駒寶平

眼見得《碟中碟》里的小湯哥可以在層層布防的機密室里竊取重要文件，《無間道》里的各方內鬼又在警匪兩道來去自如，不要認為這些都是電影大師們虛構的故事情節(jié)，在我們身邊，通過內網盜取商業(yè)機密的可謂比比皆是。

在超過85%的安全威脅來自企業(yè)內部的驚人事實面前，人們開始警醒于對內網安全的特別關注，而廠商們的相關產品和解決方案也開始頻頻亮相，顯露端倪。

內網防護刻不容緩

人們對于外網（Internet）的安全認識由來已久，黑客、病毒這些十年前還不曾為人所知的名詞，卻因其破壞力之大、威脅范圍之廣而備受注目，但是如今對于內網的安全防護問題則很少有人問津。畢竟在很多企業(yè)看來，看好公司大門，就可以阻止一切商業(yè)竊賊的暗夜入侵了。

圖1 銀行柜面業(yè)務終端安全網絡結構

據FBI和CSI在2002年對484家公司進行的網絡安全專項調查結果顯示：超過85%的安全威脅來自公司內部，其中，有16%來自內部未授權的存取，有14%來自專利信息被竊取，有12%來自內部人員的財務欺騙，而來自外網黑客攻擊的卻只有5%；在損失金額上，由于內部人員泄密所導致的資產損失高達6000萬美元以上，它是黑客所造成損失的16倍，病毒所造成損失的12倍。這組數(shù)據充分說明了內部人員對于企業(yè)局域網泄密的嚴重危害，同時也提醒了國內相關組織應加強網絡內部安全的建設。但是另據不完全統(tǒng)計，國外在建設內網時，投資額的15%是用于加強內網的網絡安全，但在我國IT市場中，用戶在內網安全方面的投資比例明顯不如國外。究其原因，高技術含量所帶來的掌握難、實施難、維護難問題，反倒讓內網在安全性仍未有保證的情況下，再痛失穩(wěn)定性與操控性。由此，衛(wèi)士通“一KEY通”局域網安全解決方案也就隨行業(yè)趨勢與用戶需求應運而生了。

“一KEY通”

實戰(zhàn)內網安全

內網源于IT產品的搭建，因此其安全性也必將通過IT產品來實現(xiàn)，這就是衛(wèi)士通在設計研發(fā)內網安全解決方案時所倡導的“安全IT化，IT安全化”的整體戰(zhàn)略思想。秉承這一理念的指導，衛(wèi)士通“一KEY通”局域網安全解決方案全面解決了企業(yè)在內網防護時遇到的諸多問題，根據涉密信息系統(tǒng)內網防護的特點及多年涉密信息系統(tǒng)攻防的研究和實踐，它重點嚴防于局域網攻擊流程中的三道門檻。

防查找，嚴防登錄是防查找的主要內容，所以“一KEY通”首先在單機Windows認證登錄的“用戶名+密碼”方面加以改進，“用戶名+密碼+key+PIN”的四重身份認證方式成為防止入侵者的第一道屏障；而針對單一硬盤的訪問，“一KEY通”也設計有“密鑰在key中”的方案，以此實現(xiàn)密碼的再保護；此外，通過對平臺底層技術的控制，防止單機在運行模式、安全模式甚至是離線模式下非授權者對外設進行訪問；而“一KEY通”的主機安全防護平臺也改變了Windows系統(tǒng)的引導流程和認證流程，這使得安全內核隨操作系統(tǒng)同時加載，以防止非法者引導操作系統(tǒng)時用F8進入安全模式；最后，網絡設備的設置權限也被控制起來，一旦發(fā)生改變，系統(tǒng)會立刻上報安全管理中心。

防獲取，在這一環(huán)節(jié)，加強認證是必不可少的?！耙籏EY通”中，用戶訪問后臺服務器時需經過代理服務器和認證服務器的有效認證，沒有合法令牌的用戶根本無法穿透；而在網絡上傳輸?shù)臄?shù)據也都一律經過本地加密后才進行傳輸，密鑰協(xié)商過程采用用戶證書保護，用網絡監(jiān)聽黑客工具雖然可以得到傳輸?shù)拿芪臄?shù)據包，但是沒有密鑰解密數(shù)據，同樣無法獲取傳輸?shù)拿魑臄?shù)據；此外，安全管理中心可以隨時發(fā)送確定網絡主機存在的探測數(shù)據包，而該主機即便是有防火墻的非法用戶，也不能對包進行攔截，那么一旦有不正確的回應則認為其非法，管理中心將立刻報警。

