雖然邊界防御解決了來自網絡外部的威脅,但卻對來自網絡內部愈演愈烈的安全風險束手無策。尤其對于信息系統(tǒng)涉及大量機密資料的政府行業(yè),其內網安全問題已成為構建整體安全保障體系的重中之重。
隨著“金盾”、“金關”、“金稅”、“金卡”等電子政務工程的持續(xù)推進,近年來我國政府行業(yè)信息化在建設規(guī)模、應用范圍等方面都取得了長足進步。政府行業(yè)在受惠于信息化應用帶來巨大便利的同時,也一直飽受層出不窮的安全問題困擾。
長期以來,政府行業(yè)搭建網絡安全體系多側重于防火墻等及網絡邊界防御,其安全設施大多集中于機房及網絡入口處,這些設備雖然堵住了來自網絡外部的威脅,但對來自內部的安全風險卻無能無力。有調查顯示,超過80%以上的安全威脅來自組織內部,如果缺乏行之有效的內網安全體系,再為固若金湯的城池也會因內部危機紛起而變得不堪一擊。
事實上,近兩年政府行業(yè)的網絡安全平臺搭建已呈現出新的發(fā)展趨勢:其安全布控的主戰(zhàn)場已由對主干網絡的防護,轉向關注網絡邊緣的每一個客戶端。
三分技術,七分管理
“政府部門的內網系統(tǒng)中往往有大量的機密資料,然而許多機密資料在內網中無法得到保護,工作人員可以隨意復制拷貝甚至傳播機密資料。”談到政府行業(yè)內網安全現狀,清大安科公司副總經理兼技術總監(jiān)陳嘉頗為擔憂。
他指出,雖然在政府行業(yè)中都對不同級別的網絡之間配置了防火墻,但是防火墻只能防外不防內,可疑人員可以繞過防火墻、或騙過防火墻進入單位內部,或內部人員直接對服務器系統(tǒng)通過網絡實施各種攻擊。因此,既能延續(xù)內網信息共享、又能保證內部機密資料安全的內網安全系統(tǒng)開始受到越來越多政府行業(yè)用戶的關注和重視。
“由于國內內網安全市場起步較晚,多數內控軟件產品尚不成熟,而且存在頭痛醫(yī)頭、腳痛醫(yī)腳的弊端,并不能幫助行業(yè)用戶完全杜絕機密外泄。”業(yè)內權威人士指出。
據了解,目前市場上一般內網安全控制軟件大多停留在保護文檔的保密性、完整性、可用性等單一層面上。“一個體系完整、功能強大、系統(tǒng)性能優(yōu)良的內網安全保障系統(tǒng),除了可以實現以上三個基本層面外,還應在整體可控性與可審查性等方面有全面的防范措施與監(jiān)控手段。唯有如此,才能充分滿足政府行業(yè)用戶在網絡安全、系統(tǒng)安全、應用安全、管理安全等方面的安全保密需求,并能為之提供切實有效的內網安全保障。”陳嘉表示。
較早進入內網安全領域的北京億賽通公司持大致相同的產品設計理念。該公司認為,要達到防止泄密、失密及竊密的內控目標,僅僅依靠制度無法達到防護的目的,必須依靠技術來保障合理化制度的有效實施,才是最有效的內控手段,真正做到“三分技術、七分管理”。
政府網站安全第一
“電子政務、網上政府目前已經成為政府部門辦公的大勢所趨。一旦上了網,首當其沖的就是安全問題。”江蘇省信息中心一位負責人感慨道:“我們搞了這么多年的信息工作,有這么多技術力量,自己的網站也會不時受到攻擊,可見虛擬世界的安全問題不容半點忽視。”
該信息中心負責人表示,其政府內網安全面臨的威脅來自多個方面:最典型的就是病毒、黑客,以及靠竊取機密牟利的“內鬼”。病毒是最直接、最常見的威脅。由于政府單位的電腦保存了重要的機密信息,如果感染了病毒,造成的事故小到某臺電腦變慢,大到整個內網不能正常工作,甚至泄露國家秘密,造成嚴重的經濟損失。
江蘇省信息中心對安全建設一直非常重視,此前已多次實施安全建設項目,部署了包括防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、身份認證系統(tǒng)等安全產品,還通過安全服務建立起動態(tài)的安全防御體系。
但近年來,信息中心所轄內網面臨的安全問題越來越復雜,來自內部的威脅如蠕蟲、病毒、間諜軟件、垃圾郵件等安全威脅正在飛速增長,甚至出現一些現有安全產品無法解決的安全問題。
比較典型的一個案例發(fā)生在前年5月份,省教育廳會考辦的工作人員打開電腦時,發(fā)現儲存在服務器上的全省中小學信息技術等級考試文件全部不翼而飛!案件破獲的結果是,蘇州某中學一教師羅某以黑客身份,兩次闖入省會考辦的考試服務器,共刪除全省中小學信息技術等級考試文件100多個。
“這個案例給了我們很大的教訓。政府網站安全第一,只有內網、外網系統(tǒng)全面安全無憂了,才有條件建設高效快捷的網上政府。”該負責人還表示,信息中心接下來將搭建一套更為完善的內網安全防護體系,并在全省建立端口監(jiān)控平臺,最大程度保障內網系統(tǒng)安全無虞。
可信、可控、可管理
針對政府行業(yè)內網安全在網絡安全、系統(tǒng)安全、應用安全、管理安全等方面的特殊需求,清大安科CofferDisk內網安全產品提出了劃分安全域、機密文件安全解決方案、機密文件外帶解決方案以及通信安全解決方案四位一體的設計架構。
“清大安科內網安全產品通過對網絡、外設、內存以及硬盤的全面控制,不需額外購買服務器、不需設置專職管理員利用禁止復制、拷貝、另存、打印、截屏以及網絡傳輸等手段,全方位保證涉密文件不被有意或無意泄露,從而真正為政府行業(yè)用戶實現內部文件的高安全性。”陳嘉表示。
對于政府內網安全平臺搭建,明朝萬達科技有限公司總裁王志海認為“與外網安全相比,內網安全應該更加全面和細致。”
在王志海看來,政府內網首先要求建立一種更加全面、客觀和嚴格的信任體系和安全體系;同時還需要建立更加細粒度的安全控制措施,對計算機終端、服務器、網絡和使用者都進行更加具有針對性的管理;此外還需要對信息進行生命周期的完善管理。以形成對內部網絡中所有組成節(jié)點和參與者的細致管理,實現一個可管理、可控制和可信任的內網,也就是可信內網。
基于可信、可控、可管理的產品理念,明朝萬達內網安全解決方案--Chinasec(安元)可信網絡安全平臺同時提供數據保密、身份認證、授權管理、終端安全管理和監(jiān)控審計,同時這四個方面的功能系統(tǒng)采用模塊化設計,能夠靈活配置形成一個有機的系統(tǒng),因此能夠形成一個完整互動的內網安全策略,目前在政府行業(yè)已擁有不少較為成熟的應用案例。
此外,對于眾多政府行業(yè)用戶,加密操作的易用性和安全性似乎總是兩相對立的矛盾體,而上述包括億賽通、清大安科、明朝萬達等安全廠商提供的內網安全智能化動態(tài)加密解密技術,不僅保證了實時信息的安全性,還可讓用戶在完全正常的工作進行中不知不覺地享受全方位的內網安全防護,在易用性和安全性間達到了比較理想的平衡。
