3、 鼎普内网安全防护体系的实现途径
回顾现有的安全防护系统,其安全性基本上完全取决于操作系统本身。而操作系统本身的安全性众所周知——以欧美为主流,安全性不言而喻。如果把安全建立在他们的基础之上,这种设想恐怕不容乐观。
操作系统安全的“硬”保障
鼎普科技从硬件做起,实现安全防护中的“硬道理”——基于《PCI局部总线规范》在最底层实现对计算机终端进行物理安全加固。基于这一思想设计的以PCI适配卡为载体的“鼎普计算机安全防护卡”自身安全性不依赖于任何操作系统或软件,实现了强制终端从硬盘启动,杜绝从光盘启动,防止随意重装操作系统;并且实现了基于BIOS最底层的硬件级登录认证;对包括操作系统在内的所有硬盘数据实施芯片级的全盘数据保护,但保护对用户完全透明,即使硬盘丢失,数据也不可能被恢复。同时对终端操作系统上安装的其他安全防护软件也进行了安全加固,防止被绕过、删除、格式化等一系列操作导致的防护失效。更为突出的是,由于其独特的技术路线实现了对所有硬件平台和操作系统的兼容,可以实现对除WINDOWS之外的其他操作系统平台进行同样的安全保护。
此后要考虑的事情就是实现登录操作系统的可信可控——就是计算机硬件启动之后,是否有权限进一步登陆操作系统,以及可以进行什么权限的文件操作,文件如何安全存放。如果计算机终端发生系统灾难,如何进行系统备份和灾难恢复。
内网接入的健康可控
在确保了终端安全的前提下,就要考虑实现终端进入网络的健康、可信、可控——只有经过授权许可的“可信、可控、健康”计算机才允许接入到内网,并对入网计算机终端的运行、健康状态进行实时监控,通过创新的技术及理念打造出一个信得过、进得来、控得住的健康可信的内部网络。且这一机制的实现所依赖的“唯一识别标识”是硬件形式,不可伪造或随意更改。接入内网的终端,如果不健康,防护系统会采取进一步措施,如报警、断网或修补漏洞等。
内网终端非法外联的实时阻断
终端进入网络后利用网络进行各种敏感操作进而威胁终端安全的空间非常广阔,如果不加任何限制的话。所以要对内部网路行为进行严密监视,更要“控制一切非授权外部连接”——因为未经授权的外部连接必然导致不可控的信息泄露。实时阻断(或过滤)涉密计算机(或非密内部终端)连接互联网,敏感单机(如笔记本)与外部网络或主机的连接必须可控,需经过带智能KEY的身份认证或管理部门授权。
移动存储介质的使用管理
近两年来,根据对终端发生泄密或安全失控事件的统计分析,得到一个极为震撼的现象:不论在涉密信息系统,还是非涉密信息系统,移动存储介质的使用管理都是导致信息泄露和安全管理失控的重要源头。因此,在做终端安全管理防护架构设计之初,鼎普科技就对移动存储介质的管理控制做了充分考虑。
在体系中,对移动存储介质的安全管理的核心目标就是——防止内外部、不同密级之间介质的交叉使用,同时使介质的管理集中、统一而高效。实现 “一个全面、两个运行周期”,即全面掌控介质使用状态、配置信息;严控介质从购买后的注册发放、使用、统一台帐监控、状态查询到收集注销的运行周期;严控介质从插入、进行各种操作到拔除全程进行跟踪记录和实时报警的运行周期;通过对介质集中注册产生翔实的台帐记录,提取生成的“介质编号、可信ID号、硬件ID号、品牌、责任人、使用人、联系方式、部门、密级、授权状态、使用状态、备注信息”等基础安全参数,构成了企业的“介质管理查询数据库”,方便监督管理部门对介质进行动态跟踪、监控和快速的状态查询,掌控单位内介质的使用情况及状态。
内外部信息交互的物理保障
在移动存储介质管理这个范畴中,内外部信息交互的安全可控可能是终端防泄漏管理的一个重要应用焦点。利用光的物理单向传输的特性,鼎普科技开发了数据单向导入管理系统,在技术上极大地防范了高安全等级信息系统中内外网信息交互中的风险。同时使用专有技术研发的“安全移动传输盘”,必要时结合介质管理系统,很好的解决了介质交叉泄密和内外部信息安全交互、敏感信息外带等一系列应用型问题。
内网终端综合一体化的防护效果
以终端主机、桌面安全为出发点,采用C/S、B/S结构的体系设计,通过运用驱动拦截、网络协议驱动过滤、文件驱动过滤、加密传输、身份认证、访问控制技术等一系列技术开发的鼎普内网综合管理系统,实现了终端一体化的安全管理防护效果,如图4所示。
图4 一体化安全管理防护效果
鼎普科技的目标是构建一个全面管理的安全平台。通过提供“从终端、网络到管理中心三点一线”的操作平台,实现对主机各种泄密途径实时控制,提供了网络运行安全、管理高效的分布式、一体化集中解决方案,如图5所示:
图5 分布式、一体化集中解决方案
信息安全是一项集管理和技术为一体的系统工程。它是以计算机网络安全技术应用为基础,通过各种管理平台和工具为手段来达到系统安全目的。鼎普科技将不断研究新情况,解决新问题,密切关注信息安全的未来走向,为业界提供更安全更可靠更切实的解决思路。
