鼎普科技：内网安全的“硬”道理

　　摘要：为了防止重要信息外泄，目前很多企业纷纷部署了各种形式的安全防护软件，如终端安全与文件保护、违规外联、安全审计、中间件、电子文档安全保密、综合安全防护、移动存储介质管理等。

　　推荐白皮书：

　　严测深信服广域网加速设备报告

　　网络世界评测实验室采用领先测试方法严格测试深信服广域网加速设备M5100-Q，它会有什么惊人的表现呢？

　　为了防止重要信息外泄，目前很多企业纷纷部署了各种形式的安全防护软件，如终端安全与文件保护、违规外联、安全审计、中间件、电子文档安全保密、综合安全防护、移动存储介质管理等。

　　一个突出的问题是，单纯依靠软件防护保护企业重要信息并不可靠，只有通过基于基础硬件级的防护措施，才能抓住内网安全的根本。在鼎普科技有限公司技术总监陈广辉看来，在网络安全形势日益复杂的今天，单纯依靠软件防护保护企业重要信息并不可靠，只有通过基于基础硬件级的防护措施，才能抓住内网安全的根本。

　　软件方案隐患重重

　　“以软件为主要形式来实现安全防护就像建立在沙地上盖房子，根基不够牢固。这些安全防护软件虽然也能发挥一定的作用，但对于所需保护的敏感信息数据而言，安全隐患依然明显。”陈广辉认为。

　　所谓信息泄漏，就是被故意或偶然地截获、窃取、分析、收集到系统中的信息，特别是秘密信息或敏感信息，从而造成泄密事件。如终端计算机没有及时安装防病毒软件造成病毒感染或泄密，没有及时安装系统补丁致使恶意代码入侵造成泄密，以及内部人员有意无意地泄密、外部人员恶意窃取等，这些安全隐患都是造成失泄密事件的重要原因。

　　应该说，无论对于何种规模的企业，尤其对于有保密需求的单位和个人，保证重要信息不通过任何途径外泄已经成为网络安全维护的首要目标。目前，市场上已有针对信息泄漏的安全防护软件，这些安装运行于操作系统之上的软件，自身安全性主要依赖于操作系统的安全，而事实上，操作系统也是病毒威胁时常攻击的目标。

　　另外，由于无法控制计算机用户私自外挂光驱或从盘来非法使用主机硬盘数据，随意重装操作系统等敏感行为，使计算机常常面临失控风险，导致已部署的安全防护软件完全失效，严重影响计算机的数据安全和运维管理，甚至还存在安全软件经常与操作系统或者计算机硬件不兼容等现象。

　　从底层构建硬件防护体系

　　需要指出的是，以上提到的这些信息泄漏风险，由于更多涉及操作系统或基础硬件，绝非一般防护软件所能解决，所以，采用基于硬件的安全防护措施，效果就会显著增强。

　　相比安全软件解决方案而言，目前能够推出基于硬件安全防护方案的厂商比较少。作为其中之一，鼎普科技推出的计算机安全防护卡解决方案比较典型，该方案可以在不改变当前计算机安全架构下，在BIOS级别实现计算机的信息安全防护，从最底层为计算机提供可靠的硬件保护，可从根本上解决计算机的软件安全防护的隐患，有效防止信息泄漏事件的发生。

　　具体来说，硬件级登录认证、数据全硬盘保护、指定软件开机检测是其中的几项主要功能。首先，该防护卡系统提供BIOS级终端系统启动的安全认证功能，可先于操作系统提供计算机终端启动的密码口令保护，同时强制插入智能Key才能进行认证登录系统，并且该附带的便携智能Key与主卡分离保存，保证安全性。

　　另外，防护卡可对硬盘实施整盘加密，对包括操作系统文件在内的所有硬盘数据实施全盘保护，如果硬盘丢失，由于其中的数据全为密文，因此不能被恢复窃取。对于计算机常用的一些防护软件或其他必备软件，嵌入防护卡的防护功能模块可以让用户指定这些必须安装的程序开机时必须启动，如果开机时检测不到，系统将不予启动，计算机安全防护卡的防护功能模块可以在操作系统的启动过程中加载并在操作系统启动后运行，不需要安装软件或驱动，并能够保证不会被卸载。

　　总体上看，以PCI适配卡为硬件载体、基于BIOS级别的安全系统，不会因卸载或者重新安装操作系统等因素而失效，无需安装任何应用软件或驱动程序，所有控制都基于硬件安全基础得以实现，实现真正意义上的终端安全管理。