,还是一个新的理论和市场,必须充分分析市场的需求,加以正确的引导,避免现在出现的各种以偏概全的理解误区,给国家和企事业单位信息安全建设投资造成浪费。
北京明朝万达科技有限公司作为专注于内网安全产业界的一员,将在理论和技术上需要不断创新,以真正解决用户在内网安全面临的问题。
(t116)
