I. 도전과 위협
1. 직원의 안전의식이 약하고, 기업 안전정책이 시행되기 어렵고, 사이버 바이러스가 횡행하고 있다.
바이러스, 웜, 스파이웨어와 같은 사이버 보안 위협은 고객의 이익을 해치고 막대한 돈과 생산성 손실을 초래합니다. 이와 동시에, 모바일 장치의 보급은 이 위협을 더욱 악화시켰다. 모바일 사용자는 집이나 공용 핫스팟에서 인터넷이나 사무실 네트워크에 연결할 수 있으며, 종종 실수로 바이러스에 감염되어 기업 환경으로 가져와 네트워크에 감염됩니다.
20 10 중증/미국 FBI 보안 보고서에 따르면 보안 기술이 수년 동안 발전해 왔으며 보안 기술 구현에는 수백만 달러가 들었지만 바이러스, 웜 및 기타 형태의 맬웨어는 여전히 기관이 직면한 주요 문제입니다. 매년 발생하는 대량의 보안 사고로 인해 시스템 중단, 수익 손실, 데이터 손상 또는 파괴, 생산성 저하 등의 문제가 조직에 큰 경제적 영향을 미칩니다.
이러한 문제를 해결하기 위해 많은 기업들이 터미널에 바이러스 백신 소프트웨어를 설치하고 바이러스 라이브러리를 적시에 업데이트해야한다고 규정하는 기업 터미널 보안 전략을 개발했습니다. 터미널은 시스템 보안 패치를 제 시간에 설치해야합니다. 터미널에는 강력한 암호 등을 설정해야 합니다. 그러나 직원의 안전의식이 약하기 때문에 기업의 안전정책이 시행되고 무효가 되기 어렵고, 사이버 보안 문제는 여전히 심각하다.
2. 무단 사용자가 네트워크에 액세스하면 중요한 정보가 유출됩니다.
무단 액세스는 다음 두 부분으로 구성됩니다.
(1) 외부의 불법 사용자, 엔터프라이즈 관리의 취약점 활용, PC 를 통한 스위치 액세스, 네트워크 액세스 그런 다음 합법적인 사용자의 비밀번호를 사용하여 합법적인 신분으로 사이트에 로그인한 후 기밀 정보를 보고, 정보 내용을 수정하고, 애플리케이션 시스템의 운영을 중단할 수 있습니다.
(2) 내부로부터의 합법적인 사용자는 네트워크의 핵심 리소스에 자유롭게 액세스하여 불법적인 목적으로 중요한 정보를 얻을 수 있습니다.
현재 기업에서 사용하는 LAN 은 이더넷 기반 네트워크 아키텍처입니다. 인터넷에 꽂기만 하면 전망에 자유롭게 접속할 수 있다. 불법 액세스 및 무단 액세스로 인해 기업 비즈니스 시스템이 손상되고 중요한 정보 자산이 유출되면서 기업이 해결해야 할 중요한 위험이 되었습니다.
3. 인터넷 자원의 이용이 불합리하고, 생산성이 떨어지고, 법률 법규를 위반할 위험이 있다.
IDC 의 최신 데이터 보고서에 따르면, 평균적으로 기업사업 단위 직원의 하루 근무 시간의 50% 이상이 인터넷 채팅, 엔터테인먼트 브라우징, 포르노, 도박 사이트 또는 개인 업무를 처리하고 있습니다. 직원들은 인터넷에서 다양한 정보를 다운로드한다. 그 중 62% 는 소프트웨어 다운로드에, 1 1% 는 음악 다운로드에, 25% 만 보고서 및 문서 작성과 관련된 자료를 다운로드하는 데 쓰인다.
중국에서는 음란물, 반정부, 미신, 범죄 등 많은 사이트가 불법이라고 법으로 규정하고 있다. 광대역 인터넷 사용 후 기업사업 단위의 인트라넷은 어느 정도' 공공 * * *' 인터넷 장소가 되었으며, 많은 위법 행위가 인트라넷에서 발생할 수 있다. 이러한 것들은 추적하기가 어렵고 기업에 법률 법규상의 위험을 가져다 준다.
