引言
計算機網絡技術和信息技術的快速發展,推動了整個社會的信息化進程,無論是政府、企業還是個人,越來越依賴于對電子設備的存儲、處理和傳輸信息的能力。企業重要的數據資料信息,都以文件的形式存儲在電子設備上,如計算機、移動存儲設備、服務器等。由于目前因特網上存在大量的木馬、病毒以及伴隨著黑客的攻擊,都對企業重要信息帶來巨大的外泄、破壞等威脅。因此,企業通過實施內網與外網的物理隔離,并且結合在內網部署防火墻及入侵檢測、防御設備的方式,以達到內網主機中存儲的重要數據不會被病毒、木馬等黑客程序的竊取及破壞。但是,企業重要數據在內網環境下傳遞的過程中,依然有可能造成數據的丟失和損壞,具體原因可包括企業內部工作人員有意或無意地通過移動存儲設備、外圍設備等將重要信息泄露或損壞。同時,外來辦公人員也會造成企業內部重要數據外泄及惡意破壞企業數據的事故發生。
因此,對于如何實現企業內網終端數據的安全,應該首先對于企業內網終端數據所處的實際環境,進行細致地安全風險分析,通過風險分析確定相關的安全需求分析,并根據安全需求制定相應的安全策略,由制定的策略達到對于內網終端數據的保護,并對于終端數據有可能面臨的風險做出檢測,通過對風險響應機制保證內網終端數據的安全性。
1 內網終端數據風險分析
內網終端數據風險是由一個或多個潛在的威脅源,通過一種或多種方式或途徑,對信息資產造成的不良影響。而內網信息安全的威脅通常來自于信息系統本身的脆弱性及存在的漏洞,從而導致了信息系統對安全威脅的防御能力很弱。內網非授權用戶可利用系統脆弱性和漏洞進行攻擊,導致系統信息內容可能會被篡改、偽造、竊取、刪除及破壞。如圖1所示,處在內網各個終端的計算機,都有可能連接外圍設備,而因此容易造成數據的內容通過打印、復印、掃描等方式,造成信息外泄事故的發生。另外,移動存儲設備、外來接入內網的計算機,都有可能造成數據源文件及其內容的泄露或者破壞,威脅到企業內部重要數據的安全。
圖1內網結構圖
企業內部存在的威脅表現如下:
(1)
企業內部人員許多安全事故都是由企業內部人員因素引起的,包括內部人員的思想素質、職業道德和業務水平等因素。特別是長期出差外地的專業工作人員,由于思想素質和職業道德原因,有意識或無意識地將企業的重要數據外泄。而對于計算機管理人員,也會因為業務水平的問題造成數據的損壞或者遺失的事故,甚至影響更大的系統長時間停止運行的事故。企業離職人員,特別是重要崗位的技術、管理人員的離職,也會對企業的重要數據造成外泄。
(2)移動存儲設備
移動存儲設備是造成信息外泄最為方便的工具,非法用戶可以通過移動存儲設備如U盤、移動硬盤等將重要數據外帶。對于普通合法用戶也會因為移動存儲設備的丟失導致重要數據的遺失以及外泄。
(3)外圍設備
移動存儲設備外,企業內重要數據可以通過打印機等外設,以紙質的形式外帶,對于重要的紙質文件也會因為復印機、掃描儀等外設,造成信息外泄的事故發生。藍牙等無線設備的數據傳輸也會造成數據的丟失。
(4)移動計算機
移動計算機用作企業內網終端,主要針對的是外來工作人員,因為工作需求允許這些外來工作人員攜帶的移動PC接入企業的內部網絡,但是如果沒有相應的限制,放任外來人員可以任意使用企業內網的資源,對方可以連接到核心的應用系統,獲取企業重要的業務數據,勢必會給企業帶來巨大的經濟損失。
2 內網終端數據防護策略
