为确保网络安全,防火墙、杀毒软件、IPS等产品早已在企业网络中普遍部署,但这些主要针对的是外网的安全防护,在面对内网安全威胁时,往往形同虚设。有调查显示,目前有超过85%的安全威胁来自企业内部,其中16%来自企业内部未经授权的非法访问,40%来自电子文件的泄露。“内忧”胜于“外患”,内网安全问题已成为当前企业网络安全建设的重头戏,企业不仅需要牢固的边界安全,更需要稳定的内网安全。
内网安全数据为本
涉及内网安全的因素非常多,产品形式也比较多样,在哪些环节如何部署就显得非常重要。总体而言,内网安全集中关注的对象包括引起信息安全威胁的内网用户、应用环境、应用环境边界和内网通信安全,因此,如何在企业内网构建一个切实可行、简单易用的安全防护体系,是实施内网安全部署的关键所在。
怎样才能有效地实现内网安全呢?除了制定健全的内网安全机制,数据加密也是保护企业有价值数据的有效工具。利用数据加密解决方案可保护笔记本电脑、工作站和服务器等设备硬盘上所有文件(包括操作系统文件)的安全。即使硬盘被盗,企业依然可放心数据不会被非授权人浏览和获取。虽然黑客可以潜入企业的服务器,但是,也无法对服务器上的数据和信息资产造成破坏,因为这些资产都得到了安全的加密保护。
在对数据进行有效加密的同时,身份识别也可以帮助用户实现高强度的安全保护。随着“中国的赛班斯法”——《企业内部控制基本规范》的推广和实施,目前各大公司都在进行一场IT内控的变革,而业界普遍将身份识别定位为首要解决的关键问题。有效的身份识别方式能够为追溯行为和责任体系、审计证据链提供最有效和最有力的支撑。这种过程的价值在于它能够:允许有正当理由需要访问的人员访问;通过限制信息资产外露来降低风险;建立监控机制,针对事件追溯具体用户;高效地管理类似的用户群;实现内控符合风险管理的要求。因而建立更符合法律要求和审计的身份标识方法是每一个优秀企业完善内控,提高企业核心竞争力的必要前提。
身份认证可以通过智能卡、一次性口令,或者令牌的方式进行。当然,身份认证的授权方式必须是可定制的。用户可以选择使用密码或令牌做为授权的方式。真正好的身份认证技术,并不是要通过繁琐的加密步骤来困扰用户。企业用户每天都要登录各种应用系统,因此在不影响用户使用的前提下,简单的操作和高强度的保护,才能为用户提供一个安全、便利的环境。
数字证书认证身份
目前企业网络中应用的身份识别技术主要分为用户与主机、主机与主机之间的认证。在企业统一的身份认证框架中,集中身份认证系统需要对目前已有的身份认证方式,及未来可能会有的身份认证方式均提供支持,方便管理员根据需要进行选择。
在调查中,记者通过访问业内资深人士、天威诚信高级副总裁李延昭了解到,目前企业在选择身份认证方式时,通常需要考虑如下原则:第一,足够安全,即认证方式不容易被模仿(包括认证凭证的复制、认证过程的重放)或攻击(包括DOS攻击);第二,成本适当,安全和成本常常成反比,但是对于企业来说,既不能为了降低成本而采用不安全的认证方式,也不能为了片面追求安全而不顾成本;第三,使用方便,所有东西都是给人用的,如果因为使用不便而招致反感,则所有的安全措施都形同虚设;第四,提供开放的API接口,便于将认证方式集成到当前以及未来的应用框架中。
基于数字证书的认证方式能够满足当前以及未来的企业内网安全应用需求。数字证书通常是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份,从而在网络上解决"我是谁"的问题。以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障企业各种网络应用的安全性。
