网安全应用变化趋势

2018-04-20 20:11:01 wwwcn4 221

内网安全现状:

      已经不再是只能看到“病毒”、“木马”而无法对这些安全事件进行控制的摆设。如何利用现有硬件资源对内网进行优化?如何进行内网安全管理已经成为企业的最大需求,在这样的需求点之下,方案商如何把握企业客户对内网安全应用变化的趋势,已经成为摆在所有人面前的一大问题。

内网安全新机

     内网安全已经同以前有了很大区别,内网安全不再是只能看到“病毒”、“木马”而无法对这些安全事件进行控制的摆设。如何利用现有硬件资源对内网进行优化,如何进行内网安全管理已经成为企业的最大需求。我们看到今天的客户的内网系统中,结构比较清晰、用户和资源的情况也比较清楚。在这种情况下,如果依然只能做到技术层面的“事件”报告和分析,显然意味着网络安全工作还没做好。

从这一点而言,客户内网安全应用的变化趋势实际上是网络快速发展的一个现实写照,客户今天已经非常明确自己要保护的是“信息”而不是“信息系统”。而“信息”通过我们的用户、通过我们的网络系统和存储设备,可能在网络中不停地移动。有时候,你的“重要信息系统”没问题,可是重要信息在别的地方被偷走了;有时候,你的重要信息系统发生了变化,可是原来的一些重要信息被扔在无人问津的角落里忘记了,被人偷走了都不知道。由此而言,在内网中,由于网络本身是隔离的,这导致用户本身会更加大意地处理信息,对个人计算机的安全防护也觉得不重要,同时还导致内网中的系统升级和隔离非常不及时。这两个因素都导致内网中的实际安全隐患更多,一旦出现问题,更容易遇到重要信息被窃取等危害。

构建应用新方案

       合规管理是否就是目前解决用户内网安全应用变化的最佳办法?方案商应该如何给客户进行合规性管理建设呢?目前合规性管理很重要,在企业内网里,不符合规定的做法大量存在。现实中,IT领域的合规性问题解决得很不好,对不合规的做法监督不到位、方法过时、技术手段也不到位;有关的规定不合理,又不帮助员工解决问题,导致员工为了工作不得不违规;静态的安全检查效果很差,周期很长,不能满足实际要求,等等。2007年以来,我国披露了很多互联网失泄密事件,大部分都属于这个原因。当时在分析时不是没有规定,而是规定没有被很好地执行;不是规定全都是错的,而是没有技术手段帮助规定产生应有的作用。这就引出合规性管理问题。

管理的概念不同与考核、监督检查等。这也是为何现在我们谈为企业进行内网构建都会考虑到合规性管理,它的意义在于制定相关制度和策略的最终目标要定在管理,帮助大家满足策略要求、达到要求,而不是只去检查一下。这种管理工作,并不是列一些规定,隔一段时间去检查就可以完成的,而是要包括很多方面工作的互相配合,例如制度上的设计,甚至包括生产流程的调整;组织结构上的设计调整,以确保制度和其它有关工作的落实效果;技术能力上的建设,包括相应的系统发现网络安全威胁和不合规现象;人员能力上的建设,包括让每个人参与到合规性保障的过程中等等。在案例实施过程中,我们看到用户本身存在的最大问题是重视不够。很多用户还是属于感知期,认为产品和方案是解决自身网络安全问题的根本,而忽略了管理问题的重要性。我们要做的就是向用户普及认知,让他们了解到今天内网安全应用趋势已经发生了很大的转变。如果今天用户还是不重视管理,不重视质量控制,那么还是不能从根本上提升客户的能力和水平。

户需求变化

    内网管理确实对于现在的企业客户而言很重要,但是内网安全角度讲,方案商在给客户解决目前的应用需求的时候,应该把握住那些方面呢?从内网的安全角度来说,首要解决的问题还应该集中在防止黑客攻击上,那么,技术上而言就要解决硬件黑客技术,我们以前比较熟悉的是软件攻击,产品端而言,有新一代身份证、电子护照进行破解(中国的第二代身份证,香港、澳门电子护照皆采用了带芯片的技术)等。其实,方案商角度看,内网安全应用趋势从技术上考虑,很重要的便是“密码”技术,很多方案商在整合解决方案的过程中,实际上就是在进行密码技术管理。概括地讲,人们可以用硬件化、标准化、系统化总结密码的应用趋势。除了这三点趋势外,在不用应用领域,密码技术也有其不同的特点。对于这一点在信息安全与通信保密杂志社承办的内网安全论坛上听到过很多业内讨论关于这方面的观点。

      首先在电子政务领域,需要建立一个统一的密码服务平台,利用密钥管理基础设施实现密码设备的统一管理、统一密码策略和统一的密钥分发。利用电子认证基础设施在电子政务内网中建立统一的信任体系,提供统一的PKI基础设施;利用安全应用支撑平台建立安全的应用支撑环境和密码服务;在终端采用电子政务专用密码算法和设备。电子政务外网也在逐步向这个方向发展,开始建立财务统一的认证基础设施。另外,可信计算也离不开密码技术。事实上,可信计算的核心技术就是密码技术,针对内网来说,可信计算可以包括以下3个方面:第一用户身份可信,从源头控制,要保证用户身份可信;第二设备的可信,只有受信任的载体能够进入终端;第三应用程序的可信,不管原因是什么,只要是允许在内网里运行的程序都是可信的;第四是行为可信,这要求内网里边所有用户行为要可控,主要在可信框架中完成。

        最后,等级保护也需要密码技术的安全项,重点是对三级以上系统密码技术的使用,密码技术在等级保护里提供的主要保护措施是身份鉴别、信息机密性保护、信息完整性保护还有防抵赖。

 

QQ客服