一. 企业对信息安全的认识误区
作为网络信息安全策略的重要组成部分,各种安全产品如防火墙,VPN设备在安全体系中的作用和重要性已经逐步被人们所认识,但是,在部署和使用安全产品时,很多人还存在一些认识上的误区。下面我们对常见的防火墙误区做一简单分析: 人们以为有了防火墙就有了一切 ,实际上,防火墙作为网络安全策略中的一个组成部分,不能保证安全,只能加强安全性,难以抵御黑客的攻击。原因有下面几点:
1. 防火墙难以防范网络内部的入侵行为。安全威胁往往并不全来自外部,很大一部分来自内部,据统计,80%以上的攻击来自于内部网络。而防火墙通常只能对内外网之间的通信进行过滤,而不干预内部网上的数据流,因此对内部入侵行为它无能为力。
2. 防火墙对网络外部入侵的防护作用是有限的。现在防火墙阻止外部入侵的主要方法是基于对IP地址和服务端口等等的访问控制,通常不对内容过滤,这样可以禁止“非法”连接,抵御多数攻击手段。但是,这种方法对于现在大量出现的针对IIS服务器的攻击毫无用处,因为防火墙无法将针对IIS服务器的攻击行为与普通用户的浏览行为相区分。
3. 防火墙不能完全保证内外网络的隔离。防火墙充当了外部网和内部网的一个屏障,但是并不能保证所有的外部访问都是通过防火墙的。比如,一个未经认证的调制解调器把内部网连到了外部网,就对系统的安全构成了威胁。
4. 防火墙本身可能存在安全问题,有可能被黑客攻破。这个问题有两个层面:首先,导致其它网络软件出现安全漏洞(如缓冲区溢出)的程序编写错误,在防火墙软件自身上也可能出现;其次,防火墙软件也要运行在一定的操作系统上,操作系统的安全漏洞也将被防火墙系统继承。实际上,防火墙系统本身,也是安全评估的对象。
也就是说,虽然防火墙是很有用处,但是如果你的机器总是采用一些不够安全的方式接收和发送数据,而你又仅仅依靠一些附加的程序提供安全,这就等于把所有的蛋放在一个篮子里,一旦防火墙软件出现bug 或者有漏洞,那你很危险了。另外,防火墙对于病毒一类的软件完全没有防范能力,尤其是那些带有恶意的悄悄地向你的机器发送或提取数据的程序。最后,一些防火墙软件还可能帮倒忙,因为它们的厂商在广告中把产品的特点介绍出去,可能招致一些专门针对它们弱点的攻击。一但你的网络被恶意攻击者非法进入,那么你内部的一切数据都将得不到保护,任由别人窃取,修改,那么企业所遭受的损失将不可估量。
因此在布署企业网络安全计划的时候,我们就要全方位考虑,综合利用防火墙,防病毒产品及信息加密产品,尤其是在保护企业或政府的机密信息,商业秘密这些珍贵数据的时候,对信息本身的认证授权及加密就显得尤其重量。Viaseal 就是这样一种产品,专门用来保护重要信息的一种产品。
二. 市场对访问控制产品的需求及Viaseal的对策
1.市场需求
现在随着使用电脑的人越来越多、网络化越来越普及,个人使用的电子邮件或者与其他人之间文件的传送就逐渐增多;而对于企业方面,无论是企业内部使用的办公系统OA的文件传送,还是企业对外界传送的电子邮件或者是通过网上的商务平台进行数据交流,这些信息的交换是越来越频繁。而随之带来的问题就是数据信息是否是在安全的状态下进行交流的呢?所以现在越来越多的企业和个人都开始关注自己的数据在传送过程中或者在平时的使用的时候是否安全,利用怎样的方法,数据才不会被人盗取或者窥探呢?
而对于媒体数据,就例如一些视频或者音频的数据。还有,现在很多的网站都希望对一些需要收费的数据能够提供实现货币化的形式,就好像教育网站中提供的一些教育的资料能够向注册的用户收费,怎样去保护这些商业化的信息和数据不外漏都是现在市场急需解决的问题。
而在实际操作方面,您现在使用的系统中对存取权限的管理是否足够呢?管理是不是方便,就是说管理者是不是能很清晰的知道每一个用户的存取权限,而且还可以很方便的更改它的权限设定。有这样方便的管理存取权限的系统而随之带来的就是降低企业系统的运作成本,并且还是不降低工作效率。
2.Viaseal对策
基于以上的市场需求,Viaquo公司开发出了一种先进的数据访问控制管理系统,这就是VIASEAL(威锁),顾名思义,VIA就是通过某种方式,SEAL [ si:l ]就是封装,盖章的意思,我们 就知道这是一个保护数据安全的软件。它是由VIAQUO公司开发的,VIASEAL的主要功能就是对计算机中的数据和信息进行加锁和保护,VIASEAL可以解决上述这些安全性和管理上的问题。
首先,在保护企业或者个人的电子邮件的安全上,使用VIASEAL能够对电子邮件正文,包括它的附件进行加/解锁,而且VIASEAL不仅仅只针对电子邮件的使用,而且还可以作用于对各种类型的文件。尤其是企业内部的数据、报表等都是非常重要的资料,ViaSeal使用的是对每个文件都加锁保护的方法。而这种方法就与其他安全保护不同,一般的网络安全保护是一种对企业外围的保护,像防火墙这种网络保护,它并没有内部安全机制,而大部分的黑客攻击和窥探数据都可以由内部发起的。VIASEAL则是对每一位用户的文件或者电子邮件逐个进行保护,就算外面的屏障被攻破,内部数据仍然像装在一个带锁的保险柜里,不会暴露在外面。
