您的位置: 网界网 > 周报全文 > 正文

[周报全文]“谁动了我的电脑?”

2003年05月12日 00:00:00 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:“谁动了我的电脑?”

标签
    “谁动了我的电脑?”

    ——关于信息安全问题的新思维

    ■本报记者  宋家雨


    说到信息安全很容易联想到防火墙、入侵检测、漏洞扫描和防病毒等相关产品,此外,制定相应的企业内部安全策略,加强网络管理,设立相应的网络使用权限,应对来自企业内部的信息攻击等,这些信息安全的产品和方法,相信大多数的用户已经耳熟能详了。在这里,我们将向大家介绍的,是另外一种关于信息安全问题的全新思考,这也是记者在采访上海信安信息技术发展股份有限公司的过程中受到的启发。

    为网络节点加把“锁”

    那是4月的一天,记者来到了位于上海浦东新区源深路的上海信安公司,这是一片具有典型欧洲建筑风格的街区,在317号小楼的2层,公司副总经理程军讲述了他的“安全观”。

    “通常人们只是将注意力集中在主机一端,也就是服务器端的安全防护上。而在我们看来,网络是由一个个节点构成的,网络整体安全必须从节点安全入手。” 程军说,“对于单机节点而言,无外乎数据处理以及与外部进行数据交换两项最为基本的功能,目前的单机安全防护主要是通过对静态口令的匹配来确认用户,实际上这还是非常脆弱的。数据统计表明,60%的计算机系统首先被攻击和突破的是口令,一次性口令和静态口令都是较不安全的一种计算机安全防护手段。因此,节点应该具有更加全面的安全防护。”

    “我们的安全防护从开机开始,我们用‘电子钥匙InfoKey’外加‘口令’的双重认证机制接管Windows系统登录,也就是说没有InfoKey,任何人都没有办法启动这台机器。” 一说到专业,程军显得格外兴奋。

    据了解,InfoKey是一种通过计算机USB接口连接的具有密码验证功能的高速存储设备(类似U盘),通过内置的MD5算法,通过EEPROM存储个人信息或数字证书等安全文件系统,可实现网络安全登录方面的管理。与传统的密码及其他鉴别信息不同,当用户把InfoKey 插在计算机上时,便会激活一个程序,自动进行用户身份的验证。这就好像用钥匙去开保险柜,只不过这把钥匙,是KEY文件的形式存储在InfoKey中,并且KEY类型文件是不可读取类型,这意味着此类文件一旦生成,其他人包括设定密钥的人都无法读出其密钥文件中的内容,所以密钥的含义是对外不可见的,隐密的“钥匙”。

    钥匙丢了怎么办?

    每一个InfoKey均有硬件序列号,这就使InfoKey本身具有唯一性,但是这样一把密钥一旦丢失了怎么办?考虑到这层因素,在InfoKey的设计上又加了一道硬件访问口令。如此,InfoKey就具有了“双因素身份认证”,也就是说,InfoKey的电子钥匙是一层认证,而InfoKey本身也有一层口令。这样即便丢失,拾到InfoKey的人是不能启动目标机器的。而对于合法用户而言,可以从系统管理员那里激活备用的“辅Key”,而不至于影响使用。

    如此看来,在InfoKey的把守下,系统似乎牢不可破,但是我们可以把机器硬盘拆下来,你还怎么样保护数据安全呢?“这就说到了我们安全防护的第二个内容:文件保险箱。用户可以对文件进行128位加密,加密之后的文件是以密文的形式存储的,很难破解”, 程军说,“除了文件加密之外,我们还针对文件传输进行加密,例如人们每天使用的e-Mail系统,大量的文件往来都是不加密的,对于很多要害部门而言,这是非常不安全的,如果传输的双方都采用了我们的系统,那么就可以利用此功能进行防窃取、防篡改、防抵赖的邮件传送,还可实现大容量文件传输,因为通过算法可以对数据进行压缩,减轻网络传输的负荷。”

