万军：鼎普终端安全与防泄露管理

??一年回首，我们共同迎来了中国第十届信息安全大会。刚才周主任那边就中国的等级保护，给我们做了精彩的演讲。把测评工作中的一些细节做了深入介绍。使我们对中国信息安全建设和等级保护有了更多的信息，细节有更多的深入了解。

大家也知道，信息作为一个常用名词，在当今时代，在21世纪，从来没有这样给我们生活的各个方面，带来了如此多的影响，如此深刻的影响。同时，信息这个名词，也从来没有像今天这样为我们所熟知，所要想去了解。

信息安全这是一个广泛而复杂的概念。不同的企业，不同的人物，可以试着从不同的角度去解析去看，得出的结论和效果往往是不一样的。当前，可以说是社会信息系统的建设，应该是顺利开展，成效卓著，而等级保护也是大势所趋。今天在这个场合，在这个论坛，我就想就防泄露的问题和大家做一个交流和探讨。

首先我们来看一下，我们终端在安全管理这块面临什么威胁。有可能我们在这方面的问题，在各种场合下，看到很多了。所以我们是做一个简要的分析和了解。

这个我们可以看到，从两个方面来看，一个是我们所熟知的，理解信息安全是什么概念？就是从网络安全，主机的安全，以及数据库的安全，和网络隔离的信息安全。从这个角度看可能我们更熟悉，什么是信息安全。从另外一个标准角度来看，从更高层次的角度来看，那么我们会把信息安全划分为物理安全、运行的安全以及信息防泄密的一系列管理的安全，还有一些设备的等等的这种安全，我们把这个称之为安全基本面的一些基本要素。同时这些要素可以构成一些信息体系的结构。也指导我们去做一些信息安全的防护。

当然从不同层面来看，从国内这种角度来看，这个框架可能更适合一点。在国际上可能会有一些两万七这样的标准，但是不管怎么样，它里面有一些实质性的内容基本上是相似的。

下面这个图我们可以看一下，从一个来源分类和威胁来源，对我们的信息系统，或者我们终端面临的一些威胁进行了一个比较详细的分类介绍。

我们可以从恶意的人员、软件故障、恶意代表，网络攻击，蓄意行为、无意行为等等一系列，后面的一些细节就不一一介绍。大家可以看到，信息所面临的威胁的来源是分门别类的，非常多，同时每一个类别里面，他所可以使用的技术手段相当至多，所以我们可以设想出信息安全确实是一个非常复杂的问题，也是一个非常复杂的系统概念。

下面我们简单看一下终端外界的一些途径。这是仅靠我们今天演讲的主题。大家可以想，信息，什么是信息？我们讲，用21世纪角度来看，数据可能是信息比较完全一点。同时信息通过什么泄露，途径太多了，没法概括。其实我们只要解决问题，就是抓住问题的核心，几个基本点，就能做到比较好的效果，我们这样分析，据我们所能理解到的，信息的途径，无外乎就是一些主要的点，比如说网络途径，存储的途径，以及打印的途径。网络里面，大家可以看一看，邮件的，聊天病毒，等等。存储途径里面，这应该是一个非常敏感的点，同时也是登陆前应该是一个最紧迫的，产生的威胁、危害非常大的一个点。通过各种的光盘，存储介质刻录光盘等等等等，大家可以一目了然了，计算机信息放在硬盘里面，包括数据库、服务器倒没关系，数据拿出去，肯定是一种非常便捷而且是非常直观的手段，打印也是一样的，打印是一个非常敏感的行为，这也是可以产生信息泄露的，至少分为三类：本地的，本地共享的和网络的。这个对于我们想要关心或者想要防护的数据来说，可以同多个层面来进行解析，一些机密的文件，以及其他的一些敏感的工作和内部的信息等等。