둘째, 보호 조치
현재 터미널 데이터 관리의 문제점은 데이터 관리가 제도화되기 어렵고 데이터가 손실될 때 발생한다는 것입니다. 데이터는 서로 다른 기계, 응용 프로그램, 관리 분산, 보안이 보장되지 않습니다. 데이터베이스 데이터의 효율적인 온라인 백업을 달성하기가 어렵습니다. 스토리지 미디어 관리 및 기록 데이터 보존이 어렵습니다.
이를 위해 Dell 은 다음과 같은 측면에서 터미널 보안을 달성하기 위한 조치를 취하고 있습니다.
1. 데이터 백업
컴퓨터 데이터 시스템이 발전함에 따라 데이터가 점점 더 중요해지고 있으며, 데이터 시스템을 효과적으로 관리하는 방법이 시스템 가동 보장의 관건이 되고 있습니다. 그러나 데이터 시스템에는 데이터 형식이 다르고, 물리적 위치가 광범위하게 분포되어 있고, 응용 분산이 적용되고, 데이터 양이 많아 데이터를 효과적으로 관리하기가 어려워 향후 작업에 많은 위험을 초래하고 있다. (윌리엄 셰익스피어, 윈스턴, 데이터, 데이터, 데이터, 데이터, 데이터, 데이터, 데이터) 따라서 제도화된 데이터 백업 시스템을 구축하는 것이 중요하다.
데이터 백업이란 데이터 시스템의 한 시스템을 데이터 백업용 관리 서버로 선택하고, 다른 시스템에 클라이언트 소프트웨어를 설치하여 전체 데이터 시스템의 데이터를 백업 서버에 연결된 스토리지 디바이스에 자동으로 백업하고, 백업 서버에 각 백업 클라이언트에 대한 백업 데이터의 인덱스 테이블을 설정하고, 인덱스 테이블을 사용하여 스토리지 미디어를 자동으로 구동하여 데이터를 자동으로 복구하는 것을 말합니다. 시스템 충돌, 불법 운영 등 돌발 사고가 발생할 경우 데이터 백업 시스템을 사용하여 복구할 수 있습니다. 안정성 측면에서 백업 수는 2 보다 크거나 같은 것이 좋습니다.
1) 데이터 백업의 주요 내용
(1) 크로스 플랫폼 데이터 백업 관리: 다양한 운영 체제 및 데이터베이스 시스템 지원
(2) 백업의 보안 및 신뢰성: 백업 데이터를 안전하게 보호하는 이중 백업 보호 시스템
(3) 자동 스케줄링/스마트 경고: 메일/브로드캐스트/로그를 통한 경고 생성
(4) 데이터 재해 예방 및 복구: 지정된 디렉토리/개별 파일에 대한 데이터 복구를 제공합니다.
2) 데이터 백업 시나리오
각 컴퓨팅 환경의 규모, 아키텍처, 클라이언트 플랫폼 및 지원되는 애플리케이션 소프트웨어가 다르고 스토리지 관리 요구 사항이 다르므로 해당 환경에 가장 적합한 솔루션을 선택해야 합니다. 아직 통일된 표준은 없지만 최소한 통합 클라이언트 에이전트 지원, 광범위한 스토리지 디바이스 지원, 고급 미디어 관리, 고급 스케줄링, 데이터 무결성 보장 메커니즘, 데이터베이스 보호 등의 기능을 갖추고 있어야 합니다. 예를 들어 화웨이의 VIS 데이터 재해 복구 솔루션, HDP 의 데이터 연속성 보호 솔루션, HDS 의 TrueCopy 솔루션, IBM 의 SVC 솔루션 등이 있습니다.
2. 포괄적이고 신뢰할 수 있는 안티바이러스 시스템
컴퓨터 바이러스의 예방은 반바이러스, 바이러스 검사, 해독의 세 가지 측면에서 진행되어야 하며, 시스템에 대한 컴퓨터 바이러스의 실제 예방능력과 효과도 반바이러스, 바이러스 검사, 해독 능력의 세 가지 측면에서 판단해야 한다.
