为了防止重要信息外泄,目前很多企业部署了各种形式的安全防护软件,针对终端安全与文件保护、违规外联、安全审计、中间件、电子文档安全保密、综合安全防护、移动存储介质管理等方面。
在鼎普科技有限公司技术总监陈广辉看来,企业内网安全防护一个突出的问题是:在网络安全形势日益复杂的今天,单纯依靠软件防护保护企业重要信息并不可靠,只有通过基于基础硬件级的防护措施,才能抓住内网安全的根本。
软件方案隐患重重
“以软件为主要形式来实现安全防护就像在沙地上盖房子,根基不够牢固。这些安全防护软件虽然也能发挥一定的作用,但对于所需保护的敏感信息数据而言,安全隐患依然明显。”陈广辉认为。
所谓信息泄漏,就是故意或偶然地获得(截获、窃取、分析破译)目标系统中的信息,特别是秘密信息或敏感信息,从而造成泄密事件。如终端计算机没有及时安装防病毒软件造成病毒感染或泄密,没有及时安装系统补丁致使恶意代码入侵造成泄密,以及内部人员有意无意地泄密、外部人员恶意窃取等,这些安全隐患都是造成失泄密事件的重要原因。
应该说,对于企业以及有保密需求的单位或个人来说,保证重要信息不通过任何途径外泄已经成为网络安全维护的首要目标。目前,市场上已有针对信息泄漏的安全防护软件。这些安装运行于操作系统之上的软件,自身安全性主要依赖于操作系统的安全,而事实上,操作系统也是病毒时常攻击的目标。
另外,由于无法控制计算机用户私自外挂光驱或从盘来非法使用主机硬盘数据,随意重装操作系统等敏感行为,计算机常常面临失控风险,导致已部署的安全防护软件完全失效,严重影响计算机的数据安全和运维管理,甚至还存在安全软件经常与操作系统或者计算机硬件不兼容等现象。
从底层构建硬件防护体系
需要指出的是,以上提到的信息泄漏风险,更多涉及操作系统或基础硬件,绝非一般防护软件所能解决。所以,采用基于硬件的安全防护措施,防护效果就会显著增强。
相比安全软件解决方案而言,目前能够推出基于硬件安全防护方案的厂商比较少。作为其中之一,鼎普科技推出的计算机安全防护卡解决方案比较典型。该方案可以在不改变当前计算机安全架构的情况下,在BIOS级别实现计算机的信息安全防护,从最底层为计算机提供可靠的硬件保护,从根本上解决计算机的软件安全防护的隐患,有效防止信息泄漏事件的发生。
具体来说,硬件级登录认证、数据全硬盘保护、指定软件开机检测是其中的几项主要功能。首先,该防护卡系统提供BIOS级终端系统启动的安全认证功能,可先于操作系统提供计算机终端启动的密码口令保护,同时通过强制插入智能Key才能进入认证登入系统。该防护卡系统附带的便携智能Key与主卡分离保存,保证安全性。
另外,防护卡可对硬盘实施整盘加密,对包括操作系统文件在内的所有硬盘数据实施全盘保护。即使硬盘丢失,其中的数据也无法被数据恢复技术破解而遭到窃取。对于计算机常用的一些防护软件或其他必备软件,嵌入防护卡的防护功能模块可以让用户指定这些必须安装的程序开机时必须启动,如果开机时检测不到,系统将无法启动。计算机安全防护卡的防护功能模块可以在操作系统的启动过程中加载并在操作系统启动后运行,不需要安装软件或驱动,并能够保证不会被卸载。
总体上看,以PCI适配卡为硬件载体,基于BIOS级别的安全系统,不会因卸载或者重新安装操作系统等失效,也无需安装任何应用软件或驱动程序,实现了真正意义上的终端安全管理。
