“一ＫＥＹ通”如何構建無賊內(nèi)網(wǎng)

駒寶平

眼見得《碟中碟》里的小湯哥可以在層層布防的機密室里竊取重要文件，《無間道》里的各方內(nèi)鬼又在警匪兩道來去自如，不要認為這些都是電影大師們虛構的故事情節(jié)，在我們身邊，通過內(nèi)網(wǎng)盜取商業(yè)機密的可謂比比皆是。

在超過85%的安全威脅來自企業(yè)內(nèi)部的驚人事實面前，人們開始警醒于對內(nèi)網(wǎng)安全的特別關注，而廠商們的相關產(chǎn)品和解決方案也開始頻頻亮相，顯露端倪。

內(nèi)網(wǎng)防護刻不容緩

人們對于外網(wǎng)（Internet）的安全認識由來已久，黑客、病毒這些十年前還不曾為人所知的名詞，卻因其破壞力之大、威脅范圍之廣而備受注目，但是如今對于內(nèi)網(wǎng)的安全防護問題則很少有人問津。畢竟在很多企業(yè)看來，看好公司大門，就可以阻止一切商業(yè)竊賊的暗夜入侵了。

圖1 銀行柜面業(yè)務終端安全網(wǎng)絡結構

據(jù)FBI和CSI在2002年對484家公司進行的網(wǎng)絡安全專項調(diào)查結果顯示：超過85%的安全威脅來自公司內(nèi)部，其中，有16%來自內(nèi)部未授權的存取，有14%來自專利信息被竊取，有12%來自內(nèi)部人員的財務欺騙，而來自外網(wǎng)黑客攻擊的卻只有5%；在損失金額上，由于內(nèi)部人員泄密所導致的資產(chǎn)損失高達6000萬美元以上，它是黑客所造成損失的16倍，病毒所造成損失的12倍。這組數(shù)據(jù)充分說明了內(nèi)部人員對于企業(yè)局域網(wǎng)泄密的嚴重危害，同時也提醒了國內(nèi)相關組織應加強網(wǎng)絡內(nèi)部安全的建設。但是另據(jù)不完全統(tǒng)計，國外在建設內(nèi)網(wǎng)時，投資額的15%是用于加強內(nèi)網(wǎng)的網(wǎng)絡安全，但在我國IT市場中，用戶在內(nèi)網(wǎng)安全方面的投資比例明顯不如國外。究其原因，高技術含量所帶來的掌握難、實施難、維護難問題，反倒讓內(nèi)網(wǎng)在安全性仍未有保證的情況下，再痛失穩(wěn)定性與操控性。由此，衛(wèi)士通“一KEY通”局域網(wǎng)安全解決方案也就隨行業(yè)趨勢與用戶需求應運而生了。

“一KEY通”

實戰(zhàn)內(nèi)網(wǎng)安全

內(nèi)網(wǎng)源于IT產(chǎn)品的搭建，因此其安全性也必將通過IT產(chǎn)品來實現(xiàn)，這就是衛(wèi)士通在設計研發(fā)內(nèi)網(wǎng)安全解決方案時所倡導的“安全IT化，IT安全化”的整體戰(zhàn)略思想。秉承這一理念的指導，衛(wèi)士通“一KEY通”局域網(wǎng)安全解決方案全面解決了企業(yè)在內(nèi)網(wǎng)防護時遇到的諸多問題，根據(jù)涉密信息系統(tǒng)內(nèi)網(wǎng)防護的特點及多年涉密信息系統(tǒng)攻防的研究和實踐，它重點嚴防于局域網(wǎng)攻擊流程中的三道門檻。

防查找，嚴防登錄是防查找的主要內(nèi)容，所以“一KEY通”首先在單機Windows認證登錄的“用戶名+密碼”方面加以改進，“用戶名+密碼+key+PIN”的四重身份認證方式成為防止入侵者的第一道屏障；而針對單一硬盤的訪問，“一KEY通”也設計有“密鑰在key中”的方案，以此實現(xiàn)密碼的再保護；此外，通過對平臺底層技術的控制，防止單機在運行模式、安全模式甚至是離線模式下非授權者對外設進行訪問；而“一KEY通”的主機安全防護平臺也改變了Windows系統(tǒng)的引導流程和認證流程，這使得安全內(nèi)核隨操作系統(tǒng)同時加載，以防止非法者引導操作系統(tǒng)時用F8進入安全模式；最后，網(wǎng)絡設備的設置權限也被控制起來，一旦發(fā)生改變，系統(tǒng)會立刻上報安全管理中心。

防獲取，在這一環(huán)節(jié)，加強認證是必不可少的。“一KEY通”中，用戶訪問后臺服務器時需經(jīng)過代理服務器和認證服務器的有效認證，沒有合法令牌的用戶根本無法穿透；而在網(wǎng)絡上傳輸?shù)臄?shù)據(jù)也都一律經(jīng)過本地加密后才進行傳輸，密鑰協(xié)商過程采用用戶證書保護，用網(wǎng)絡監(jiān)聽黑客工具雖然可以得到傳輸?shù)拿芪臄?shù)據(jù)包，但是沒有密鑰解密數(shù)據(jù)，同樣無法獲取傳輸?shù)拿魑臄?shù)據(jù)；此外，安全管理中心可以隨時發(fā)送確定網(wǎng)絡主機存在的探測數(shù)據(jù)包，而該主機即便是有防火墻的非法用戶，也不能對包進行攔截，那么一旦有不正確的回應則認為其非法，管理中心將立刻報警。

