信息安全內憂外患 可信安全呼之欲出

2023-11-11 00:53:28 2

    近期發生的國內外信息安全事件可謂此起彼伏。4月某世界500強企業日本S公司遭網絡入侵，1億多個用戶帳戶遭曝光，5月該公司又遭遇第二波赫客攻擊事件，3.75萬用戶信息再被洩露。5月北京西城區檢察院發布最新調研結果，稱「因科研人員信息安全意識較差，U盤或工作電腦中普遍存在木馬程序、現已成為過失洩密案的高發群體」。6月美參議員資料庫遭襲、美聯儲被黑客攻擊、美國最大的零售銀行C銀行遭非法入侵，1%客戶信息被竊。

    從以上事件可以看出，黑客利用網絡進行竊密的手段已是層出不窮，無論是企業還是科研機構、金融部門，甚至政府機關，都無一倖免。網站、網絡竊密與內部失密，內憂外患之中，若僅憑單一的安全軟體產品很難起到應有效果，軟硬結合的「可信安全」模式或是解決現階段信息安全矛盾的「良方」。

    防範網站攻擊 安全存儲器不容忽視

    企業日常運營所產生的客戶資料庫大多存儲在存儲伺服器中，黑客攻擊的根本目的就是竊取存儲伺服器中的大量涉密信息。因此，防範網站攻擊，存儲伺服器的可信安全性不容忽視。

    同方電腦推出的高密級NAS/SAN則是為應對日益嚴峻的黑客網站攻擊，推出的可信安全存儲器產品。其通過內置同方自主研發的「TF3209A」高速流加密晶片對所有磁碟進行硬體加密，同時還採用TCM晶片生成存儲密鑰，對外可保護伺服器系統完整性，對內可組建TST安全存儲網絡，保證可信安全的完整性。

同方高流速加密晶片流程圖

    同方TF3209A晶片橋接在傳統的硬碟控制晶片和中央處理器之間，對數據流進行實時加密，使全盤文件皆以加密形式存儲在磁碟中。若磁碟或磁碟內的數據脫離了同方存儲系統，盤內電子文檔皆為密文形式保存，無法被破解。就算被黑客獲取利用非法手段獲取，也不必懼怕信息洩密風險。

    存儲與傳輸 兩種方式杜絕內部失密

    移動存儲設備、個人筆記本不慎丟失或被植入木馬，是內部人員產生被動洩密的主要因素。通過合理的可信安全防禦措施，內部員工被動洩密情況是完全可以避免的，只要注意數據存儲安全和傳播路徑安全就能徹底防止洩密，這也是目前最根本和最行之有效的方式。

    「存儲安全」可從兩個角度考慮。其一是「儲存器屏蔽」，就是以安全晶片為底層基礎，提供獨立的加密存儲區域，若沒有合法授權，該存儲區域不可見。比如，同方TST2.0安全平臺中的「個人密盤」就屬於這種類型；其二是「密封存儲」，是將信息數據與硬體平臺捆綁在一起進行保護，只有在身份驗證或特定硬體環境下，信息才可讀取。比如，基於同方「高速流加密」晶片的加密移動硬碟、加密U盤、高速流加密器、USB埠管控等系統和智能獨立懸掛系統同方「移動數據保密機」都是數據密封的代表。

    對於「傳播路徑」來講，也可以從兩個方向分析。第一，就是由「數據密封」存儲衍生出的「絕對定向路徑」，由於數據與存儲載體捆綁加密，只有當信息到達準確目的地後才能被操作者解密應用，所以傳輸過程中就算設備丟失也不怕信息外洩。第二，是「加密傳輸路徑」，由用戶創建一條與其他軟硬體間信息交互的安全虛擬路徑，例如同方TST2.0安全平臺中的「授權密網」功能，就是典型的「加密傳輸路徑」模式。

    「可信接入」 讓內外網涇渭分明

    在大型企業或政府機構的日常工作中，可能經常應用到涉密信息，需要將內網數據與外網連接物理阻斷，使機密數據只在內網中循環。這就需要在內部架構一套完善的「可信網絡接入系統」，通過在電腦、伺服器中內置相同安全晶片，實現內網從服務端到終端的統一安全標記，同時還能與Internet接通，不會影響正常網絡應用。

    同方電腦作為中國可信聯盟的核心成員，依託國家可信計算的自主科技以TCM晶片所具備的加密及身份認證特性為基礎，推出了一套完善的「可信網絡接入」方案。為企業和機關的內網外隔離問題，提供了一條切實可行的解決之道。

    該方案同樣基於國密局TCM安全晶片構建，將「用戶身份認證」和「硬體身份認證」有機地結合於一身，若缺少一項認證，該終端都無法接入內部網絡，從而確保可信接入的安全性。

可信接入系統模型圖

    在同方「可信網絡接入」方案由客戶端、同方可信網關組成和TCM伺服器組成。其中同方可信網關起到核心作用，它負責制定接入策略、並判斷接入可信網絡的終端是否合法，再將策略下放給交換機執行。若合法，則允許終端進入可信內網，與TCM服務互通；若非法，則只能通過交換機訪問Intenet信息。在這種機制下，保證只有合法授權用戶在授權終端上才能實現內網資源的正常訪問，從技術層面有效規避了「外來人隨便接跟網線就能進入內部網絡」的現象發生。

    世界500強企業、美國最大銀行，甚至美國政府都慘遭黑客「毒手」。當安全軟體產品「失效」後，中國企業或政府機關如何面對黑客攻擊？「可信安全」被業界普遍認為是克制網絡信息安全風險最有效的手段之一，以同方電腦為首的大量民族企業潛心研究多年，已推出了大量「可信安全」科研成果。不過令人擔憂的是，呼籲多年的「信息安全等級保護劃分」政策還沒有出臺，我國行業內大批可信安全方案苦於「英雄無用武之地」，若得不到「可信安全」產品的保障，無異於將國家絕密資料赤裸裸的擺在黑客面前。「竊密」、「失秘」，內憂外患之中，信息安全形式已愈發嚴峻。