엔터프라이즈 데이터 시스템의 환경은 매우 복잡하기 때문에 다른 시스템과 애플리케이션을 갖추고 있습니다. 따라서, 전체 기업 데이터 시스템 바이러스 예방의 경우, 모든 측면을 고려해야 한다. 그렇지 않으면 어떤 부분에 문제가 생기면 전반적인 예방이 실패할 가능성이 높다. 따라서 바이러스 백신 소프트웨어의 경우, 전면적인 바이러스 백신을 만들기 위해서는 기술적으로 모든 것을 다 해야 한다. (윌리엄 셰익스피어, 백신, 백신, 백신, 백신, 백신, 백신, 백신, 백신)
데이터 시스템 바이러스와 독립 실행형 바이러스는 본질적으로 동일하고 인위적으로 편성된 컴퓨터 프로그램이기 때문에 바이러스 백신 원리는 똑같다. 하지만 데이터 시스템의 특수한 복잡성으로 인해 데이터 시스템에 대한 안티바이러스 요구 사항은 안티바이러스, 바이러스 검사, 바이러스 백신 뿐만 아니라 시스템과도 원활하게 연결되어 있습니다. 이 기술은 소프트웨어 운영 효율성에 영향을 주고 바이러스를 전면적으로 조사하는 열쇠이기 때문이다. 그러나 원활한 링크를 위해서는 시스템의 기본 프로토콜 및 인터페이스 사양을 완벽하게 파악해야 합니다.
현대 바이러스 기술이 발전함에 따라 바이러스는 이미 운영 체제의 심층, 심지어 커널까지 긴밀하게 내장할 수 있게 되었다. 이런 뿌리 깊은 내장은 바이러스를 철저히 조사하는 데 큰 어려움을 가져왔다. 운영 체제 자체를 손상시키지 않고 바이러스를 조사할 수 없다면, 이 바이러스 백신 소프트웨어를 사용하면 역효과를 낼 수 있는 심각한 결과를 초래할 수 있다. 원활한 연결 기술은 기본 커널에서 다양한 운영 체제, 데이터 시스템, 하드웨어 및 어플리케이션 환경과 긴밀하게 연동하여 바이러스 침입 시 안티바이러스 운영이 운영 체제 커널을 손상시키지 않도록 하는 동시에 침입 바이러스에 대한 예방과 살인을 보장합니다.
VxD 는 Microsoft 가 Windows 용으로 특별히 개발한 장치 드라이버 인터페이스 사양입니다. 요약하면, VxD 프로그램은 DOS 의 장치 드라이버와 약간 유사하며, 특히 시스템에 로드된 다양한 장치를 관리하는 데 사용됩니다. VxD 는 하드웨어 디바이스뿐만 아니라 다른 유형의 애플리케이션보다 우선 순위가 높고 시스템의 기본 리소스에 더 가깝습니다. 따라서 Windows 운영 체제에서 바이러스 백신 기술은 VxD 메커니즘을 사용하여 시스템 리소스를 완전히 제어하고 바이러스가 침입할 때 즉시 경고를 받아야 합니다. 또한 VxD 기술과 TSR 기술은 매우 다르며 메모리를 거의 사용하지 않으며 시스템 성능에 미치는 영향도 적습니다.
바이러스가 숨겨져 있기 때문에 무의식적으로 당신의 기계에 잠입할 수 있습니다. 이런 은폐성도 막을 수 없다면 바이러스 백신 소프트웨어는 바이러스 백신 기능에 대해 이야기할 수 없다. 실시간 바이러스 백신 소프트웨어는 컴퓨터 시스템에 드나드는 데이터를 감시하여 바이러스가 침입하지 않도록 하는 임무이다. 동시에 사용자의 다른 응용 프로그램은 실시간 바이러스 백신 작업과 충돌하지 않고 다른 작업과 마찬가지로 시스템에서 병렬로 실행할 수 있습니다. 따라서 Windows 환경에서는 실시간 바이러스 백신을 구현할 수 없다면 바이러스 침입에 숨겨진 위험을 초래할 수 있습니다. 이러한 기능을 위해서는 실시간 바이러스 방지 기술이 필요합니다. 이를 통해 컴퓨터 시스템의 전체 작업 과정에서 바이러스가 외부에서 컴퓨터 시스템에 침입하는 것을 방지함으로써 컴퓨터 시스템의 전반적인 보호 수준을 향상시킬 수 있습니다.