基于數據保護的信息安全,可分為數據安全和數據內容的安全。數據安全除了包括數據本身的安全外,還應該包括數據載體(紙、磁盤、移動存儲設備等)的安全。而數據內容的安全主要是指數據所表示的信息的安全保障,即信息的安全性。在一定的條件下,企業可以通過信息安全保障技術,實現對企業內重要數據的保護,避免重要的數據遺失。然而,由于企業內網資源整合、開放及共享的特點,結合對內網眾多終端計算機管控不強的實際情況,使得數據內容的安全不能得到一定的保障。
因此,首先要對數據的安全進行分類,對數據的信息安全CIA屬性(機密性、完整性和可用性)進行識別,并定義數據的安全等級。其次,需要通過對信息系統的風險分析,制定并執行相應的信息安全策略,保證信息系統數據的安全,從而降低數據風險的可接受程度,達到保障組織機構業務系統數據本身及內容安全的目的。
(1)數據保密性:通過采用加密、訪問控制等技術確保數據本身及數據內容沒有被非授權地泄露給未授權用戶、實體或者進程的特性。
(2)數據完整性:是指數據未經授權不能被偶然或者蓄意地篡改、刪除、偽造、重放等破壞和丟失的特性,確保數據接收端收到的信息與發送端發出的信息一致。可通過摘要算法(數字簽名)來實現對數據完整性的檢驗,保證數據內容的真實性。
(3)數據可用性:是指數據可被授權用戶、實體、程序等訪問并能按需使用的特性。數據是需要按照一定的標準的情況下進行訪問的,而一旦授權者對數據的訪問超過合理的標準,就可能對源數據造成一定的破壞,導致可用性攻擊的發生,如拒絕服務攻擊。
為了提高企業內網終端數據的安全性,可以通過在企業內網采用動態安全模型,如P2DR模型在整體安全策略的控制和指導下,采用適當的安全防護及檢測工具了解和評估內網終端數據的安全狀態,通過安全的反應措施將數據的安全風險降到最低的狀態。P2DR模型體系是以安全策略作為總體指導,由防護、檢測、響應組成一個完整的、動態循環的安全模型(圖2),達到保證內網終端數據安全的目標。
圖2 P2DR模型
2.1策略(Policy)
根據基于數據加密和訪問控制技術的安全策略,在公司企業內網環境下,綜合應用防護工具對內網終端數據進行監控管理,嚴防非授權用戶對內網終端重要數據進行非法操作,同時防止授權用戶造成的重要數據的泄露和破壞。
2.1.1加密技術
利用一定的密碼技術,把內網終端重要信息變為加密(亂碼)數據傳送,當數據到達目的地后,通過相應的解密手段對數據進行還原。一種方式是通過對源文件直接進行加密,無論是采用對稱加密還是非對稱加密的方式,加密的源文件都是需要與之相對應的解密密鑰來進行解密,授權用戶才可以對于源文件進行讀寫操作,防止非授權用戶對源文件的獲取、篡改及破壞。另外一種方式為對存儲源文件的本地磁盤進行加密,從磁盤內非授權獲取的數據,均為加密或者亂碼狀態,可降低磁盤丟失后造成的重要數據外泄的可能性。通過加密技術的使用,可以限制企業內網重要數據,通過網絡及移動存儲設備傳輸造成的數據外泄事件的發生。
2. 1. 2訪問控制技術
目前,對于實施了內外網物理隔離的企業,其信息安全的最大威脅主要來源于內部人員的有意或者無意的操作。因此,訪問控制技術的采用,是在為用戶提供最大限度的系統資源共享的基礎上,為用戶對數據的訪問權和使用權進行管理。通過采用多種安全模型相結合的方式,實現對數據訪問的安全控制。常見模型如下:
(1)BLP模型
