信息系统终端安全解决方案
更新时间:2022-04-21 10:37:44 字号:T|T
信息系统终端安全解决方案(一种动态切换的终端零信任无损闭环安全桌面系统)ZeroTrustAccessControlsystem简称 ZTAC作者 宣以政一、背景...
信息系统终端安全解决方案
(一种动态切换的终端零信任无损闭环安全桌面系统)
ZeroTrustAccessControlsystem简称 ZTAC
作者 宣以政
一、背景
通常,信息安全防护体系是由服务器、网络和终端三个环节组成,任何一个环节的安全缺失都会使安全防护形同虚设。也就是说,服务端、网络和终端三个环节必须形成安全闭环。从组成信息系统的服务器、网络、终端三个层面上来看,现有的安全保护手段是逐层递减的,人们一谈到信息系统安全,往往会想到防火墙、IPS/IDS、入侵检测、杀毒、VPN、安全网关、网管、灾备等传统安全手段,注意力集中在对服务器和网络传输的保护上,而忽略了对终端的保护,唯一面向终端的安全产品,可能就只有杀毒软件了。事实上,由于终端安全防护措施不到位而引起的重大信息安全事件频发,呈现不断上升的趋势。有权威机构的调查表明,90%以上的安全问题来自于终端。
二、终端安全的现状
终端作为信息系统的组成部分,不仅是创建和存放重要数据的源头,也是绝大多数攻击事件的发起端。计算机终端作为信息存储、传输、应用、处理的基础设备,广泛涉及到信息系统中的每一个用户,终端不仅数量最多,接触面最广,面临的情况最为复杂,具有分散性、复杂性、不被重视、安全手段缺乏的特点。海量的数据,多源、异构、动态的特征,存储结构复杂性、开放性、分布式计算、应用场景的特殊性和终端设备的多样性,使得终端安全防护极为困难,已成为信息安全体系中的最薄弱环节。
三、终端信息泄漏是最大风险
信息安全体系中,最薄弱环节是终端安全防护。目前,终端安全防护的技术手段极为有限,大多数情况下,除了杀毒、电脑卫士、文件加密和访问控制之类软件,似乎想不到还有其他什么有效措施,终端存在诸多安全隐患,其中最大的问题是终端普遍存在信息泄露风险。终端信息泄漏主要表现在:由于终端设备的多样性、计算机系统的多功能性,网络的开放性,数据的多样性和应用场景的复杂性,终端数据泄漏手段和途径极其多样,传统安全措施似乎黔驴技穷,越来越难以应付。
四、一个严峻现状:“重防外,轻防内”
目前,在信息安全体系中,普遍存在“重防外,轻防内”的倾向,我们所看到的信息安全产品,用于防外(防入侵防黑客木马病毒)的比例占 90%以上。在绝大多数信息安全解决方案中,防外的措施比较到位,防内的措施往往缺失。据资料显示,近些年来,在所有的的泄密事件中,大部分是“内部泄密”,而不是“外部窃密”。据统计,80%以上的信息泄露事件是由内部员工信息泄露导致的,
四、一个严峻现状:“重防外,轻防内”
目前,在信息安全体系中,普遍存在“重防外,轻防内”的倾向,我们所看到的信息安全产品,用于防外(防入侵防黑客木马病毒)的比例占 90%以上。在绝大多数信息安全解决方案中,防外的措施比较到位,防内的措施往往缺失。据资料显示,近些年来,在所有的的泄密事件中,大部分是“内部泄密”,而不是“外部窃密”。据统计,80%以上的信息泄露事件是由内部员工信息泄露导致的,
如图:
由此可见,防内部人员信息泄漏才是信息安全解决方案的重中之重,也就是说,如果信息安全体系中缺失终端数据泄漏防护,尤其是内部人员的数据泄漏防护,是不完整的方案,存在极大安全隐患。
五、终端安全需具备的基本功能
终端安全防护,不仅要防外,对病毒黑客木马进行防护,还要防内,防止内部人员信息泄漏。因此,一个内外兼防的终端安全解决方案,
通常应具备如下基本功能:
1、身份认证
2、存储隔离
3、数据加密
4、病毒黑客木马防护
5、文件访问控制
6、违规外联控制
7、移动存储控制
8、光盘刻录控制
9、端口控制(设备接入管理)
10、外发外拷控制
11、数据导出控制
12、共享访问控制
13、打印控制
14、进程控制
15、内存控制
16、上网控制
17、准入控制
18、数据备份
19、日志审计
20、 安全加固(补丁升级)
