内网安全

      自2003年来，以SQL蠕虫、“冲击波”、“震荡波”等病毒的连续性爆发为起点，到计算机文件泄密、硬件资产丢失、服务器系统瘫痪等诸多客户端安全事件在各地网络频繁中发生，让政府机关和企业单位的网络管理人员头痛不已。总结起来，政府机关和企业单位的内部网络管理大致面临着以下一些常见问题：

如何发现客户端设备的系统漏洞并自动分发补丁。

如何防范移动电脑和存储设备随意接入内网。

如何防范内网设备非法外联。

如何管理客户端资产，保障网络设备正常运行。

如何在全网制订统一的安全策略。

如何及时发现网络中占用带宽最大的客户端。

如何点对点控制异常客户端的运行。

如何防范内部涉密重要信息的泄露。

如何对原有客户端应用软件进行统一监控、管理。

如何快速有效的定位网络中病毒、蠕虫、黑客的引入点，及时、准确的切断安全事件发生点和网络。

如何构架功能强大的统一网络安全报警处置平台，进行安全事件响应和事件查询，全面管理网络资源。

这些常见的客户端安全威胁随时随地都可能影响着用户网络的正常运行。

互联网的迅速普及，网络应用已成为企业发展中必不可少的一部分。然而，企业在感受网络所带来的便利的同时，也面临着各种各样的进攻和威胁：机密泄漏、数据丢失、网络滥用、身份冒用、非法入侵……目前有些企业建立了相应的网络安全系统，并制定了相应的网络安全使用制度，但在实际使用中，由于用户对操作系统安全使用策略的配置及各种技术选项意义不明确，各种安全工具得不到正确的使用，系统漏洞、违规软件、病毒、恶意代码入侵等现象层出不穷，导致用户计算机操作系统达不到等级标准要求的安全等级。

目前调查数据表明，我国有63.6%的企业用户处于“高度风险”级别，每年因网络泄密导致的经济损失高达上百亿。虽然大多数企业都非常重视内网安全管理问题，内网安防投入也不断增加，但是内网安全问题却仍然严峻。在国家出台的《信息安全等级保护管理办法》中，就明确指出了信息安全等级保护的重点在于内网安全措施的建设和落实。事实表明，有效保护企业内部资源和网络的安全，需要建立全面的内网安全体系。

       一直以来，安全防御理念局限在常规的漏洞扫描、防火墙、安全审计、防病毒、IDS等方面的防御，重要的安全设施大致集中于机房、网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。然而，来自网络内部的安全威胁却渐渐地突显出来，网络的内部安全问题大于外部问题，已经成为业界共识。频频暴露出来的违规安装软件，私自拨号上网，私自带入其他设备接入等情况使得内网安全隐患重重，进行内网系统安全优化建设已经刻不容缓。然而要进行内网安全建设，第一步首先要全面了解系统，评估系统安全性，认识到自己的风险所在，从而迅速、准确得解决内网安全问题。 

经过多年的深入研究和技术积累，安天实验室于2010年8月推出了多维度智能主机安全检查系统（TDS），它是针对内网计算机进行全面的安全保密检查及精准的安全等级判定的软件系统，并有着强有力的内网安全检测分析能力和修复能力。 如今企业或单位的网络内都存有众多重要数据，而这些网络交叉相连，操作系统混杂不一，主机型号多种多样的，内部网络规模庞大，应用系统复杂，加上工作人员庞杂，给企业内部信息安全管理带来了巨大压力。TDS解决了这一问题，它可以对主机进行自动化检查，检测内网安全隐患，实时查明内网节点安全漏洞。尤其是针对敏感部门、重点机构和信息化建设中的企事业单位。TDS的一键式运行操作，减少了企业部门在内网安全方面投入的人员数量，减轻操作人员的工作强度。TDS无需安装软件，检测后不留痕迹的特点，适合政府机关、企业单位机密数据的保密制度，防止机密泄漏、数据丢失的现象发生，保证了国家政府机关、企业单位的信息安全。 

