“一ＫＥＹ通”如何構建無賊內網

駒寶平

眼見得《碟中碟》里的小湯哥可以在層層布防的機密室里竊取重要文件，《無間道》里的各方內鬼又在警匪兩道來去自如，不要認為這些都是電影大師們虛構的故事情節，在我們身邊，通過內網盜取商業機密的可謂比比皆是。

在超過85%的安全威脅來自企業內部的驚人事實面前，人們開始警醒于對內網安全的特別關注，而廠商們的相關產品和解決方案也開始頻頻亮相，顯露端倪。

內網防護刻不容緩

人們對于外網（Internet）的安全認識由來已久，黑客、病毒這些十年前還不曾為人所知的名詞，卻因其破壞力之大、威脅范圍之廣而備受注目，但是如今對于內網的安全防護問題則很少有人問津。畢竟在很多企業看來，看好公司大門，就可以阻止一切商業竊賊的暗夜入侵了。

圖1 銀行柜面業務終端安全網絡結構

據FBI和CSI在2002年對484家公司進行的網絡安全專項調查結果顯示：超過85%的安全威脅來自公司內部，其中，有16%來自內部未授權的存取，有14%來自專利信息被竊取，有12%來自內部人員的財務欺騙，而來自外網黑客攻擊的卻只有5%；在損失金額上，由于內部人員泄密所導致的資產損失高達6000萬美元以上，它是黑客所造成損失的16倍，病毒所造成損失的12倍。這組數據充分說明了內部人員對于企業局域網泄密的嚴重危害，同時也提醒了國內相關組織應加強網絡內部安全的建設。但是另據不完全統計，國外在建設內網時，投資額的15%是用于加強內網的網絡安全，但在我國IT市場中，用戶在內網安全方面的投資比例明顯不如國外。究其原因，高技術含量所帶來的掌握難、實施難、維護難問題，反倒讓內網在安全性仍未有保證的情況下，再痛失穩定性與操控性。由此，衛士通“一KEY通”局域網安全解決方案也就隨行業趨勢與用戶需求應運而生了。

“一KEY通”

實戰內網安全

內網源于IT產品的搭建，因此其安全性也必將通過IT產品來實現，這就是衛士通在設計研發內網安全解決方案時所倡導的“安全IT化，IT安全化”的整體戰略思想。秉承這一理念的指導，衛士通“一KEY通”局域網安全解決方案全面解決了企業在內網防護時遇到的諸多問題，根據涉密信息系統內網防護的特點及多年涉密信息系統攻防的研究和實踐，它重點嚴防于局域網攻擊流程中的三道門檻。

防查找，嚴防登錄是防查找的主要內容，所以“一KEY通”首先在單機Windows認證登錄的“用戶名+密碼”方面加以改進，“用戶名+密碼+key+PIN”的四重身份認證方式成為防止入侵者的第一道屏障；而針對單一硬盤的訪問，“一KEY通”也設計有“密鑰在key中”的方案，以此實現密碼的再保護；此外，通過對平臺底層技術的控制，防止單機在運行模式、安全模式甚至是離線模式下非授權者對外設進行訪問；而“一KEY通”的主機安全防護平臺也改變了Windows系統的引導流程和認證流程，這使得安全內核隨操作系統同時加載，以防止非法者引導操作系統時用F8進入安全模式；最后，網絡設備的設置權限也被控制起來，一旦發生改變，系統會立刻上報安全管理中心。

防獲取，在這一環節，加強認證是必不可少的。“一KEY通”中，用戶訪問后臺服務器時需經過代理服務器和認證服務器的有效認證，沒有合法令牌的用戶根本無法穿透；而在網絡上傳輸的數據也都一律經過本地加密后才進行傳輸，密鑰協商過程采用用戶證書保護，用網絡監聽黑客工具雖然可以得到傳輸的密文數據包，但是沒有密鑰解密數據，同樣無法獲取傳輸的明文數據；此外，安全管理中心可以隨時發送確定網絡主機存在的探測數據包，而該主機即便是有防火墻的非法用戶，也不能對包進行攔截，那么一旦有不正確的回應則認為其非法，管理中心將立刻報警。