六、终端安全传统产品分析
一个有趣的现象是,要满足如上功能需求,往往需要很多不同的产品来集成,其结果却导致终端可用性很差。传统产品包括:
1、监控审计类产品
采用“封堵”技术路线实现,如防水墙系统、安全桌面系统、内网安全管理系统、内网监控审计系统、桌面安全管理系统、终端安全管理系统、终端监控审计系统等,名称各异,但功能相似。其缺点是限制计算机功能,封堵网络,禁用外设,影响正常工作,基本上已被淘汰。
2、透明加密类产品
采用“加密”技术路线实现,主流是透明加密技术,是指对指定进程产生的数据自动加密,文件一旦离开环境就无法打开或打开是乱码。其缺点是存在文件损坏、效率降低、兼容性差、维护麻烦,只能对单个文件进行加密,不能加密大型数据库,不适用于大文件如视频、复杂制图和源码开发和数据库的应用场景,且功能过于单一,还需要辅之以其他安全防护软件,实际使用效果并不理想。
3、虚拟桌面类产品
这里所指的虚拟桌面是指瘦终端模式的虚拟桌面,所有应用软件、数据、处理和运算均在服务器上,终端主要功能是桌面操作显示,终端设备的硬件配置可以很低。应用效果类似于远程桌面,其性能完全依赖于服务器性能和网络速度,效率无法与 PC机本地工作相比,适用于 Office普通办公,不太适用于视频、复杂制图和多媒体制作的应用场景。
七、一种新技术 ZTAC介绍
由于终端安全的传统产品,普遍存在技术性缺陷和应用局限性,在安全性和方便性上处于矛盾对立不可调和的状态,无法达到既要上网又不能违规外发文件、既要网络共享协同工作又不能违规拷贝出去的功能需求,限制了计算机功能,影响操作习惯,降低工作效率。
针对传统产品存在的缺点,一种动态切换的终端零信任无损闭环全桌面系统(ZeroTrustAccessControlsystem简称 ZTAC),应运而生了。它采用“疏导”的技术路线,在完全开放环境里,构建一个隔离封闭的安全桌面。其特点是:
1.构建安全桌面
ZTAC是在客户机的系统桌面基础上,再创建一个安全桌面。安全桌面与系统桌面全方位隔离,在安全桌面里访问各种涉密信息系统,受到全面的立体式的安全防护。安全桌面是一个隔离的封闭式的安全工作空间,数据只进不出;既保护文档,也能保护数据库;既能保护终端数据,也能保护各种服务器信息系统。防内又防外。既防外部黑客木马窃密,又防内部人员无意泄密或有意窃密;既能防范病毒破坏,又能防范勒索软件入侵。
2.双桌面动态切换
客户机的原有功能均不受影响,当需要工作或访问涉密信息系统时,登录到安全桌面,系统桌面和安全桌面之间可以动态来回切换。
3.“无损”
这里“无损”是指客户机原有功能无损,系统桌面无损,操作习惯无损,系统性能无损,工作效率无损。
4.“零信任”
将信息安全的边界“终端设备”延伸至终端设备的使用者“人”,实现了对“人”的信息使用全过程的安全防护,解决了一个世界性技术难题——信息使用者“人”的安全性问题。在以往,信息安全的重点是防外不防内,管物不管人;重在防外部入侵,疏于防内部失泄密;重在硬件设施的安全防护,疏于信息使用过程的安全防护。然而“人”恰恰是最不可控的因素,一切基于“默认内部人员皆为好人”的设计路线都是不安全的。据统计,大部分泄密事件是内部泄密,即所谓“家贼难防”“堡垒最容易在内部攻破”。世界上最难防的莫过于“人”,而 ZTAC不仅防外部黑客木马窃密和病毒破坏,更是防内部人窃密,达到“内外兼防”的效果。
5.“闭环”
安全桌面是一个隔离封闭的工作空间,包括存储隔离、通讯隔离、进程隔离、访问隔离、操作隔离、端口隔离、外设隔离、网络隔离,同时又可以允许特例访问外网的信息系统和文档共享服务器,在保持网络工作便利性的同时,最大限度的阻止外网的危害。在闭环内,对文件全生命周期进行全过程保护。从文件创建、编辑、保存、传输、流转、拷贝、外发、归档、销毁的每一个环节都进行防护,达到“文件不落地、本地不留痕”的安全防护效果。
6.“隐形加密”
创建安全桌面时,会生成一个加密的数据库,安全桌面里的所有数据存储在该数据库里。在安全桌面里操作时,数据都是被自动加密的,对使用者而言,加密是毫无知觉的,一旦关闭安全桌面,即使拷走数据库也没用。