通過利用信息敏感度來劃分信息資源的安全級別,并按照安全級別采取相應的強制訪問控制措施,通常將信息的敏感等級劃分為公開、敏感、秘密、機密和絕密。同時,B LP模型基于“不上讀”、“不下寫”的原則,對于訪問數據的主體沒有權限訪問更高安全級別的數據,不能對低安全級別的數據進行修改。但是BLP模型沒有提出對于被訪問數據完整性的保護,主體訪問的數據可以被越權篡改。因此可以采用另外一種安全模型:
(2)BIBA模型
BIBA模型通過對授權用戶和提供用戶類型級別的劃分,實現對信息完整性的訪問控制,防止非授權用戶對數據的修改。BIBA模型通過對信息訪問主體及客體劃分完整性級別,只有在被訪問的客體的完整性級別高于訪問主體的完整性級別時,主體才可以對客體進行“讀”,操作即為“不下讀”;并且僅當主體的完整性級別高于客體的完整性級別時,主體才可對客體進行“寫”操作,即為“不上寫”。
2. 2防護(Protection)
根據企業內部網絡結構特點,在企業內部的應用系統間構建多級防護體系,包括人機交互模塊、內網安全模塊以及邊界模塊。
2. 2. 1人機數據交互模塊
通過采用身份認證和訪問控制技術,能夠實現在計算機網絡中確認系統訪問者身份的合法性,以便于系統分配相應的訪問權限給訪問者,當系統識別為非法用戶時,則禁止用戶訪問系統一切資源。對于存儲在內網主機中的數據,實時都會與內網中的合法授權用戶進行交互,在交互過程對數據的保護是至關重要的,需要保證數據不被外泄、破壞及篡改。
2.2.2內網數據安全模塊
加密技術和訪問控制技術相結合,按照數據敏感等級劃分不同的磁盤空間來存儲這些數據,而對每塊獨立存儲數據的磁盤空間進行加密,從磁盤中提取出來的數據都為加密文件。因而對于訪問數據的主體只能讀取其安全權限對應的數據,如果訪問的數據客體安全級別高于訪問主體權限,訪問主體不可以獲得數據或者獲得的數據為密文。按照訪問主體的權限、企業內網網絡結構以及企業的組織機構,將不同訪問權限的主體劃分到不同的虛擬安全域(virtual security domain)中。虛擬安全域是根據訪問數據權限的等級,在企業內網網絡結構的基礎上,由系統管理員設定的一組計算機(訪問主體)的集合。在同一域中的訪問主體具有相同的訪問權限,且可以通過網絡或者移動存儲設備進行域內的信息傳遞,但不可將域內數據通過移動存儲設備直接傳遞到域外。不同域之間的通信,存在信任與非信仟兩種關系,對于實際工作中確實存在的不同域之間計算機通訊(如郵件、即時通訊等)時,可以通過設置信任關系來實現。而非信任關系則保障重要信息無法從高訪問權限的域流失到低訪問權限的域中。
根據信息敏感等級的劃分,與之相對應將虛擬安全域的劃分可分為五級,由低到高對應公開信息的訪問、敏感信息的訪問、秘密信息的訪問、機密信息的訪問以及絕密信息的訪問。但是為保證信息的保密性,對于高訪問權限域內的主體,不可以訪問更高權限的信息客體及不可修改低級別的客體。如表1中域4不可以訪問絕密級的信息,且可以訪問和修改機密級數據,但是可以訪問但不能修改秘密及以下的信息。
表1 域主體訪問數據的保密性
企業的系統管理者都應對所有的訪問主體劃分角色,而每一角色訪問權限都應與敏感信息的等級對應,明確各個角色所擁有訪問數據等級的權限。通過對域內主體的身份進行判別認證后,確定訪問主體是否可以對客體進行讀取或者修改操作。另外說明的是,域所擁有的訪問權限域內訪問主體的權限相比,以域的訪問權限優先,如域3內的某主體的訪問權限被設為機密級,那么該主體在域3的情況下,只能訪問到秘密級的數據,這樣可以防止用戶非法獲得高訪問權后對數據保密性和完整性的破壞。
2. 2. 3邊界數據安全模塊