    “此外,我们还可以利用这一功能对于关键的程序进行控制和恢复,” 程军继续说到,“我们可以对程序的关键数据进行加密,然后对运行启动中的这些关键数据进行比对,从而防范非法程序运行以及病毒、黑客程序、误操作等对电脑关键程序造成的破坏,可及时报警和恢复,保证电脑运行安全。”

    软件工具对抗疏忽

    “除了从技术上为安全提供防护支持之外,软件工具的作用同样不可以忽视”, 程军继续着他的话题,“有些安全的漏洞就在于疏忽,例如因为忘记删除临时文件造成信息的泄露。因此,我们在设计上安排了一个清除临时文件的工具,通过便捷操作,对各种类型的临时文件进行一次性删除。又例如共享文件夹的问题,如果共享文件夹不是在根目录下,而是位于几层目录之下,那么,人有时候很难记得一一删除用完的共享目录的,这个时候,利用我们的工具就可以控制所有文件共享目录(+微信关注网络世界),防止他人窃取电脑资料。再例如有些泄密就是在人员离开的时候,其他人员对电脑进行操作造成的,而采用我们的系统,人员离开的时候拔出InfoKey后,系统自动进入屏幕锁定;如果将拨号上网账号存入InfoKey,也可以防止别人使用您的私人账号拨号上网。” 

    “这些工具看似很不起眼,实际上非常实用,对于信息的安全非常重要”,程军说。

    掌控网络

    “作为一家专业安全防护厂商,我们除了可以提供网络节点的计算机防护之外,在网络方面同样提供了相应产品”,程军开始转移话题,“在网络方面,我们的产品称为‘e盾安全网络管理系统(SNetMan)’,主要包括安全网络控制、基本网络资源管理、分布式管理和短信安全报警四大主要功能。其中,安全网络控制可以对整个网络系统进行非法主机接入的实时侦测,并根据自定义策略自动采取相应的安全防御动作;也可以根据每个用户的实际身份,对网络中用户的行为进行相应的限制,包括‘用户身份限制’,禁止用户随意修改机器的用户名和IP地址;‘用户行为限制’,对用户在工作期间的上网行为进行管理,限制甚至屏蔽网络用户进行上网、聊天、访问某些非法站点、下载文件、网上炒股和收发电子邮件等行为,并且还可以实现对用户的行为进行时间限制,允许用户在某些时间可以上网和下载等操作;‘用户通信权限限制’,根据每个用户的身份来控制其对整个网络的资源所能访问的最大权限。此外,可对网络中的服务器进行实时地监控和防护,当黑客阻碍网络服务器的通信时,可以自动识别对方的攻击,并采取相应的措施来保护服务器的安全。实时地检测整个网络是否有非法网络监听软件运行,自动锁定非法运行主机,通过相应的安全配置来制止该主机的行动,并反馈给网络管理员。”

    “在网络资源管理方面,可自动探测当前网络中的所有机器,并在列表框中详细列出各计算机的IP地址、计算机名、MAC地址、网卡型号和生产厂商、计算机所在域、该计算机所使用的通信协议以及当前各网络设备的运行情况等各种信息;网络管理员还可以根据每个计算机使用者的详细情况将其相关信息添加到列表框中;还可以按照服务器、桌面机等把设备分类来管理,从而获得当前整个网络中所有计算机的详细使用资料,基本上做到对整个网络情况的一目了然。e盾安全网络管理系统可以直接与管理员进行无线通信,通过短消息互动方式真正实现对整个网络进行远程控制和管理。”

    不知不觉中,程军已经介绍了2个多小时,但记者并没有感觉到漫长,只感觉到充实和欣喜。

    说实话,有时候很怕与安全方面的厂商打交道,他们会令你感觉到非常不安,会让你感觉到你的系统处处充满了危机。有些时候你甚至会认为安全厂商危言耸听,似乎把问题说得严重一些,用户就会掏钱。其实有的时候,“狼来了”听多了,用户也就麻木了。但是通过对上海信安程军副总经理的采访,记者强烈地感觉到麻木不得,系统的隐患不会因为麻木而减少,重视安全很重要,但是掌握好的思路、方法和工具也非常重要。 

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]