防流出，這一環(huán)節(jié)多為非法連接外設、外網來拷貝和改變內網信息。在拷貝方面，訪問內網的存儲介質（如U盤）需得到“一KEY通”的合法授權后才可拷貝數(shù)據，但該數(shù)據也被強制加密保護，只有用合法者的數(shù)字證書或者對方的證書才能打開；而針對MODEM的啟用、監(jiān)視和禁用，“一KEY通”可以控制本地撥號來阻止傳輸數(shù)據者，且利用局域網綜合安全保護系統(tǒng)的監(jiān)控子系統(tǒng)，還可以對底層調用撥號者進行有效堵截；另外，“一KEY通”的局域網綜合安全保護系統(tǒng)除了為文件和程序提供自主型存取控制、強制型存取控制以及特權管理以外，還可以根據需要提供一張關鍵應用程序保護列表。該系統(tǒng)自動識別這張表中的文件，所有涉及到的表上文件，無論是寫操作還是任何改動都是被禁止的；而該系統(tǒng)對終端保護平臺的反安裝也進行過特殊處理，除專用卸載程序外，使用網上常用的卸載工具嘗試卸載，都會使控制失效。

或許在“一KEY通”的面前，小湯哥的靈活身手也要黯然失色吧，而這也充分證明了對于內網安全的提前防范，要遠比事后的亡羊補牢更為可取。“一KEY 通”局域網安全解決方案憑借其專業(yè)化的局域網綜合安全防護系統(tǒng)，勢必于軍工、金融、政府等行業(yè)領域大有一番作為，而衛(wèi)士通也必將一如既往地締造著這個網絡時代內網安全的不朽神話。

圖2 銀行桌面辦公終端安全網絡結構

保衛(wèi)銀行從臺面做起

對于當代的眾多金融企業(yè)來講，網絡的安全防范是一個備受關注的話題。由于人們在防范外網病毒和黑客攻擊方面的重視程度，要遠遠高于對付來自企業(yè)內網的侵害與威脅。所以，絕大多數(shù)商業(yè)間諜寧可鋌而走險，親臨犯罪現(xiàn)場，也不愿在外網通過嚴密的網絡邊界安全設備實施盜竊活動。

在我國目前的金融行業(yè)里，銀行作為最主要的企業(yè)形式廣泛存在著，其內部局域網絡通常由應用服務器區(qū)和計算機終端區(qū)兩部分組成，但是在銀行日常業(yè)務的處理安全性上，它們卻都體現(xiàn)出了不同程度的薄弱之處。比如，網絡服務器終端的非授權訪問、被惡意攻擊和傳輸?shù)臄?shù)據被竊取；計算機終端的非授權訪問、數(shù)據安全問題；終端操作系統(tǒng)的漏洞或服務被利用；端對端的電子文件共享風險等，這些都直接威脅著銀行內網的穩(wěn)定性和數(shù)據安全。

據介紹，“一Key通”銀行終端安全解決方案，則是建立在銀行業(yè)務終端安全防護體系上的計算機終端安全防護平臺。該平臺充分把握住了金融信息源的安全問題，無論是在服務器終端還是在計算機終端，“一Key通”都確保了對應用系統(tǒng)的訪問人實施身份認證和嚴格的訪問控制。同時，它還建有終端監(jiān)控與審計系統(tǒng)，確保所有單機都在實時受控狀態(tài)下運行，并能夠對各種單機操作行為進行及時地審核控制。

眾所周知，在銀行業(yè)務的處理過程中，終端設備是最容易暴露在外人面前的，所以它的安全性問題也是最受重視的。因此，衛(wèi)士通推出的“一Key通”銀行終端安全解決方案，將內網的安保實施進一步細分為銀行柜面業(yè)務終端和銀行桌面終端兩部分。這樣，在方案運作的過程中不僅更具針對性，其最終的實施效果也將更為全面、顯著。

銀行柜面業(yè)務終端安全解決方案是以強制訪問控制技術、密碼技術、可信計算技術等安全技術，加強終端系統(tǒng)的安全，提高終端系統(tǒng)的自身免疫力。它從控制安全威脅的源頭入手，通過對銀行系統(tǒng)的業(yè)務終端和終端服務器進行可信化改造，實現(xiàn)“人→機→業(yè)務”的嚴格綁定，做到未經授權的用戶無法進入業(yè)務系統(tǒng)、合法的用戶不能越權辦事、用戶所作的操作有據可查，從而實現(xiàn)對銀行業(yè)務系統(tǒng)的全面安全保護。