【51CTO.com綜合報道】隨著信息化程度的提高，政府、軍隊、企業事業單位都搭建了內部網絡，網絡的架設、信息系統的建設給我們帶來了很多便利，如資源共享、辦公自動化、方便的信息傳遞等，極大地提高了工作效率。但伴隨著網絡化程度的提高，越來越多的信息安全問題也將被引入原本封閉的系統。信息安全的核心在于信息本身的安全，而網絡具有的開放性、共享性等特點，使得分布在網絡中的涉密信息處于一種高風險的狀態。涉密信息的整個生命周期包括獲取、存儲、傳送、利用和控制，任何一個薄弱環節都將會給整個系統帶來安全威脅。這些信息很容易受到非法監聽、非法復制、非法訪問等各種惡意的攻擊。如何有效地管理這些重要的涉密信息資源，對它們的使用進行合理的授權與監管，日益成為信息網絡應用中的一個重要問題。

內網安全經過10年的發展，經歷了終端防護（非法接入控制、非法外聯控制、補丁分發問題）、"監控"和"審計"、文檔透明加解密、數據泄漏防護（融合終端防護、進程管理、文件管理、U盤管理、外設端口控制、網頁信息保護、即時通訊攔截等多個功能）、"整體信息防泄漏"（融審計、監控、加密于一體）等幾個階段，無論是產品還是模式都取得長足的進步。但是現有手段、方法以及模式都無法應對這樣的困境：作為防護對象的涉密信息數據分散存儲在各計算機中，終端用戶不止是涉密文檔的使用者，也是涉密文檔的所有者，使用權和所有權沒有分離，管理者難于掌握本單位涉密文檔的分布和使用情況，管理風險大，泄密事件屢禁不止。

為此我們以科盾內網安全平臺為基礎提出一種分層保護、集中存儲的解決方案，為涉密信息打造安全環境。

分層保護

通過分層、逐步加深的保護方式為涉密信息打造安全環境

 l 第一層保護：劃定網絡邊界讓非法終端進不來

通過一定的技術手段劃定網絡邊界讓非法終端進不來，這些技術手段主要包括：基于802.1x的終端準入控制保證非法終端無法通過有線方式接入內網；基于ARP的終端準入控制使得非法終端無法通過無線等其他方式接入內網；通過網絡分區分域管理、非法外聯控制等手段限制合法終端連通的區域，以達到自我保護的目的。

 l 第二層保護：讓合法的機器保持良好的狀態

通過補丁分發、合規檢查、自我保護（注冊表、文件等）等手段修正合法終端的不健康狀態，提升自身的保護能力；通過涉密檢查等方式檢查和規范合法終端的行為，杜絕泄密現象的發生。

 l 第三層保護：杜絕涉密信息通過“擺渡”的方式流出內部網絡

外設、網絡、移動存儲設備等作為信息交換的媒介，一方面方便了用戶，另一方面也引入了不安全的因素。通過移動設備管理、刻錄管理、打印控制、網絡訪問控制、郵件控制、端口控制等手段，防止合法終端和用戶利用各種媒介通過“擺渡”的方式將涉密信息帶出內部網絡。

l          l  第四層保護：確保只能在干凈、安全、可信的工作環境中處理涉密信息

以注冊表保護、文件訪問控制、進程控制等技術為基礎，利用沙盒技術為用戶提供一個干凈、安全、可信的工作環境，讓用戶只能在該工作環境中處理涉密信息，并且將處理的涉密信息以透明、強制和加密的方式存儲到服務器中，保證終端不留密。

涉密信息集中存儲

以自主研發的網絡磁盤系統為基礎，通過文件重定向的方式，實現了涉密信息的集中存儲。

服務器端采用通用的磁盤訪問接口做到與物理存儲介質無關，無論是磁盤陣列、光盤陣列等等都可以得到很好的支持； 基于RAID技術實現磁盤級數據的可靠性；基于備份和鏡像的方式保證服務不間斷和用戶數據的可恢復性；以一用戶一密碼的方式對存儲在服務器上的用戶數據進行透明加解密，很好地保證了服務器端數據的安全性。

客戶端基于驅動級的文件重定向技術使得能夠在不改變用戶使用習慣的前提下實現涉密數據的透明和強制集中存儲。