현재 광 디스크에 저장된 대부분의 파일과 데이터 시스템에서 전송된 파일은 압축된 형태로 저장되어 있어 매우 복잡합니다. 현재 널리 사용되는 압축 형식은 매우 다양하며, 일부 압축 도구는 압축 파일을 확장자가 "인 자동 압축 해제 실행 파일로 패키지화합니다. Exe ",압축 도구를 사용하지 않고 직접 실행할 수 있습니다. 이러한 압축 파일의 복잡한 상황에 대해 바이러스 백신 소프트웨어가 정확하게 판단하거나 일방적으로 판단할 수 없다면, 반드시 바이러스를 죽이는 데' 사각' 을 남기고 바이러스 방제에 위험을 초래할 수 있다. 범용 압축 알고리즘과 소프트웨어 공급업체가 정의한 압축 알고리즘을 포괄적으로 파악함으로써 단순히 파일 이름을 검사하는 대신 압축 파일의 데이터 내용을 심층적으로 분석하여 모든 압축 파일에 대한 바이러스 검사 기능을 수행할 수 있습니다.
데이터 시스템 바이러스의 예방과 통제의 경우, 바이러스 백신 소프트웨어는 바이러스 유출을 막기 위해 전방위적인 보호를 할 수 있어야 한다. (윌리엄 셰익스피어, 바이러스, 바이러스, 바이러스, 바이러스, 바이러스, 바이러스, 바이러스) 데이터 시스템 바이러스의 경우 가장 흔히 볼 수 있는 바이러스 감염 플로피 디스크, CD 등의 미디어뿐만 아니라 엔터프라이즈 데이터 시스템의 은밀한 전파 채널에도 주의를 기울여야 합니다.
현재, 회사와 사람 사이의 전자통신은 더욱 광범위하게 응용되고 있다. 그러나 이러한 데이터 교환이 증가함에 따라 점점 더 많은 바이러스가 e-메일 첨부 파일과 데이터베이스 파일에 숨겨져 있습니다.
전파와 전파. 따라서 바이러스 백신 소프트웨어는 이 바이러스 전파 채널을 효과적으로 통제할 수 있는 기능을 갖추어야 한다.
데이터 시스템이 발달하면서 파일을 다운로드할 때 바이러스에 감염될 확률이 기하급수적으로 증가했다. 더 널리 퍼지는 이 바이러스의 경우, 파일의 바이러스 감염 기계를 다운로드하기 전에
압축된 파일을 자동으로 탐지하고 지우는 것도 효과적입니다.
결론적으로 디지털 면역체계, 바이러스 소스 모니터링 기술, 액티브 커널 기술,' 분산 처리' 기술, 보안 네트워크 관리 기술 등을 종합적으로 활용해 시스템의 안티바이러스 능력을 높여야 한다.
방화벽 보안 조치 및 데이터 암호화
방화벽이란 인터넷과 인트라넷을 분리하는 장벽이다. 표준 방화벽과 이중 m 문이라는 두 가지 유형의 방화벽이 있습니다. 방화벽 기술이 발전함에 따라 두 개의 N 게이트웨이를 기반으로 두 가지 방화벽 구성이 진화했습니다. 하나는 호스트 게이트웨이를 숨기는 것이고 다른 하나는 지능형 게이트웨이 (숨겨진 서브넷) 를 숨기는 것입니다. 숨겨진 호스트 게이트웨이는 현재 일반적인 방화벽 구성입니다. 이름에서 알 수 있듯이 이 구성은 라우터를 숨기고 상호 연결 N 과 내부 N 사이에 요새 호스트를 설치합니다. 보루 호스트가 인트라넷에 설치되어 있다. 라우터 구성을 통해 요새 호스트는 인트라넷과 인터넷 간의 통신을 위한 유일한 시스템이 되었습니다. 기술적으로 가장 복잡하고 보안이 가장 높은 방화벽은 H-Pass 를 공용 시스템 뒤에 숨겨 직접 공격으로부터 보호하는 숨겨진 지능형 게이트웨이입니다. 숨겨진 지능형 게이트웨이는 거의 투명한 인터넷 서비스 액세스를 제공하는 동시에 무단 외부 방문자가 개인 데이터 시스템에 불법적으로 액세스하는 것을 방지합니다. 일반적으로 이런 방화벽은 가장 쉽게 파괴되지 않는다.
방화벽과 함께 사용되는 보안 기술은 데이터 암호화 기술로, 정보 시스템 및 데이터의 보안 및 기밀성을 향상시키고 비밀 데이터가 외부에서 깨지는 것을 방지하는 주요 기술 수단 중 하나입니다. 정보기술이 발달하면서 사람들은 데이터 시스템의 보안과 정보의 기밀성에 점점 더 많은 관심을 기울이고 있다. 현재 각국은 법과 관리에 데이터 보안을 강화하는 것 외에도 소프트웨어 및 하드웨어에 대한 기술적 조치를 취하여 데이터 암호화 기술 및 물리적 예방 기술의 지속적인 발전을 추진하고 있습니다. 기능에 따라 데이터 암호화 기술은 주로 데이터 전송, 데이터 저장소, 데이터 무결성 인식 및 키 관리 기술의 네 가지 유형으로 나뉩니다.
