時光荏苒,眼看着進入2009年年底,即将迎來嶄新的2010年。我發現,今年IT方面的話題特别多,從"洋軟體"的"畫皮門"、"天價風波"開始,到如今最火熱的IT話題---本土軟體的"抄襲門",由此可見知識産權及商業機密對企業是多麼的重要。一個企業付出了幾年的人力,物力,财力去創新産品的各項功能,旨在提高産品的客戶認可度,引領整個行業的技術方向,可是當付出了這麼多心血後,發現創新成果被其他人無情地剽竊了,這個時候任何一個遭遇此事的企業恐怕留下的隻是憤怒和遺憾了。是以,企業内部涉密資訊的監管現在越來越得到企業的重視。
前兩年,湖北某著名鋼鐵集團旗下的技術研發公司就曾發生過台灣間諜竊取機密檔案的事件。當年,IT業剛剛發展成熟,很多設計公司都将原來的紙質設計機制改為了現代化的電子化設計機制。一個重要的核心機密設計草稿隻是一個存在于伺服器上的電子資料而已。在當年還不太重視外聯裝置的安全管理時,一個潛伏已久的台灣間諜在一次偶然的機會下進入了核心機房,通過使用U盤,這個随身攜帶的小型工具就直接拷貝走了價值上億元甚至更多的國家鋼鐵技術的核心内容。雖然,最後通過動用警方和軍方的力量,在間諜逃離出境前将他逮捕,避免了國家的重大損失,但是通過這個事件,也給我們敲響了警鐘。目前,傳統的基于外網安全理論的産品,如防火牆、入侵檢測系統和系統安全性評估系統等,僅僅解決了資訊安全領域中的一類安全問題。對于内網安全的内網主機使用者攻擊和威脅時間來說,傳統的網絡安全産品是無能為力的。目前,國内外并沒有一個完整有效的内網安全管理系統與解決方案,更是缺乏系統有效的内網安全管理産品。網絡安全是一個有機的整體,也是一個環環相扣的鍊條,缺少其中任何一個環節,其安全性能就會大幅度降低甚至幾乎為零。網絡安全無處不在,在我們關心各種防火牆,各種行為管理的同時,我們也要加強裝置的管理,裝置上運作的硬體的管理。
如何才能有效的監管外聯裝置呢?
我們需要将所有主機的硬體裝置管理起來,規定哪些終端的光驅、軟驅、USB裝置、USB儲存設備、Modem、序列槽及并口能用,哪些終端部分能用,哪些終端部分不能用。比如:如果不禁止Modem的使用,就會出現企業内網使用者,通過自接寬帶而撥号上網,造成了企業内部網絡與網際網路直接連通,進而導緻企業内網安全隐患。試想,如果該終端中了網絡病毒,那麼極有可能造成整個企業的網絡癱瘓,其後果不堪設想。再比如:企業内部核心主機如果隻做存儲用,我們可以把光驅、軟驅、USB儲存設備、Modem都禁用,讓人無法通過外聯裝置與主機通信,防止了主機上的資料洩漏。綜上所述,我們需要把硬體控制起來。
管理軟體需要具備的功能特點
基于政策的安全管理
可以按政府内不同資訊的保密程度,對不同部門的PC外連裝置如USB、序列槽、并口、MODEM等進行相應的安全管理及控制,使這些裝置在滿足政府資訊安全管理的條件下使用。
政策執行的完整性
當裝置控制政策生效後,PC的某些裝置不允許使用,使用該PC的使用者可能會想辦法去恢複原有的對裝置使用的自由度,如拔掉網線、更換硬體等操作,但這些行為都無法實作其目的,保證了政府資訊安全管理政策的完整執行。
強大的相容性
對各種外連裝置,如USB、序列槽、并口、MODEM等完全相容。
本文轉自賴永鋒51CTO部落格,原文連結:http://blog.51cto.com/mochasoft/237798,如需轉載請自行聯系原作者
![軟體設計師筆記-----系統安全分析與設計五、系統安全分析與設計[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)