下面我们给出一个基本的终端防护的路线，通过前面的介绍，我们看一下，从这个图形来看，我们从下往上面看，下面是相关的一些安全标准或者是体系。我们来了解一下，这里面我们从各个层面来说，先从分级保护来说，也就是说涉及国家秘密的，有一些比较机密的文件，从国家的等级保护这个领域来讲。

第二个层面就是，有了标准的，我们根据的标准，要做一些自主性的防护。从这个图可以看一下，从目前的形势的技术条件来看，大概采取的一些技术手段，大家可以看到一下，非常非常之多的，从那个物理层到网络层到应用层等等的。同时也可以看到，我们常用的一些设备或者是技术，网络加密等等的，这是我们通常采用的一些技术手段。

我们如果采取技术手段，是不是能很好做到信息的安全管理，或者终端的安全管理。其实从任何一个角度来看不是这样的，因为事情总是有相反两个方面。防护了，是不是防护得足够好，肯定是有一种途径或者方式来检测一下。我们叫做自我的检测和评估，这里面就会有风险评估的工具，扫描，检测等等和计算机的安全性的检查等等。根据国内现在的形势，也通过国家众多的测评机构，也是根据他们的相关的标准，发布了或者是认证了很多的这样一些产品，提供给我们所用。接下来就是一个制度的问题，这个问题应该也是一个重大问题。

另外就是管理，一般信息无外乎两种手段，第一是人的管理，第二个是技术的管理。要做好管理应该怎么做？首先得有一个机构，有了机构应该有相关的制度，有了制度，需要有人去执行，人怎么执行，要测评，也就是四个地方。这个在等级保护分级保护里面，应该有很大的一个相似之处。

我们下面谈一下，我们登陆前终端面临的一些基本的问题和挑战，从技术基本面来看，或者从客观存在的因素，以及显微镜存在的一些问题，或者成员的考虑，我们可以简要分析一下，客观存在的因素，我们可以看看，领导的意识，单位重视程度，或者经济、预算状况不是很好，或者不是很明朗，或者预算得好，网络信息的规模，以及复杂程度，或者等级的复杂程度也是一些比较客观存在的因素，或者是影响我们施展这个防护的因素和技术防护的手段等等。

我们无法确保我们部署的防护软件不被随意卸载或者绕过，这个很难确保。再其次，新的泄密的途径，层出不穷。还有国家性的政策、行业的政策或者是标准的推出，是否应该及时跟进，或者有相应的设备和厂商来进行映射，这都是一些基本面临的问题和挑战。

下面我们站在鼎普的角度，对上面的这些问题，或者对终端防泄密的问题提出了自己的看法。在这里头，我们是根据我们之前的分析，从防护和自身的一个检查，提出了一些想法。在防护这一块，我们是建立了四级的防护体系。首先就是硬件级防护为基础，建立可信可控的信息系统，其次，我们建立四级可信认证机制的纵身防御体系，接着我们实现身份鉴别、介质管理、数据保护、安全审计的基本的一些防护要求，最后，我们要实时监控。

我们要做一些防护，从全盘的保护，端口外设外连等等一系列的基本的安全机制防护。最后，再做一些安全和管理相关的一些操作，资源的管理，同时实现网络的管理，我们可以考虑一下信息的安全的交互，比如说信息单的导入导出，以及一些管理，再加上必不可少的事后的审计。

在检查这一块，给出了一些想法。我们希望，我们能够为我们的终端用户提供一些技术手段，让他们建立一个自我检查的平台，那么这就是从三个层面可以看到，首先从单机的，网络的一些行为等等各方面。

下面谈一下我们站在鼎普的角度看，如何来进行一个终端的防泄密管理和一些安全的管理。首先对终端的信息安全和管理，我觉得就是应该是可以看到，达成下面的四个要素是能够解决问题的根本。机密性、可用性、完整性和可审计性，这是一个非常必要的。基本来说，这四大属性可以覆盖了95%以上的信息系统，所以认为这四个属性非常重要。