防流出，這一環節多為非法連接外設、外網來拷貝和改變內網信息。在拷貝方面，訪問內網的存儲介質（如U盤）需得到“一KEY通”的合法授權后才可拷貝數據，但該數據也被強制加密保護，只有用合法者的數字證書或者對方的證書才能打開；而針對MODEM的啟用、監視和禁用，“一KEY通”可以控制本地撥號來阻止傳輸數據者，且利用局域網綜合安全保護系統的監控子系統，還可以對底層調用撥號者進行有效堵截；另外，“一KEY通”的局域網綜合安全保護系統除了為文件和程序提供自主型存取控制、強制型存取控制以及特權管理以外，還可以根據需要提供一張關鍵應用程序保護列表。該系統自動識別這張表中的文件，所有涉及到的表上文件，無論是寫操作還是任何改動都是被禁止的；而該系統對終端保護平臺的反安裝也進行過特殊處理，除專用卸載程序外，使用網上常用的卸載工具嘗試卸載，都會使控制失效。

或許在“一KEY通”的面前，小湯哥的靈活身手也要黯然失色吧，而這也充分證明了對于內網安全的提前防范，要遠比事后的亡羊補牢更為可取。“一KEY 通”局域網安全解決方案憑借其專業化的局域網綜合安全防護系統，勢必于軍工、金融、政府等行業領域大有一番作為，而衛士通也必將一如既往地締造著這個網絡時代內網安全的不朽神話。

圖2 銀行桌面辦公終端安全網絡結構

保衛銀行從臺面做起

對于當代的眾多金融企業來講，網絡的安全防范是一個備受關注的話題。由于人們在防范外網病毒和黑客攻擊方面的重視程度，要遠遠高于對付來自企業內網的侵害與威脅。所以，絕大多數商業間諜寧可鋌而走險，親臨犯罪現場，也不愿在外網通過嚴密的網絡邊界安全設備實施盜竊活動。

在我國目前的金融行業里，銀行作為最主要的企業形式廣泛存在著，其內部局域網絡通常由應用服務器區和計算機終端區兩部分組成，但是在銀行日常業務的處理安全性上，它們卻都體現出了不同程度的薄弱之處。比如，網絡服務器終端的非授權訪問、被惡意攻擊和傳輸的數據被竊取；計算機終端的非授權訪問、數據安全問題；終端操作系統的漏洞或服務被利用；端對端的電子文件共享風險等，這些都直接威脅著銀行內網的穩定性和數據安全。

據介紹，“一Key通”銀行終端安全解決方案，則是建立在銀行業務終端安全防護體系上的計算機終端安全防護平臺。該平臺充分把握住了金融信息源的安全問題，無論是在服務器終端還是在計算機終端，“一Key通”都確保了對應用系統的訪問人實施身份認證和嚴格的訪問控制。同時，它還建有終端監控與審計系統，確保所有單機都在實時受控狀態下運行，并能夠對各種單機操作行為進行及時地審核控制。

眾所周知，在銀行業務的處理過程中，終端設備是最容易暴露在外人面前的，所以它的安全性問題也是最受重視的。因此，衛士通推出的“一Key通”銀行終端安全解決方案，將內網的安保實施進一步細分為銀行柜面業務終端和銀行桌面終端兩部分。這樣，在方案運作的過程中不僅更具針對性，其最終的實施效果也將更為全面、顯著。

銀行柜面業務終端安全解決方案是以強制訪問控制技術、密碼技術、可信計算技術等安全技術，加強終端系統的安全，提高終端系統的自身免疫力。它從控制安全威脅的源頭入手，通過對銀行系統的業務終端和終端服務器進行可信化改造，實現“人→機→業務”的嚴格綁定，做到未經授權的用戶無法進入業務系統、合法的用戶不能越權辦事、用戶所作的操作有據可查，從而實現對銀行業務系統的全面安全保護。