4. 스마트 카드 구현
데이터 암호화 기술과 밀접한 관련이 있는 또 다른 기술은 스마트 카드 기술입니다. 스마트 카드란 일반적으로 신용 카드처럼 권한 있는 사용자가 보유하고 사용자가 암호나 비밀번호를 제공하는 키 매체입니다. 이 암호는 내부 데이터 시스템 서버에 등록된 암호와 일치합니다. 비밀번호와 ID 기능을 함께 사용할 경우 스마트 카드의 보안 성능이 상당히 효과적입니다. 데이터 시스템 보안 및 데이터 보호를 위한 이러한 예방 조치는 어느 정도 한계가 있으며, 안전할수록 더 신뢰할 수 있습니다. 따라서 인트라넷이 안전한지 확인할 때, 그 수단을 고찰해야 할 뿐만 아니라, 더욱 중요한 것은 데이터 시스템이 취한 각종 조치에 대해 종합적으로 평가하는 것이다. 물리적 예방조치뿐만 아니라 인력 자질 등 기타' 소프트' 요소도 포함돼 안전한지 아닌지를 결론짓는다.
또한 기타 구체적인 보안 조치로는 디지털 인증, 엄격하고 효과적인 관리 제도, 높은 수준의 보안 인식, 다단계 네트워크 관리 등이 있습니다. 또한 데이터 시스템의 무중단 업무 운영을 고려하여 필요한 BCP 계획을 설계하고 구축해야 합니다. -응?
셋째, 솔루션
터미널 보안 상태 정보를 새로운 네트워크 액세스 제어 기술과 결합하는 것이 터미널 보안 문제를 해결하는 효과적인 방법입니다.
(1) 네트워크 액세스 제어 배포 및 구현. 액세스 제어 장치를 통해 불법 터미널이 네트워크 비즈니스 리소스에 액세스하는 것을 효과적으로 방지하고 정보 유출을 효과적으로 방지할 수 있습니다.
(2) 액세스 제어 장치를 통해 최소한의 권한을 부여하는 액세스 제어를 통해 다양한 신분과 역할의 직원들이 특정 권한을 가진 비즈니스 시스템에만 액세스하여 재무 시스템과 같은 기업의 핵심 비즈니스 리소스를 보호할 수 있도록 합니다.
(3) 종단점 보안 상태와 네트워크 액세스 제어 기술을 결합하여 비보안 터미널과 엔터프라이즈 보안 정책을 준수하지 않는 터미널 액세스 네트워크를 방지하고, 기술적 수단을 통해 엔터프라이즈 보안 정책을 적용하고, 네트워크 보안 이벤트를 줄이고, 엔터프라이즈 보안 시스템에 대한 규정 준수를 강화합니다.
사후 감사 강화, 터미널 액세스 네트워크 기록 및 제어, M-network 어플리케이션 사용 제어, 직원들이 업무에 전념할 것을 촉구하고, 인터넷 액세스 법규에 대한 기업의 위험을 줄이고, 책임 추적 수단을 제공합니다.
1. 중앙 집중식 네트워크 시나리오
터미널 보안 관리 (TSM) 시스템은 중앙 집중식 그룹을 지원합니다.
네트워크, 모든 제어 서버를 모아 네트워크의 터미널에 액세스 제어 및 보안 관리 기능을 제공합니다. 중앙 집중식 네트워킹 시나리오는 그림 9-3 에 나와 있습니다.
2. 다음 조건이 충족되면 그림 9-4 와 같이 분산 네트워킹 시나리오가 필요할 수 있습니다. -응?
(1) 터미널은 상대적으로 여러 영역에 집중되어 있으며 영역 간 대역폭은 상대적으로 작습니다. 에이전트와 서버 간에 일정한 트래픽이 있기 때문에 중앙 집중식 배포를 사용하면 영역 간 대역폭을 차지하여 서비스 제공에 영향을 줍니다.