防流出，這一環(huán)節(jié)多為非法連接外設、外網(wǎng)來拷貝和改變內(nèi)網(wǎng)信息。在拷貝方面，訪問內(nèi)網(wǎng)的存儲介質（如U盤）需得到“一KEY通”的合法授權后才可拷貝數(shù)據(jù)，但該數(shù)據(jù)也被強制加密保護，只有用合法者的數(shù)字證書或者對方的證書才能打開；而針對MODEM的啟用、監(jiān)視和禁用，“一KEY通”可以控制本地撥號來阻止傳輸數(shù)據(jù)者，且利用局域網(wǎng)綜合安全保護系統(tǒng)的監(jiān)控子系統(tǒng)，還可以對底層調(diào)用撥號者進行有效堵截；另外，“一KEY通”的局域網(wǎng)綜合安全保護系統(tǒng)除了為文件和程序提供自主型存取控制、強制型存取控制以及特權管理以外，還可以根據(jù)需要提供一張關鍵應用程序保護列表。該系統(tǒng)自動識別這張表中的文件，所有涉及到的表上文件，無論是寫操作還是任何改動都是被禁止的；而該系統(tǒng)對終端保護平臺的反安裝也進行過特殊處理，除專用卸載程序外，使用網(wǎng)上常用的卸載工具嘗試卸載，都會使控制失效。

或許在“一KEY通”的面前，小湯哥的靈活身手也要黯然失色吧，而這也充分證明了對于內(nèi)網(wǎng)安全的提前防范，要遠比事后的亡羊補牢更為可取。“一KEY 通”局域網(wǎng)安全解決方案憑借其專業(yè)化的局域網(wǎng)綜合安全防護系統(tǒng)，勢必于軍工、金融、政府等行業(yè)領域大有一番作為，而衛(wèi)士通也必將一如既往地締造著這個網(wǎng)絡時代內(nèi)網(wǎng)安全的不朽神話。

圖2 銀行桌面辦公終端安全網(wǎng)絡結構

保衛(wèi)銀行從臺面做起

對于當代的眾多金融企業(yè)來講，網(wǎng)絡的安全防范是一個備受關注的話題。由于人們在防范外網(wǎng)病毒和黑客攻擊方面的重視程度，要遠遠高于對付來自企業(yè)內(nèi)網(wǎng)的侵害與威脅。所以，絕大多數(shù)商業(yè)間諜寧可鋌而走險，親臨犯罪現(xiàn)場，也不愿在外網(wǎng)通過嚴密的網(wǎng)絡邊界安全設備實施盜竊活動。

在我國目前的金融行業(yè)里，銀行作為最主要的企業(yè)形式廣泛存在著，其內(nèi)部局域網(wǎng)絡通常由應用服務器區(qū)和計算機終端區(qū)兩部分組成，但是在銀行日常業(yè)務的處理安全性上，它們卻都體現(xiàn)出了不同程度的薄弱之處。比如，網(wǎng)絡服務器終端的非授權訪問、被惡意攻擊和傳輸?shù)臄?shù)據(jù)被竊取；計算機終端的非授權訪問、數(shù)據(jù)安全問題；終端操作系統(tǒng)的漏洞或服務被利用；端對端的電子文件共享風險等，這些都直接威脅著銀行內(nèi)網(wǎng)的穩(wěn)定性和數(shù)據(jù)安全。

據(jù)介紹，“一Key通”銀行終端安全解決方案，則是建立在銀行業(yè)務終端安全防護體系上的計算機終端安全防護平臺。該平臺充分把握住了金融信息源的安全問題，無論是在服務器終端還是在計算機終端，“一Key通”都確保了對應用系統(tǒng)的訪問人實施身份認證和嚴格的訪問控制。同時，它還建有終端監(jiān)控與審計系統(tǒng)，確保所有單機都在實時受控狀態(tài)下運行，并能夠對各種單機操作行為進行及時地審核控制。

眾所周知，在銀行業(yè)務的處理過程中，終端設備是最容易暴露在外人面前的，所以它的安全性問題也是最受重視的。因此，衛(wèi)士通推出的“一Key通”銀行終端安全解決方案，將內(nèi)網(wǎng)的安保實施進一步細分為銀行柜面業(yè)務終端和銀行桌面終端兩部分。這樣，在方案運作的過程中不僅更具針對性，其最終的實施效果也將更為全面、顯著。

銀行柜面業(yè)務終端安全解決方案是以強制訪問控制技術、密碼技術、可信計算技術等安全技術，加強終端系統(tǒng)的安全，提高終端系統(tǒng)的自身免疫力。它從控制安全威脅的源頭入手，通過對銀行系統(tǒng)的業(yè)務終端和終端服務器進行可信化改造，實現(xiàn)“人→機→業(yè)務”的嚴格綁定，做到未經(jīng)授權的用戶無法進入業(yè)務系統(tǒng)、合法的用戶不能越權辦事、用戶所作的操作有據(jù)可查，從而實現(xiàn)對銀行業(yè)務系統(tǒng)的全面安全保護。