桌面終端安全應引起重視
頻發的泄密事件應該給金融行業敲響警鐘,金融業作為國家經濟的重要組成,其信息安全的重要性不言而喻,金融企業在數據中心的安全尤其在防止外部攻擊方面投入巨大,可以說做的非常成熟。但是,內部泄密途徑眾多且不易管控,簡單的網絡行為或移動設備的拷貝即可以輕易繞過企業辛苦建立起的"馬奇諾防線"。
對于在國內發生過的某知名外資銀行客戶銀行存款被盜案件,上海師范大學金融工程研究中心主任孫茂輝曾表示:"金融行業其實相比其他行業在信息安 全的硬件建設上是最成熟的。像這類企業,更多是由于內部員工或者合作伙伴引起的數據丟失。此案的爆發,對整個銀行業有一定的警示作用。目前,銀行多專注于 防控來自外部的風險,而內部的人員管理卻流于形式。"
實際上,桌面終端也在內網,連接了所有嚴格布防的數據中心,如果終端沒有管理好,肯定會影響到數據中心的核心系統和核心應用,對于桌面終端的安 全管理,大家往往是不太重視,但實際上卻是最容易出問題的環節。金融行業同樣存在大量的外包人員和第三方伙伴,因為合作需要接入內網,如果管理不當,也存 在發生安全事故的風險。
傳統方案存在諸多不足
終端對核心業務數據進行單獨訪問,傳統方式主要是采用網絡安全隔離卡、安全隔離網閘、基于無盤系統的隔離、雙網絡系統等物理隔離的辦法,采取物理隔離的方式有較高的安全性,但是數據的傳輸與處理仍是以明文的方式來進行,客觀上還是有一定的風險存在。物理隔離在實際的使用中,還存在著諸多不足。
首先是易用性差,現代辦公對網絡應用更加的依賴,在保證信息安全的情況下,則不能方便的進行其它文件跨網使用、移動辦公、外網郵件、IM即時通 訊等應用;其次是擴展性差,后期擴展必須增加兩套設備;再次是IT成本高,包括建設、管理、維護。基于物理隔離以上的使用特點,我們可以看到:傳統的隔離 方式已經不能更好的適應金融信息化的快速發展。這時能否出現一些前瞻性的解決方案提供商,對金融信息安全的建設進行引導,將顯得至關重要。
專家支招:從源頭抓起
如何確保桌面終端有更高的安全性,而且易于部署,同時還不影響員工的工作效率?深信服公司金融事業部產品經理郝曉龍提出了建議:"要解決內部泄密應該從信息的源頭抓起。"內部泄密分為主動泄密和被動泄密,主動泄密主要通過網絡對外發送、移動存儲拷貝、在內網獲取信息后通過3G等其他網絡對外發送,而被動泄密則是內部人員將重要信息留存在本地桌面,后因遺失或其它原因導致泄密,只要我們控制了信息的源頭,就能從很大程度上保障信息的安全。
具體操作上是在服務器前部署安全網關實現統一管理,所有訪問服務器的終端必須通過安全網關來進行,經身份認證后安全網關向桌面終端推送生成一個虛擬安全桌面,所有核心業務數據和應用的訪問只能通過安全桌面。
安全桌面是一個相對孤立的環境,本地桌面與安全桌面不能進行數據交互,即訪問終端不能把任何資料或文件保留在本地;在安全桌面中禁止和外網、本 地局域網的任何地址進行通訊,數據不能通過即時通訊和郵件等工具進行發送,也不能連接到打印機進行打印;虛擬桌面獲取的臨時業務數據在退出安全桌面中會被 銷毀,所有的操作痕跡將會被清除。同時,部署安全桌面不需要改變網絡結構,用戶在默認桌面和安全桌面間可以自由切換。在安全桌面中,用戶可以在訪問服務器 時獲得與默認桌面一致的用戶體驗,具有良好的易用性。
郝曉龍表示:"深信服安全桌面采用的'沙盒'技術已經是非常成熟的虛擬化技術,它可以最大程度的防止內部泄密。"虛擬化安全桌面中所有運行的程序和臨時存儲的數據,都是在虛擬獨立的硬盤空間和內存空間中的,運行的過程中直接對該區域進行加密。所以,在默認桌面中,任何程序都無法查看或者調用安全桌面中的運行數據和臨時存儲的數據。
看來信息安全攻防的矛與盾都在不斷發展,但不管怎么演變,從源頭抓起的思路應該是一個很好的選擇。
京公網安備 11010502049343號