(2) 터미널 규모가 상당히 커서 분산 네트워킹을 고려해 볼 수 있으며, 많은 수의 터미널이 TSM 서버에 액세스하는 것을 방지하고 많은 네트워크 대역폭을 사용할 수 있습니다.
분산 배포에서 TSM 보안 에이전트는 인증 및 액세스 제어와 같은 다양한 서비스를 받기 위해 가장 가까운 제어 서버를 선택합니다.
3. 계층 적 네트워크 프로그램
네트워크 크기가 너무 크면 그림 9-5 와 같이 계층 네트워킹 시나리오를 선택할 수 있습니다.
이 배포 시나리오에서 각 TSM 노드는 독립적인 사용자 관리, 액세스 제어 및 보안 정책 관리 서비스를 담당하는 별도의 스냅인입니다. 관리 센터는 전체 보안 정책 개발, 모든 TSM 관리 노드에 배포, TSM 관리 노드 구현 모니터링을 담당합니다.
TSM 시스템은 주요 사용자 인증 데이터베이스에 대한 미러 백업 메커니즘을 제공합니다. 기본 데이터베이스에 장애가 발생할 경우 미러 데이터베이스는 백업 인증 소스를 제공하여 기본 서비스 제공을 보장하고 단일 데이터 소스 장애로 인한 액세스 제어 네트워크 장애를 방지합니다.
TSM 시스템에 심각한 장애가 발생하거나 TSM 시스템이 있는 네트워크에 심각한 장애가 발생할 경우 사용자는 비즈니스 우선 순위/보안 우선 순위 등 비즈니스 상황에 따라 선택할 수 있습니다.
비즈니스 우선 순위를 선택하면 액세스 제어 장치 (802. 1X 스위치 제외) 에 설계된 탈출 채널은 TSM 시스템의 심각한 고장을 감지하고 탈출 채널을 활성화하여 중요한 업무 중단을 방지할 수 있습니다.
TSM 터미널 보안 관리 시스템은 데이터베이스 링크 장애, SACG 링크 장애, CPU/ 메모리 예외 등과 같은 서버 상태를 모니터링할 수 있는 서버 상태 모니터링 도구를 제공합니다. 서버 상태가 이상할 때 메일, 문자 등을 통해 관리자에게 제때에 처리하도록 통지할 수 있다.
넷째, 터미널 가상화 기술
1. 기존 터미널 데이터 보안 기술
1)DLP
(1) 작동 모드: 정보 유출 보호에 중점을 둔 DLP (Data Loss Prevention) 기술은 심층적인 콘텐츠 분석을 통해 동적 데이터, 정적 데이터 및 사용 중인 데이터를 식별, 감지 및 보호할 수 있는 제품입니다. PC 터미널, 네트워크, 메일 서버 등의 시스템에서 정보 내용을 감지하고 보호할 수 있으며, 민감한 데이터의 저장 위치를 찾아 처리할 수 있지만 몇 가지 취약점이 있습니다.
(2) 사용 시나리오 및 제한 사항: DLP 시나리오는 유연성, 보안 및 관리 용이성에 대한 데이터 보안 요구 사항을 충족하지만 DLP 시나리오의 성공적인 배포에는 데이터 콘텐츠 일치 알고리즘의 오보율이 충분히 낮다는 전제 조건이 필요합니다. 그러나 데이터 내용의 표현 방식이 다르기 때문에 데이터 내용 일치 규칙을 정의할 때 누락률과 오판율의 균형을 맞추기 어렵다. 어느 공급업체의 DLP 제품이든 실제 테스트 과정에서 가상경보율이 보편적으로 높고 DLP 시나리오의 보호 효과가 좋지 않다.
2) 디지털 저작권 관리
(1) 작동 모드: DRM (디지털 저작권 관리) 은 암호화입니다.
및 메타데이터-데이터에 대한 액세스가 허용된 사용자와 데이터 작업에 대해 특정 작업을 수행할 수 있는지 여부를 설명합니다. DRM 은 데이터 액세스 및 사용 방법을 결정할 수 있으며, 이는 데이터를 휴대하는 경호원과 같습니다. 사용 권한에는 읽기, 변경, 잘라내기/붙여넣기, 이메일 제출, 복사, 이동, 휴대용 저장 장치에 저장 및 인쇄가 포함됩니다. DRM 은 강하지만 대규모로 실현하기는 어렵다.
