随着国家机关、企事业单位信息化建设的逐步深入,一个组织构建两套或更多网络已不足为奇,外网、办公网、内网等等,一时间CIO变成了“蜘蛛侠”,网内信息的管理、平行网络间的管控成为一大难题,更给网络内重要信息的保护提出了新挑战。
无论是政府机关、大型企业,还是智力、科技密集型的公司,都会设置多套网络以提高效率,同时会遭遇更多的信息安全威胁,主要体现在以下几个方面。
1、重要信息存储更集中,方便获取。当平行几套网络分配了不同功能之后,它们的重要性也就自然有了排序,核心、机密、重要信息存储相对集中,非法用户一旦侵入,可以快速准确的掠取这些重要信息。就像小偷潜入财务室一样,会直奔保险柜。
2、链路不安全,信息在“裸奔”。人们往往会认为一套封闭网络内的信息传输是安全的,因为不与外界发生交互,殊不知网络也是靠网线连接的,偷窃者可以在网线上做很多手脚(探针、磁环),从信息传输过程中截获重要信息。甚至可以在原有终端上加个路由器,非法用户轻而易举的变为合法用户。电视剧《密战》中,罗兵潜入901大楼,正是用这种方法,在大楼的闭路监控系统中安放了窃密装置,窃取了大量机密信息。
3、非法用户强行接入。很多组织内部虽有各种网络接入权限的规定,但用户并不能做到完全遵守,懒惰、无意识的错误等都可能导致将内网机接入到外网,更有甚者为了贪图方便,会将个人笔记本直接连到内网。
在整个网络接入的过程中,人是最不可靠的因素,有意与无意的错误都可能造成巨大的损失。因此,防止网络信息泄密还要靠制度与技术的有机结合,而可信计算的兴起为我们提供了基础的技术保障。针对目前网络隔离方案中普遍存在的“隔离不彻底”、“认证不明确”、“监控不严格”等缺陷,清华同方依托国家可信计算的自主科技,以TCM芯片所具备的加密及身份认证特性为基础,推出了完善的可信网络接入方案,实现泾渭分明的网络管理,防止网络信息泄密不再是难题。
硬件安全芯 接入更安心
同方可信网络接入方案基于国家可信密码模组安全芯片(TCM)构建,将加密认证、口令认证和智能卡认证有机地结合在一起,完成对计算机身份的识别和用户身份的识别,整个过程全部基于我国自主加密算法完成,完全实现自主可控。
当用户通过口令或智能卡接入登陆系统时,认证服务器会根据接入信息的有效性判断设备和用户所处的网络环境,此时没有经过认证的计算机或恶意进入者无法获取认证指令,也就不能访问任何网络。这种基于计算机身份的网络隔离,彻底杜绝了未授权电脑或个人对内外网的非法访问,从根本上确保数据安全。
权限更明晰 使用更放心
同方可信网络接入方案独有网络接入控制系统,以终端完整性校验来检查终端“健康度”的TNC的权限控制策略,结合已存在的网络访问控制 (例如802.1x、IKE、Radius协议), 通过使用可信主机提供的终端技术,保证了只有拥有合法授权的用户在经过授权的计算机终端上才能实现对网络资源的正常访问,从技术上有效规避了“内网机器接上网线就能访问公共网络”及“外来笔记本接上网线就能访问内部网络”等现象的发生,为信息系统的安全防护提供有力的技术支撑,最终于实现网络访问的协同工作。
业内人士分析指出,此次清华同方推出的可信网络接入方案能够封堵网络隔离不严密的信息安全漏洞,真正实现了民族科技的自主可控,可广泛用于政府、军队、金融、企业等对于信息安全有较高要求的领域!