前一阶段各企业为了保证内网安全，纷纷购买了独立的杀毒软件，检测工具。然而，随着经济发展所带来的人员流动性的不断增强，由于这些由不同厂商提供，不同种类的网络和安全设备之间，缺乏有效的信息整合，很容易形成信息孤岛，从而被各个击破。以往的检查产品扫描过程漫长、排查隐患不合理、问题定位不精确、扫描缺乏深度、安全结论模糊等一系列业内技术难题始终存在。TDS主机安全检查系统再一次突破以往的技术领域，它具有高性能的检测能力和多维度的检测角度的特点，能全面分析检测内网计算机保密安全性与系统脆弱性，对身份鉴别、安全标记、访问控制、安全审计、通讯保密性等进行全面检查，提取近百个检测点分析， 还具有漏洞扫描探测、操作系统信息采集与分析、日志分析、木马检查、安全攻击仿真、网络协议分析、系统性能压力、渗透测试、安全配置检查、进程查看分析、数据恢复取证（涉密定制）、网络行为分析等多个方面评判计算机安全性能的能力，TDS将会引领新一代的主机安全检查潮流。

2004年，通过网络快速自动传播的蠕虫病毒颠覆了内网安全的格局，所造成的经济损失首次超过信息被窃所造成的损失，跃居第一。为了防止灾难再次发生，TDS主机安全检查系统还提供病毒扫描快速通道，通过调用获得科技部创新基金的安天AVL SDK可嵌入反病毒引擎，可以检查系统中各种病毒、后门、木马、蠕虫、黑客工具、恶意程序、关注文件等有害数据和敏感程序，并能发现私自访问互联网行为，全面保护内网系统安全不再受病毒的侵害。

SecGateway文档安全网关，专用于企业数据中心与办公网络有效隔离的嵌入式专用设备。采用链路加密的方式，实现客户端的准入，从文件在企业的使用流程入手，将数据泄露防护与企业现有 OA 系统、文件服务系统、ERP 系统、CRM 系统等企业应用系统完美结合，对通过网关的文档数据进行透明加解密工作，有效解决文档在脱离企业应用系统环境后的安全问题。为企业部署的所有应用系统提供有效的安全保障。

1.完成安全网关和企业现有应用系统无缝集成，自动完成对经过网关的数据进行强制加解密——上传解密，下载加密；

2.加密客户端通过 SecGateway，正常访问应用系统服务器；

3.非涉密客户端计算机，在通过安全网关时，会被安全网关筛选和拒绝，无法通过 SecGateway 访问 OA/PDM 服务器。

由广东南方信息安全产业基地研发的新一代驱动层硬加密SecDocx数据安全保护系统是一款专业的企业内网安全管理系统，它将局域网内文件的透明加密、内网的有效管理有效地结合起来，功能强大，能满足不同类型企业用户对信息安全的需求。

1、透明加解密保护

内核过滤驱动： 在Windows操作系统中，存在一个管理系统输入输出的内核模块，I/O 管理器。程序在发送操作请求（如读写请求）到目标设备对象（如文件）之前，I/O 管理器会检查挂载在设备对象上的驱动程序，如存在这一对象，I/O 管理器把请求先发向驱动程序。驱动程序对象以栈的形式存在，因此可在驱动程序对象中加入定制的过滤驱动程序对象。

本系统使用内核过滤驱动技术，对管理员设置的文档类应用程序，产生的数据文档进行强制的透明加密保护，并在用户和程序访问这些加密文档时，校验其合法性，如果合法，则进行透明解密，否则不对其解密。该加解密过程不会影响现有程序和用户习惯。

2.泄密保护

系统对指定的数据文档提供了高强度的加密保护。为防止内部人员使用不当或其他非法工具手段窃取加密文档内容，本系统提供了泄密保护控制功能。

（1）打印控制：系统在操作系统内核驱动层，控制加密文档的打印，当程序向打印机发送打印请求时，内核驱动拦截该打印请求，若为可信的打印操作，驱动将允许打印，并记录该打印事件，否则禁止打印并记录该打印事件。

