信息安全 化“被动”为“主动”
相信很多人都认为防病毒软件、防火墙等本身是安全的。但实际上,安全软件产品属于被动防御性体系,对病毒库的依赖性很强,导致其永远不可能杀掉所有病毒、永远滞后于最新的计算机病毒!另一方面,安全软件产品也是由程序员编写的,同样会形成漏洞,比如,在2006年“BigYellow蠕虫”就利用赛门铁克杀毒软件的漏洞窃取系统权限,近期我们也不断听到关于HBGary,RSA以及Comodo被攻击的报道。
对于普通单机用户而言,安全软件尚可继续发挥自身价值,但企业用户仅靠防火墙、防病毒软件已不足以应付日益严峻的网络安全形势。部署主动防御性的 “可信安全”环境,则显得尤为重要。“可信安全”是指通过在硬件平台中引入安全芯片架构,建立起一种信任机制。对于企业用户来讲,根据需求的不同,可分为结构化的“可信安全内网” 环境或为关键数据提供“可信存储和传输”两种模式。
“可信内网”实现大型企业内外网安全隔离
在金融、医疗、政府、科研、军工等单位,一部分涉密资料必须处于安全环境下,但日常工作中还需接入Internet,这样就无法保证单位内部局域网的安全。“可信安全网络”则是针对这部分需求,推出的规模化可信安全应用。通过在电脑、服务器中内置相同安全芯片,实现内网从服务端到终端的统一安全标记。同方电脑作为中国可信联盟的核心成员,推出了诸多可信安全解决方案,其中“可信安全接入”系统可解决大型企业的现实难题。
可信接入系统模型图
从模型图中可以看出,同方电脑“可信接入系统”以国产TCM芯片为基础,通过服务器对含有TCM芯片的其他终端机群同时进行“用户身份认证”和“硬件授权认证”。如果其中有一个认证没有通过,则该终端将无法接入内部网络访问数据。这样,通过基于TCM硬件芯片的双重身份认证,能最大程度地保证内网的信息安全。
同方“可信接入系统”的根本价值在于实现了内、外网物理隔离。如果某客户来企业拜访,接上网线可以正常访问Internet,只是无法访问涉密的企业内网。在不干扰正常办公需要的前提下,实现了企业内网接入安全。
保障企业安全存储与传输
中小企业或大型企业的某些关键数据防护,并不需要大规模可信网络架构。因此,以部署成本低廉、操作灵活为主要特点的“可信安全存储与传输”则具备独特优势。这种优势主要体现在三点,即“安全输入输出”、“密封存储”和“储存器屏蔽”。
“储存器屏蔽”主要用于单机用户的数据安全,它区别于由软件实现的储存保护技术。通过安全芯片为底层基础,提供独立的加密存储区域,若没有合法授权(通常采用指纹识别),该存储区域不可见。比如同方TST2.0安全平台中的“个人密盘”功能,就是典型的“存储器屏蔽”模式。
数据传输作为日常工作重要环节,其安全性更是重中之重。“安全输入输出”可创建一条用户与其他软硬件间信息交互的安全路径。某种程度上,跟“可信接入系统”类似,只是范围更小、部署难度更低,可随时生成或取消这个安全路径。同方TST2.0安全平台所提供的“授权密网”功能,则是这种方式的代表之一,它可以建立一个小型的加密内网,密网内的用户可以共享传输数据或协同工作。另一方面,通过硬件级加密移动存储设备与终端电脑之间的数据交换也属于“安全输入输出”的范畴,而对此又可以引申出“密封存储”概念。
“密封存储”是针对移动存储设备所做的安全防护概念,将数据与存储设备捆绑在一起进行保护。比如拥有独立CPU和操作系统的同方“移动数据保密机”或基于同方“高速流加密”芯片的加密移动硬盘、加密U盘、高速流加密器、USB端口管控等系统。它们或利用指纹识别、或利用密钥等形式,将机密信息完全“锁定”在移动硬件中,外界无论通过任何手段都无法破解。
得益于大批民族企业的鼎力相助,现在中国可信安全技术发展很快,甚至接近或赶超国际先进水平。例如同方已成为国际先进的芯片级可信安全提供商,其产品方案已突破终端领域,正向服务器端发展。相信不久的将来,在中间接、数据库、SAN\\NAT等领域也会建立一条可信安全产业链。民族的信息安全,始终要靠民族科研成果才行,在安全软件不再安全的当下,民族可信安全产业正在蓬勃发展。这势必为国家现代信息化建设,注入更强动力。