虽然边界防御解决了来自网络外部的威胁,但却对来自网络内部愈演愈烈的安全风险束手无策。尤其对于信息系统涉及大量机密资料的政府行业,其内网安全问题已成为构建整体安全保障体系的重中之重。
随着“金盾”、“金关”、“金税”、“金卡”等电子政务工程的持续推进,近年来我国政府行业信息化在建设规模、应用范围等方面都取得了长足进步。政府行业在受惠于信息化应用带来巨大便利的同时,也一直饱受层出不穷的安全问题困扰。
长期以来,政府行业搭建网络安全体系多侧重于防火墙等及网络边界防御,其安全设施大多集中于机房及网络入口处,这些设备虽然堵住了来自网络外部的威胁,但对来自内部的安全风险却无能无力。有调查显示,超过80%以上的安全威胁来自组织内部,如果缺乏行之有效的内网安全体系,再为固若金汤的城池也会因内部危机纷起而变得不堪一击。
事实上,近两年政府行业的网络安全平台搭建已呈现出新的发展趋势:其安全布控的主战场已由对主干网络的防护,转向关注网络边缘的每一个客户端。
三分技术,七分管理
“政府部门的内网系统中往往有大量的机密资料,然而许多机密资料在内网中无法得到保护,工作人员可以随意复制拷贝甚至传播机密资料。”谈到政府行业内网安全现状,清大安科公司副总经理兼技术总监陈嘉颇为担忧。
他指出,虽然在政府行业中都对不同级别的网络之间配置了防火墙,但是防火墙只能防外不防内,可疑人员可以绕过防火墙、或骗过防火墙进入单位内部,或内部人员直接对服务器系统通过网络实施各种攻击。因此,既能延续内网信息共享、又能保证内部机密资料安全的内网安全系统开始受到越来越多政府行业用户的关注和重视。
“由于国内内网安全市场起步较晚,多数内控软件产品尚不成熟,而且存在头痛医头、脚痛医脚的弊端,并不能帮助行业用户完全杜绝机密外泄。”业内权威人士指出。
据了解,目前市场上一般内网安全控制软件大多停留在保护文档的保密性、完整性、可用性等单一层面上。“一个体系完整、功能强大、系统性能优良的内网安全保障系统,除了可以实现以上三个基本层面外,还应在整体可控性与可审查性等方面有全面的防范措施与监控手段。唯有如此,才能充分满足政府行业用户在网络安全、系统安全、应用安全、管理安全等方面的安全保密需求,并能为之提供切实有效的内网安全保障。”陈嘉表示。
较早进入内网安全领域的北京亿赛通公司持大致相同的产品设计理念。该公司认为,要达到防止泄密、失密及窃密的内控目标,仅仅依靠制度无法达到防护的目的,必须依靠技术来保障合理化制度的有效实施,才是最有效的内控手段,真正做到“三分技术、七分管理”。
政府网站安全第一
“电子政务、网上政府目前已经成为政府部门办公的大势所趋。一旦上了网,首当其冲的就是安全问题。”江苏省信息中心一位负责人感慨道:“我们搞了这么多年的信息工作,有这么多技术力量,自己的网站也会不时受到攻击,可见虚拟世界的安全问题不容半点忽视。”
该信息中心负责人表示,其政府内网安全面临的威胁来自多个方面:最典型的就是病毒、黑客,以及靠窃取机密牟利的“内鬼”。病毒是最直接、最常见的威胁。由于政府单位的电脑保存了重要的机密信息,如果感染了病毒,造成的事故小到某台电脑变慢,大到整个内网不能正常工作,甚至泄露国家秘密,造成严重的经济损失。
江苏省信息中心对安全建设一直非常重视,此前已多次实施安全建设项目,部署了包括防火墙、入侵检测系统、漏洞扫描系统、防病毒系统、身份认证系统等安全产品,还通过安全服务建立起动态的安全防御体系。
但近年来,信息中心所辖内网面临的安全问题越来越复杂,来自内部的威胁如蠕虫、病毒、间谍软件、垃圾邮件等安全威胁正在飞速增长,甚至出现一些现有安全产品无法解决的安全问题。
比较典型的一个案例发生在前年5月份,省教育厅会考办的工作人员打开电脑时,发现储存在服务器上的全省中小学信息技术等级考试文件全部不翼而飞!案件破获的结果是,苏州某中学一教师罗某以黑客身份,两次闯入省会考办的考试服务器,共删除全省中小学信息技术等级考试文件100多个。
“这个案例给了我们很大的教训。政府网站安全第一,只有内网、外网系统全面安全无忧了,才有条件建设高效快捷的网上政府。”该负责人还表示,信息中心接下来将搭建一套更为完善的内网安全防护体系,并在全省建立端口监控平台,最大程度保障内网系统安全无虞。
可信、可控、可管理
针对政府行业内网安全在网络安全、系统安全、应用安全、管理安全等方面的特殊需求,清大安科CofferDisk内网安全产品提出了划分安全域、机密文件安全解决方案、机密文件外带解决方案以及通信安全解决方案四位一体的设计架构。
“清大安科内网安全产品通过对网络、外设、内存以及硬盘的全面控制,不需额外购买服务器、不需设置专职管理员利用禁止复制、拷贝、另存、打印、截屏以及网络传输等手段,全方位保证涉密文件不被有意或无意泄露,从而真正为政府行业用户实现内部文件的高安全性。”陈嘉表示。
对于政府内网安全平台搭建,明朝万达科技有限公司总裁王志海认为“与外网安全相比,内网安全应该更加全面和细致。”
在王志海看来,政府内网首先要求建立一种更加全面、客观和严格的信任体系和安全体系;同时还需要建立更加细粒度的安全控制措施,对计算机终端、服务器、网络和使用者都进行更加具有针对性的管理;此外还需要对信息进行生命周期的完善管理。以形成对内部网络中所有组成节点和参与者的细致管理,实现一个可管理、可控制和可信任的内网,也就是可信内网。
基于可信、可控、可管理的产品理念,明朝万达内网安全解决方案--Chinasec(安元)可信网络安全平台同时提供数据保密、身份认证、授权管理、终端安全管理和监控审计,同时这四个方面的功能系统采用模块化设计,能够灵活配置形成一个有机的系统,因此能够形成一个完整互动的内网安全策略,目前在政府行业已拥有不少较为成熟的应用案例。
此外,对于众多政府行业用户,加密操作的易用性和安全性似乎总是两相对立的矛盾体,而上述包括亿赛通、清大安科、明朝万达等安全厂商提供的内网安全智能化动态加密解密技术,不仅保证了实时信息的安全性,还可让用户在完全正常的工作进行中不知不觉地享受全方位的内网安全防护,在易用性和安全性间达到了比较理想的平衡。