国路安“云纵深防御”构筑创新边界安全 保护现代企业“成长基因”

ZDNET安全频道 11月14日 综合消息：知识产权对依靠智力资本实现发展的现代企业尤其关键，一旦研发成果或销售机密被竞争对手获取，企业的核心竞争力很可能在瞬间化为乌有。然而，在利用各种网络安全防护手段对抗外部威胁的同时，传统的内网安全架构与缺乏实效性的监管措施已使得数据泄密事件频发。为此，作为国内领先的应用安全解决方案与服务厂商国路安（GLA）创新性地提出了“云纵深防御”解决方案，通过安全桌面虚拟化和云安全网关技术帮助中小企业打造全新网络边界，保护企业赖以生存的智慧财富。

内网安全遭遇挑战 需求与现实差距甚远

据Gartner调查数据显示，时下有超过85%的安全威胁来自企业内网，而在针对企业内网的信息窃取和监守自盗中，30%-40%是企业高管或员工通过盗取电子文档来获取机密信息的，其中14%的目标针对专利信息窃取。由此可以看出，虽然很多企业的信息安全防护体系都将自外部的威胁设为重中之重，但数据泄露事件却愈演愈烈，许多创新的产品信息、业务计划、客户资料等涉密数据信息都暴露在外。

大量引以为戒的案例，致使许多现代企业都在调整安全资金投入的方向，并在改善内网安全环境的同时推出了更为严格的惩戒制度。但在内网安全实践的道路上，许多管理者却发现目标与现实之间存在着很大的差距。首先是网络中要不断地加入或升级防火墙、IDS、准入控制、行为审计等安全边界设备，大量的信息化资金被占用。其次，在终端设备上安装的防病毒软件、终端安全控制软件、移动存储介质管理软件、防非法外联软件、DLP软件等等，都导致运维部门承受着人力匮乏、技术落后、执行力低下等极其不相称的安全职责。

作为承载“智慧财富”的载体，现代企业信息系统面临的安全风险却日渐加剧。对此，国路安认为，有两个关键因素导致内网安全提升效果不佳：首先是在传统的防护结构中，每台终端及应用操作人员都是系统与外部环境之间的边界，这类边界数量多、分布范围广、类型复杂、安全管理控制难度大；二是安全机制问题，传统安全机制主要采用“黑名单”安全机制，比如杀毒软件或入侵检测，但是生产系统具有相对明确的操作人员和运行流程，呈现出明显的“白名单”管理特征，因此在生产系统中采用“黑名单”传统机制，难以避免系统安全性能低、安全效果差的缺点。

从架构到过程 “闭环应用“严防数据泄露

为了解决现代企业内网安全遇到的财力与人力难题，国路安在业界率先推出了具有创新价值的“云纵深防御”解决方案。云纵深防御架构通过安全虚拟化技术和应用安全网关系统，将应用系统（包括应用终端和应用服务器）整体部署到“云”端（即传统的数据中心或机房），从而有效减少应用系统与外部环境之间的边界数量和边界种类。另外，“云纵深防御”还采用“白名单”安全机制对应用操作人员及其操作行为进行安全控制和规范，从而根本提高应用系统的安全性和安全效率。

图：国路安“云纵深防御”部署图

在产品、研发等涉密部门，通过安全云桌面系统，将内网信息系统的应用边界转移到机房，用户仅能通过机房内的应用终端访问涉密的应用系统，而日常的上网行为则与工作内容完全隔离。在这个“闭环”网络中，用户的操作终端与应用终端之间是物理分离的，它们之间的信息交换只能通过安全云桌面系统，从结构上减少了系统的安全风险，并降低了手动更新与维护管理的难度。另外，作为双重保护，云桌面中的应用程序只能通过在基于密码技术加密的“白名单”机制下运行，只有授权程序方可安装和访问，这有效防范了各种已知或未知的木马病毒。

技术服务于应用，不可反之。正因如此，每一个决策者都不愿意为了新技术而大幅调整应用，因为这需要相当一段时间让员工“再调整、再适应”。对此，云纵深防御中采用了国路安独有的业务系统前置应用安全网关，在不改变应用的前提下，对各区域应用进行协议代理和访问控制。前置安全网关可实现基于CA证书的身份认证，以及细粒度、标记化的访问控制，并确保整个应用过程可审计、可加密、可追踪。同时，由于所有的控制是针对应用而非针对物理资源，因此，即使采用VPN等远程访问，同样实现了云计算环境下的应用安全隔离和访问控制。

数据已经成为现代企业改变现在、应对未来的黄金筹码，而它一旦遭遇盗取落入不法之徒手中，也将成了悬在人们头上的达摩克利斯之剑。因此，现代企业的知识产权不但需要外部法规等各项措施的协同保护，同时也需要在内部环境中形成积极有效的措施，以此让企业最重要的“成长基因”得到真正保护。