所謂邊界是指內網終端(服務器、客戶端計算機)與移動存儲設備、外圍設備(打印機、復印機、掃描儀等)連接所形成的邊界。處在邊界區域的數據,由于企業工作人員(包括企業內部員工、外來人員)的有意或無意,造成企業重要數據通過移動存儲設備、外圍設備和移動PC造成信息外泄事故的發生。因此,需要通過相應的安全策略和防護系統,對處在內網的各個終端移動存儲設備、外圍設備進行全面而有效的監測和管理控制。對于作為內網終端的移動PC,可使其在安裝安全防護系統后無法在外網正常使用,并定期對本地磁盤進行敏感信息掃描,掃描結果上報到服務管理端,對于企業外來辦公人員的移動PC,可通過防護工具對其訪問的內網區域進行限制。在企業內網部署終端防護系統,可對邊界設備進行如下管理如表2。
表2 邊界設備管理
通過在內網部署的防護系統,對內網重要數據存儲的磁盤空間加密,終端用戶無論是通過移動存儲設備還是移動PC外帶文件時,均需要進過流程化的申請一審批程序。
2. 3檢測(Detection )
根據內網終端數據的風險評估,針對終端數據所面臨的威脅,應用相應的防護系統對內網終端進行檢測。通過在內網部署服務器并在終端計算機安裝客戶端程序,通過服務器與終端客戶端程序間的相互通訊,控制臺端的系統管理員可以檢測到終端計算機的信息、網絡狀態、訪問的文件及文件外帶審批流程等。
2. 4響應(Response)
響應往往是與檢測相對應的流程,當檢測到內網終端的數據受到威脅時,已制定好的響應系統就開始工作,對發生的事件進行處理。對于遇到的重大事故或災難事件所導致的數據損失,響應機制應該在第一時間內做出有計劃的應急響應及恢復處理。
圖3 系統結構
圖4 外帶文件的管理
3 安全防護策略的實現
通過加密技術和訪問控制技術相結合,以C/S架構為基礎,在內網搭建數據安全服務器,并在終端計算機安裝安全客戶端程序,通過服務器端的控制臺程序向各個客戶端計算機下發相應的安全策略,形成安全的環境加密區域。在加密的區域內,客戶端計算機所連接的外圍設備、本地磁盤、移動存儲設備以及數據網絡傳輸都進行了相應的加密管理控制,并對外來接人公司內網的計算機設定管理工作模式,限制該計算機對內網服務器的訪問及重要數據的使用。通過在系統中注冊合法用戶,服務器程序會根據客戶端計算機使用者的身份,相應地分配數據訪問權限,如果使用者是非系統注冊用戶,則服務器默認該用戶為非法用戶,該用戶無法訪問、外帶相關的數據。
對于系統注冊用戶數據的外帶,可通過上級管理者的審批授權許可,方可對內網的重要數據外帶。而外帶的文件也可以明文或者密文的方式攜帶,并通過外帶文件的使用期限、外帶計算機的控制等方式,來保證外帶文件的安全性。
4 總結
由于內網終端計算機的分散特性,不利于統一管理,而且與內網終端設備緊密相關的工作人員、移動存儲設備、外圍設備等,都存在一定的信息外泄的風險;外來工作人員接人企業內網的移動PC,也是造成企業重要數據丟失的重要原因。通過對于內網終端的風險分析,根據P2DR動態安全模型,制定解決內網終端數據的安全風險需求策略,采用加密技術、訪問控制技術及身份認證等技術,在企業內網綜合部署數據安全防護系統,達到對企業內網終端數據保護的目標。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:企業內網終端數據防護策略的研究
本文網址:http://www.guhuozai8.cn/html/consultation/1083947458.html