EEPW论坛

[求助！]     因为现在公司business发展很快,所以有很多business unit来参观,我现在碰到一个问题,就是访客来到随意接上internet,这样给公司网络和安全带来了很多潜在的问题,我不知有什么技术可以限制他们,只能接internet,不能访问内网？

【回复】：现在有不少内网安全防护软件，可以自动隔离，有效的阻止客户访问内网，同时不影响浏览internet，比如明朝万达的chinasec

【回复：可以具体说一下嘛？？

【回复】：根据个人的总结分析，来自内部的安全威胁主要有以下几类：

1、    窃取者将自己的计算机通过内网网络交换设备或者直连网线非法接入内网或者计算机终端，窃取内网重要数据；

2、    窃取者直接利用局域网中的某一台主机，通过网络攻击或欺骗的手段，非法取得其他主机甚至是某台网络服务器的重要数据；

3、    内部员工将只允许在局域网内部使用的数据通过磁盘复制、打印、非法拨号外联等手段泄漏到单位外部；

4、    内部人员窃取管理员用户名和密码，非法进入单位重要的业务和应用服务器获取内部重要数据。

要提高警惕啊，有时候你自以为内网很安全，其实高手破解起来往往只是2分钟的事。

【回复】：目前市场上存在诸多的内网信息安全产品，主要有两类：监控审计系统和文档加密系统。其中：

1、    监控和审计系统：这类系统虽然提供了一定的网络控制功能，但其重点是对网络数据进行记录和审计，因此并不能很好地阻止单位信息泄密事件的发生。一旦泄密事件发生，对单位已经造成损失，此类产品的安全作用有限。

2、    文档加密系统：这类系统主要是采用各种加密软件实现对计算机数据的加密，但是其对网络、计算机、用户的管理不灵活，而且内网资源众多，需要分别进行权限的设置，管理难度大，尤其当用户权限发生频繁更换的时候，容易造成漏洞。此类产品并不利于单位内部信息的安全管理。

总之，对于前面提到的内网所面临的潜在威胁，这两类产品还缺乏行之有效的应对方法。

【回复】：Chinasec安元在开发设计上从信息的源头开始抓安全，对信息的存储、交换和使用等环节实现全面保护，从而达到信息的全程安全，主要有以下几方面的特点。

1、    对内网原网络系统性能影响小。此产品体系完全基于TCP/IP协议网络，不需要改变现有网络结构，支持远程管理，对原系统的性能影响很小。

2、    提供整体一致的内网安全解决方案，基于同一个管理平台，提供身份认证、授权管理、数据保密和监控审计的完整互动安全策略。

3、    提供多种灵活的透明加密措施，根据用户需求可以进行文件加密、文件夹加密、本地磁盘加密、移动存储设备加密和邮件智能加密等。

4、    具备广域网和大用户数等大规模网络部署的架构和性能，支持多机热备、负载均衡、分级管理和多级部署的功能。

5、    支持基于用户、计算机和控制内容的三要素策略设计思想，策略可以灵活控制，针对不同的用户和不同的计算机可以实施不同的策略，支持权限在内部信息网络中的漫游。

6、    紧扣国家保密局颁发的《涉及国家秘密的信息系统分级保护管理办法》，支持对政府、军队和军工等涉密内网的分级分域管理。数据在同一个虚拟保密子网（VCN）内可以正常相互交换，不同虚拟保密子网内数据交换需要管理员授权，实现分域管理。不同保密级别的VCN可以根据需要设置控制力度不同的保密策略，实现分级管理。

7、    充分考虑和尊重一般企业既需要访问互联网，又希望对核心数据进行保护的需求，提供基于模式切换的解决方案，帮助用户有效实现既要上网又要保密的目标，提供灵活的企业数据安全解决方案。

8、    提供了对移动存储设备的强大管理功能，提供针对移动存储设备的注册、认证、策略控制和使用审计等措施。其中，策略控制支持禁用、只读、加密和解密等方式，注册则可以基于用户、计算机和控制策略三要素进行管理。

9、    提供丰富的授权管理内容，包括服务器访问、终端计算机使用、外设、网络、应用程序和U盘使用等。

10、支持丰富的日志审计、报表生成以及实时报警监控等功能，提供丰富的管理手段。

总之，“Chinasec安元”通过主动加密、事前控制、事中监视、事后审计四种手段相结合，可以达到外部入侵进不来、非法外接出不去、内外勾结拿不走、拿走东西看不懂的效果，有效防止机密敏感信息的泄漏。