新挑戰需要新設備：談新一代安全防護

2024-09-14 19:28:10 1

    行業用戶的網絡環境在不斷變化，從單機辦公到網絡辦公，未來更可能發展為雲計算模式。不斷變化的辦公環境，使用戶內部安全問題愈發複雜多變。從被動竊密到主動洩密，從網絡攻擊到人為風險。雖然傳統的安全產品也在不斷做出調整，但其設計思路畢竟還是基於原有模式，其拓展範圍相當有限，無法滿足當今新的信息安全形式。新一代的信息防護安全方案顯得愈發緊迫。

    關於下一代安全產品的確切定義，現在業界還沒有統一標準，不過很多安全廠商都認為，應用安全、網絡安全是下一代安全產品的防護重點，要通過某種機制，彌補傳統防火牆或反病毒軟體的弱點。對此,同方電腦創新中心總經理鄒勇這樣認為： 「以安全硬體作為基礎、具備成熟的權限登錄機制和詳實的行為審查系統」，同時認為這三種特性應普遍存在於單機辦公、網絡安全、移動存儲這三個需求層面。

    提高單機防護能力

    對於單機防護，我們現在通常採用簡單的防火牆或反病毒產品，但由於人員隨即流動性大，不可控因素較多，敏感信息的安全隱患就會暴露出來，洩密事件在所難免。對此，同方電腦面向單機應用推出了「TST2.0安全平臺」。

    同方TST2.0安全平臺以TCM晶片為方案核心，結合同方生物指紋鎖作為權限認證方式之一，輔以「個人密盤」、「授權密網」、「即時備份」、「審計日誌」等功能。不必依託於病毒庫更新，提供主動防禦功能，對病毒木馬等黑客攻擊方式先天免疫。

 
    TST2.0安全平臺功能模型

    其中「個人密盤」和「授權密網」功能，通過虛擬加密存儲空間和加密共享內網等方式，能有效的防範因使用者疏忽而造成的潛在安全風險。同時，還可通過「審計日誌」功能查看用戶操作行為，從而規範管理制度，進一步降低內部洩密風險。

    另一方面，電磁洩密也已成為單機信息安全的重大威脅。眾所周知，計算機在工作時會想外發射電磁波，使用某種特殊儀器可以很輕鬆截獲有用波段，將機密信息呈現出來。這類竊密手段隱蔽性極強，可謂防不勝防。

 
    低洩射超翔Z一體機

    而同方低輻射一體機則是專門針對電磁波洩密而推出的全新產品。其採用屏蔽、濾波、吸波、隔離、接地等措施，進行了100餘次測試、改裝，可保證整體降低輻射近20dB，相當於屏蔽掉普通計算機99 %以上的電磁輻射，達到了國家保密標準GGBB1-1999和國軍標GJB4216-2001的要求。現在已大量應用於黨政軍重要涉密部門，對解決我國電磁安全問題有著十分重要意義。

    避免移動存儲安全風險

    各種移動存儲設備因其便於攜帶、方便存取的優點，成為大多數用戶作為存儲日常工作文檔、報表、圖紙、原始碼等資料的必備工具。不少人用它私自下載和保存公司涉密文件，甚至將涉密存儲設備攜帶外出，從而造成有意或無意的機密數據丟失。介於此，某些特殊機構甚至採取極端做法，禁止員工使用U盤等設備，為日常辦公帶來了極大不便。

    針對移動存儲管理，目前業內主流模式是採用軟體解決方案，但多數安全專家認為這只是治標不治本的辦法，若從根本上應付行動裝置洩密，需要從硬體本身入手，尋求安全防護上的突破。為破解以上難題，同方電腦以自主研發的「高速流加密晶片」為核心，推出了諸多針對移動存儲的安全解決方案。

 
    同方移動存儲安全解決方案以及相應產品

    基於SM1/SM2/SM3和AES/RSA加密算法的同方「高速流加密晶片」及以其為核心的各類安全解決方案，皆採用認證、數據加密和訪問控制技術，統一管理移動存儲設備的使用，提供不同的安全策略，詳細記錄安全設備使用狀況，確保數據安全、可控。並且，全部採用純硬體架構方式，能禁止任何惡意的可執行代碼運行，防範病毒傳播和木馬攻擊。最後，通過合理完善的身份驗證方式，幾乎不會改變用戶的使用習慣，更貼合實際應用需要。