（2）内存窃取控制：系统在操作系统内核驱动层，保护应用程序的内存数据，当加密文档数据被加载到内存中，内核驱动对存储机密数据的内存区域进行读写保护，其他程序不能通过内存访问窃取加密文档数据，解决了内存窃取重要数据的问题。

（3）其他控制：系统在操作系统内核驱动层，防止用户利用操作系统的拖拽和复制功能，泄露加密文档数据。当用户进行拖拽和复制操作时，驱动程序将分析该操作是否为策略进程，如果同为策略进程，则允许相互拖拽和复制否则禁止。

3.双因子认证

WINDOWS操作系统在用户登录时，通过GINA来进行登录认证。这种方法只有身份和口令保护在高安全要求的业务环境中，这种身份认证并不安全。本系统强制客户端使用USB-KEY进行身份认证。当用户身份认证成功后，系统自动下载用户的安全策略。

4.安全通信协议

系统中，客户端与服务器的网络通信采用了私有的安全通信协议，采用ECC算法簇的加密签名算法确保网络数据无法窃听或篡改。网络数据，无论是密钥、日志和策略等数据，都采用本协议传输，保障网络通信的安全性。

本协议提供了以下特性：密钥传输安全、密钥访问权限控制（只有正确的用户才能够正确获取密钥）策略完整性、日志机密性等。

由上海天立信息科技基于可信计算理论研发的新一代内网安全管理系统，以可信技术为核心，通过认证授权、桌面管理、网络监控、分域管理、移动存储介质管理、文档安全等功能模块实现对内网信息的全方位立体防护，力争为高速发展的内网信息安全保驾护航！

“可信内网、天立护航”

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Coboao内网安全管理系统是神州九天科技发展有限公司自行研制开发的新一代软硬结合内网安全管理系统。该系统利用ASIC芯片加速处理技术，结合SDS自防御技术（该技术填补国内内网安全领域的空白），在硬件框架基础上，融合了网络自防御系统、行为审计、桌面管理、流量整形、数据加密等各种安全系统功能，具有处理速度快，稳定性、可靠性强等特点，保障内部网络信息、数据、环境、行为的安全，完美解决了内网的体系安全。Coboao内网安全管理系统包括网络自防御系统、行为审计、桌面管理、流量整形、数据加密系统五个功能模块，可根据客户需求自由组合功能模块，并可与客户现有的功能系统配合使用，使用户不会重复投资。

国内知名安全软件厂商北信源公司通过对国内和国外近几年来计算机客户端管理技术和发展趋势的研究，将政府和企业内部网络客户端安全管理概括的从客户端状态、行为、事件三个方面来进行防御，研制出北信源内网安全及补丁分发管理系统软件。

北信源内网安全及补丁分发管理（VRVEDP）遵循网络防护和端点防护并重理念，对网络安全管理人员在网络管理、客户端管理过程中所面临的种种问题提供解决方案，实现内部网络客户端的可控管理，并能够支持多级级联广域网构架，达到最佳的管理效果。

北信源内网安全及补丁分发管理（VRVEDP）系统强化了对网络计算机客户端状态、行为以及事件的管理，它提供了防火墙、IDS、防病毒系统、专业网管软件所不能提供的防护功能，对它们管理的盲区进行监控，扩展成为一个实时的可控内网管理平台，并能够同其它安全设备进行安全集成和报警联动。

国内内网安全行业开发最早的产品LanSecS（莱恩赛克）内网安全系统，在功能上非常全面，同时在购买上采用整体购买不区分模块的方式。

锐安信息的NiordSec内网安全平台的总体目标是保障内网系统安全有序的运行，规范和约束员工的各种行为，防止敏感信息泄密。NiordSec内网安全平台由一个基础平台和6个子系统组成。可信网络认证授权子系统提供以用户和计算机为对象的各种认证操作，同时基于访问控制、授权认证、数据加密、行为监控、安全审计等内置功能，通过与可信网络认证子系统、可信桌面管理子系统、可信网络监控子系统、可信移动存储介质管理子系统、可信网络分域管理子系统和可信文档安全管理子系统相结合，对内网系统提供全方位的保护。