如何来实现，我们首先从不同角度来看信息的管理或者终端的管理。如果从这个主题，从业务终端来看终端安全，怎么看，先从核心要素四个出发，要实现如下的一些目的，也就是起动资源要可信，操作系统要可信，网络要可信，程序运行要可信，系统运行环境容灾悲备份，还有网络的一些行为进行实时监控和管理，我们上面所谈到的这些，这是在一个统一的安全管理平台下实现的。

如果我们从终端主机这一课题来分析，看看终端的安全怎么看呢？我们刚才看到这个图谱，中间这五大要素，说起来比较熟，就是网络、主机、介质、数据与应用、信息隔离与交换这一些监控管理，从这些层面来看，我们来看终端的安全，看到的是不同的，其实信息本身是一样的。

对我们鼎普来说，我们要做的就是首先，我们要从硬件开始构建终端的安全。

他们的安全性，基本上完全取决于操作系统本身。那么操作系统本身的安全性我们知道，现在主流都是外国和欧美的，安全性不言而喻。如果把我们的安全，加在他们的安全基础之上，我认为这种设想不是很乐观。我们要从硬件做起，构建安全系统。

我们要做的一个事情是进入操作系统是可信可控的，这里面描述了，我们要做什么工作，这里就不一一介绍，总而言之，我们最想解决的一些问题，就是计算机硬件登陆之后，我们是否有权限再进一步登陆操作系统，以及操作系统里面的一些文件，怎么安全的存放。或者是统一的进行全网的一个用户进入系统的身份认证。同时我们还解决，如果这个计算机，它发生了灾难，我们如何把它跨出一个备份和恢复。我们用得比较多的叫一键恢复系统，类似这样的概念，同时数据不丢失，就是这个问题。

进一步谈到刚才谈到的进入网络是健康、可信、和控的。右边有一个图，我们可以看一下，刚才相关人士谈到过，这是一个国际标准协议来嫁接和开发的一些系统。只有经过相关部门认可的才可以介入我们的网络。介入进去了，要看是否健康，我们需要进一步考察。如果不是健康的，会提出一些报警措施。

下面是控制一切非授权外部连接。如果没有经过我们相关部门或者人士授权，我们的终端不能够接入任何网络，包括其他一切所有的。我们通过这个图看到一个问题，我们怎么来解决这个问题。现在介质管理是非常多，但是我们想提出一点，我们对介质整控要全面了解，要防止内外部的不同的交换使用。在此之，我们要做不同的是在什么地方，我们通过对介质集中处理，提取它非常详细的一些编号，形成一个介质管理数据库，通过数据库可以查询现在用户的一个介质状态，我们经过若干年后提出的一比较全面的管理方式，来防止信息泄露，同时开发不同环境应用的模式。

其次，我们同我安全U盘的应用来结合介质系统，很好解决信息的交互，以及信息拿到外面去不被别人窃取和泄露。

再其次，我们通过构建全面管理的安全平台。经过管理性和安全性来实现终端服务器控制台三位一体的管理架构。它的功能是在下面，就不一一讲了。

从这个图我们可以基本看一下，未雨绸缪。有了安全管理地有了防护我们还要进行检查，检查什么？首先要对计算机的基本状况进行全面检查，这里面有两个图表示了它的意思，这就不一一介绍了。其次要对计算机的木马进行一个深入的检测。这是我们想达到的目的，通过一件事的检测可以识别已知和未知的木马，发生了什么，操作了什么，这么一个高危险的程度和和风险，这个也是登陆前比较让众多单位和行业头疼的一件事情。

下面这图就是通过进一步的检测其他的一些无线信号、网络环境等等提供的一些方式，总而言之，我们认为信息安全之路，它是管理和技术一体的，通过综合应用才能达到这个目的。这是我们鼎普科技不断的探索新的问题和情况，为国家和民族的信息安全事业贡献我们自己的力量。谢谢各位。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。