    通過同方電腦的移動存儲解決方案，行業用戶可實現以下安全防護效果。第一，以「移動數據保密機」為首的絕密級防護設備，會提供詳實的日誌功能，更高權限的管理員能通過提取相關數據監控用戶使用行為。第二，下發靈活的策略來管理各類終端的使用限制，例如，可以任意開啟或關閉防護狀態、可授權多人使用同一防護產品等。第三，所有同方安全外設，不僅在線狀態下可提供正常防護，即使外出也可實現安全管理，可以避免因丟失產生的被動洩密事件發生。

    通過部署同方特有的移動存儲解決方案，既實現了對用戶機密文件的安全防護，也不會影響企業內網員工的日常工作。管理層再也無需擔心自身核心機密，通過等行動裝置外洩，可以將有限的精力放在更重要的事情上。

    保障內網可信接入和安全應用

    防火牆，IPS、企業級殺毒軟體等產品主要是針對外網的安全防護，但當面對內網安全威脅時，往往形同虛設。在已知的各種洩密事件中，來自內部的威脅佔80%以上，更多的來自內網未經授權的非法訪問。因此內網安全問題也是同方電腦架構安全方案時的重要考慮對象。

    涉及內網安全的因素非常多，但總體而言，內網安全重點主要體現在用戶、應用環境、邊界和內部通信安全。因此，如何在行業用戶內部創建一個切實可行、簡單易用的安全防護體系，是同方電腦實施內網安全部署的關鍵問題。

    同方電腦深入行業客戶內部實地考察，經過大量試驗後推出了專門針對內網數據安全的解決方案----安域加密系統。

 
    安域加密系統模型圖

    該系統是基於動態加解密技術，通過智能化安全策略，在不改變用戶使用習慣和不限制計算機文件格式的前提下，將客戶重要資料作為機密數據進行加密管理，嚴格控制有可能導致信息洩密的任何操作。利用同方安域加密系統，可以保護內網所有電腦、工作站或伺服器等設備上的數據安全。任何信息都不會被非授權人瀏覽和獲取。

    另一方面，在對內網數據進行有效加密的同時，身份識別是幫助用戶實現高強度安全保護的重要一環。對此，同方電腦在內網接入管理方面，也推出了「可信接入系統」。

    同方內網「可信接入系統」主要由內置國密局TCM晶片的伺服器和工作電腦兩部分硬體設備構成，通過兩者相同技術規格之間的無縫交互，可以有效保護內部網絡訪問安全。

 
    可信接入系統模型圖

    基於TCM體系的內網「可信接入系統」，是基於802.11x協議構建虛擬區域網，實現對網內計算機設備的網絡訪問控制，能夠有效解決目前內外網系統中內外網隔離的問題。外來用戶偷偷拔根網線就可以接入內網的情況從技術上就能有效規避。保證內部網絡的信息資源不受侵犯，增強內部網絡防範非法內聯的能力。

    同方「安域加密系統」和「可信接入系統」相輔相成，通過有效的監控機制，不僅可以杜絕非授權人員的訪問，更能針對已發事件追溯授權用戶的操作行為，高效地管理內網用戶群，促進內控機制的建立與完善，提高行業客戶核心競爭力。

    新時代需要新安全

    我國經濟發展已步入嶄新時代，隨之也出現了更多新的信息安全威脅，這就意味著信息化安全防禦的角度出現了變化。同方電腦則敏銳的觀察到這點，並就行業用戶的安全需求進行了大量攻關調研，從新的安全防護角度設計研發出大量可信安全解決方案。最重要的是，這些方案幾乎全部以自主研發的純國產晶片為核心。由此預示，同方電腦已從解決方案提供商躍居為晶片級安全提供商，憑其強大的技術實力，為行業提供各種高效健全的新一代信息安全防護系統。

    更多信息，請訪問同方電腦官方網站：