信息安全 化「被動」為「主動」

2025-02-12 20:26:24

    相信很多人都認為防病毒軟體、防火牆等本身是安全的。但實際上，安全軟體產品屬於被動防禦性體系，對病毒庫的依賴性很強，導致其永遠不可能殺掉所有病毒、永遠滯後於最新的計算機病毒！另一方面，安全軟體產品也是由程式設計師編寫的，同樣會形成漏洞，比如，在2006年「BigYellow蠕蟲」就利用賽門鐵克殺毒軟體的漏洞竊取系統權限，近期我們也不斷聽到關於HBGary，RSA以及Comodo被攻擊的報導。

    對於普通單機用戶而言，安全軟體尚可繼續發揮自身價值，但企業用戶僅靠防火牆、防病毒軟體已不足以應付日益嚴峻的網絡安全形勢。部署主動防禦性的 「可信安全」環境，則顯得尤為重要。「可信安全」是指通過在硬體平臺中引入安全晶片架構，建立起一種信任機制。對於企業用戶來講，根據需求的不同，可分為結構化的「可信安全內網」 環境或為關鍵數據提供「可信存儲和傳輸」兩種模式。

    「可信內網」實現大型企業內外網安全隔離

    在金融、醫療、政府、科研、軍工等單位，一部分涉密資料必須處於安全環境下，但日常工作中還需接入Internet，這樣就無法保證單位內部區域網的安全。「可信安全網絡」則是針對這部分需求，推出的規模化可信安全應用。通過在電腦、伺服器中內置相同安全晶片，實現內網從服務端到終端的統一安全標記。同方電腦作為中國可信聯盟的核心成員，推出了諸多可信安全解決方案，其中「可信安全接入」系統可解決大型企業的現實難題。

可信接入系統模型圖

    從模型圖中可以看出，同方電腦「可信接入系統」以國產TCM晶片為基礎，通過伺服器對含有TCM晶片的其他終端機群同時進行「用戶身份認證」和「硬體授權認證」。如果其中有一個認證沒有通過，則該終端將無法接入內部網絡訪問數據。這樣，通過基於TCM硬體晶片的雙重身份認證，能最大程度地保證內網的信息安全。

    同方「可信接入系統」的根本價值在於實現了內、外網物理隔離。如果某客戶來企業拜訪，接上網線可以正常訪問Internet，只是無法訪問涉密的企業內網。在不幹擾正常辦公需要的前提下，實現了企業內網接入安全。

    保障企業安全存儲與傳輸

    中小企業或大型企業的某些關鍵數據防護，並不需要大規模可信網絡架構。因此，以部署成本低廉、操作靈活為主要特點的「可信安全存儲與傳輸」則具備獨特優勢。這種優勢主要體現在三點，即「安全輸入輸出」、「密封存儲」和「儲存器屏蔽」。

    「儲存器屏蔽」主要用於單機用戶的數據安全，它區別於由軟體實現的儲存保護技術。通過安全晶片為底層基礎，提供獨立的加密存儲區域，若沒有合法授權（通常採用指紋識別），該存儲區域不可見。比如同方TST2.0安全平臺中的「個人密盤」功能，就是典型的「存儲器屏蔽」模式。

    數據傳輸作為日常工作重要環節，其安全性更是重中之重。「安全輸入輸出」可創建一條用戶與其他軟硬體間信息交互的安全路徑。某種程度上，跟「可信接入系統」類似，只是範圍更小、部署難度更低，可隨時生成或取消這個安全路徑。同方TST2.0安全平臺所提供的「授權密網」功能，則是這種方式的代表之一，它可以建立一個小型的加密內網，密網內的用戶可以共享傳輸數據或協同工作。另一方面，通過硬體級加密移動存儲設備與終端電腦之間的數據交換也屬於「安全輸入輸出」的範疇，而對此又可以引申出「密封存儲」概念。

    「密封存儲」是針對移動存儲設備所做的安全防護概念，將數據與存儲設備捆綁在一起進行保護。比如擁有獨立CPU和作業系統的同方「移動數據保密機」或基於同方「高速流加密」晶片的加密移動硬碟、加密U盤、高速流加密器、USB埠管控等系統。它們或利用指紋識別、或利用密鑰等形式，將機密信息完全「鎖定」在移動硬體中，外界無論通過任何手段都無法破解。

    得益於大批民族企業的鼎力相助，現在中國可信安全技術發展很快，甚至接近或趕超國際先進水平。例如同方已成為國際先進的晶片級可信安全提供商，其產品方案已突破終端領域，正向伺服器端發展。相信不久的將來，在中間接、資料庫、SAN\\NAT等領域也會建立一條可信安全產業鏈。民族的信息安全，始終要靠民族科研成果才行，在安全軟體不再安全的當下，民族可信安全產業正在蓬勃發展。這勢必為國家現代信息化建設，注入更強動力。