第二个方面,对于视频、音频的这种信息或者教育培训的资料都是要向接受者收费的数据,ViaSeal的这种数据加锁的方式就提供给这些数据的拥有者一种收费的机制,通过集成在流媒体播放器中的插件如Media Player插件,令这些信息变成货币化的形式。用户客户得到已经加锁的资料后就可以通过VIASEAL SERVER 拿到TOKEN,直接在本地来解锁,是非常的易用和方便的。
第三个方面,说的是管理存取权限的方面,VIASEAL的管理存取权限是面向角色的,所以管理不同的角色就等于管理不同权限的用户。另外,ViaSeal采用是分布式的系统结构,就是说加锁、解锁的过程都是在装有客户端软件的电脑上,这种方式不但加、解锁的方便快捷,而且客户端与服务器之间只是TOKEN的传输,在令牌的有效期内,即使机器与网络脱离,也可以在本地进行验证,不再需要向服务器提出验证请求,这样可以大大减轻了服务器的负担,从而降低了用户的系统运行成本。
三. Viaseal (威锁)信息安全解决方案
在企业或单位用VIASEAL建立自己的信息安全保护机制之前,我们需要收集一些相关的信息以利于建立比较合理的安全架构,并最大限度地降低管理员的管理工作量。这些信息包括:公司行政结构图,需要被保护的文件类型,各部门的权力划分。
首先我们要考虑一下企业或单位的结构图,通常情况下我们按照行政功能来划分公司的结构并赋予员工相应的角色。下面我们以公司Viaquodemo为例 ,首先我们需要了解公 司的组成结构及VIASEAL成员在公司中的职位。下图是该公司的树状结构图:
根据上图,我们可以看出该公司主要有四个部门,每个部门之间相互独立,各自有不 同的职能划分,因此各部门内部及部门之间均有一些重要的资料及数据需要得到安全的保护,不被与部门或公司无关的人窃取或阅读到。这些敏感资料包括:
Business Plans—商务计划
Sconfidential—销售部绝密
Econfidential—工程技术部绝密
Sum Src Code—源代码汇总
Detail Dev. Sch.—详细开发计划
Esensitive—工程技术部机密
Fconfidential—财务/人力资源部绝密
Board Minutes—董事会备忘录
Co Financial Data—公司财务数据
等等
最后我们需要从公司的高级领导层那里获得各部门的权力范围,即某个部门的人员有权对哪些敏感文件进行操作,包括读和写两种操作方式,读就是解锁的权限,写就是加锁的权限。
在了解了这些情况以后,我们就可以着手建立相应的权限组及权限,并为用户建立相应的角色,不同的用户根据他们的职位可以访问不同的权限。我们按部分划分建立四个权限组,即市场部,销售部,工程技术部,财务/人力资源部,每个权限组设立两个基本权限,即机密和绝密。并按成员职位划分出八个角色,即首席执行官,市场部经理,市场部员工,销售部经理,销售部员工,工程技术部经理,工程技术部员工和财务/人力资源部。最后按员工所属部门划分出五个工作组,即VIAQUO中国,市场部,销售部,工程技术部,合作伙伴。
在图中我们可以看到不同的角色对应了不同的访问权限,具体配置如下:
1. 市场部绝密权限,CEO及市场部经理拥有完全的读写权限,而市场部员工,工程部经理和财务人力部的员工只有读的权限,其它部门及员工无权访问用该权限加锁的文档。
2. 市场部机密权限,CEO,市场部经理及市场部员工拥有读写权限,其它部门拥有读的权限。
3. 销售部绝密权限,CEO,销售部经理拥有读写权限,市场部经理有只读权限。其它部门无权访问。
4. 销售部机密权限,CEO,销售部经理及员工有读写权限,其它部门人员有只读权限。
5. 工程技术部绝密权限,工程技术部经理有读写权限,其它人员无权访问。
6. 工程技术部机密权限,工程技术部经理及员工有读写权限,其它人员有只读权限。
7. 财务/人力资源部绝密权限,CEO及财务/人力资源部人员有读写权限。
8. 财务/人力资源部机密权限,CEO,财务/人力资源部,各部门经理有读写权限,其它人员无权访问。
最后如果域内成员比较多的话,我们可以建立一些权限较低的管理员来分担SO的管理工作。通常情况下,SO的权限一般由公司高层领导如CEO,CTO或董事等掌握,域管理员的权限一般分配给信息技术管理员或首席财务官,工作组管理员的权限分配给各部门经理或主管,这样他们可以单独管理自己的部门。
这样我们基本上就有了一个相对完整的内部信息安全解决方案。
VIASEAL这种面向角色管理的系统对在网络上的应用可以说是非常的广泛,除了上面所讲的电子邮件和文件的加锁外,还可以应用在很多方面,比如,对于电子商务平台,能够保护电子帐单的传送,使网上的商务信息更加安全。 ViaSeal提供了数据信息的收费机制给提供商使用,数据的共享、控制音频/视频在线点播、对收费的资料进行加锁,或者可以对一些在线的网络游戏的用户登陆进行权限管理。可集成于任何办公自动化软件及电子政务软件中,对发文,收文及相关数据均可提供严密的安全保护等等。总之,VIASEAL将使广大的电子商务及应用程序提供商受益。