(2) 사용 시나리오 및 제한 사항: DRM 은 수동 작업에 크게 의존하므로 대규모로 구현하기 어렵다. 사용자는 어떤 권한이 어떤 콘텐츠에 적용되는지 알아야 합니다. 이러한 복잡성으로 인해 직원들이 DRM 을 무시하게 되어 보안이 향상되지 않는 경우가 많습니다. 암호화와 마찬가지로 기업은 권한을 신청할 때 사람의 판단에 의존해야 한다. DRM 장비는 내용을 이해할 수 있는 기능이 없기 때문이다. 성공적인 DRM 배포는 일반적으로 숙련된 사용자가 있는 소규모 워크그룹으로 제한됩니다. 이러한 복잡성 때문에 대기업은 일반적으로 DRM 구축에 적합하지 않습니다. 그러나 암호화와 마찬가지로 DLP 를 사용하여 DRM 에 집중할 수 있으므로 광범위한 배포를 방해하는 수동 프로세스를 줄일 수 있습니다.
3) 전체 암호화
(1) 작동 모드: 전체 디스크 암호화 기술은 일반적으로 디스크 수준 동적 암호화 해독 기술을 사용하여 운영 체제 또는 어플리케이션 소프트웨어에 대한 읽기/쓰기 요청을 가로채어 전체 디스크 데이터의 실시간 암호화 및 암호 해독을 가능하게 함으로써 이동식 터미널 또는 모바일 장치 손실, 스토리지 장치 폐기 유지 관리 등으로 인한 데이터로부터 디스크에 있는 모든 파일의 저장 및 사용을 보호합니다
(2) 사용 장면과 제한 사항: 방수 벽 기술과 마찬가지로 전체 암호화 기술은 여전히 서로 다른 기밀 시스템의 데이터를 구분할 수 없습니다. 기밀 파일과 일반 파일은 모두 암호화된 저장소이며 정상적인 내부 및 외부 파일 교환을 지원할 수 없습니다. 또한 전체 암호화 체계는 데이터 소스에서 데이터 컨텐츠의 보안을 보장하지만 자체 보안 및 신뢰성을 보장하지는 않습니다. 소프트웨어 시스템이 손상되면 모든 데이터를 제대로 액세스할 수 없게 되므로 비즈니스 데이터의 가용성에 잠재적인 위협이 될 수 있습니다.
이러한 전통적인 보안 기술은 현재 은행업 배치의 기본 보안 시스템이며, 이러한 보안 시스템은 어느 시점에서 보호 역할을 할 수 있습니다. 하지만 그럼에도 불구하고 데이터 유출 사건은 계속 금지되고 있으며, 현재 은행 네트워크의 전반적인 보안이 가장 심각한 위협은 터미널 보안에서 비롯된다는 것을 알 수 있습니다. 그리고 이렇게 다중 시스템 솔루션을 배포했을 때, 사용자 경험은 결코 좋지 않았고, 보급도 좋지 않았고, 기대에 미치지 못했다. 기업 인트라넷 보안 현황을 철저히 바꾸기 위해서는 기밀 관련 시스템을 위한 보다 효과적인 데이터 유출 방지 방안을 배치할 필요가 있다.
2. 데이터 보호 혁신-터미널 가상화 기술
데이터 보안을 유지하면서 사용자의 사용 편의성과 배포 속도를 높이기 위해 일부 기업은 터미널 가상화 기술을 사용하여 데이터를 보호하기 시작했습니다. 데스크톱/애플리케이션 가상화 기술과 보안 샌드박스 기술을 기반으로 하는 가상 보안 데스크톱은 두 가지 일반적인 방법입니다.
1) 데스크톱/애플리케이션 가상화
데스크탑/어플리케이션 가상화 기술은 데이터 센터에서 모든 데스크탑 가상 머신을 호스팅하고 관리하는 서버 기반 컴퓨팅 모델입니다. 많은 수의 서버를 구입하고, CPU, 메모리 등의 하드웨어 리소스를 중앙에서 구축하고, 터미널 서비스 계층을 구축하여 데스크탑과 애플리케이션을 최종 사용자에게 미러링된 형태로 배포할 수 있습니다. 클라우드 컴퓨팅의 한 가지 방법으로, 모든 컴퓨팅이 서버에 있기 때문에 터미널 장치에 대한 요구 사항이 크게 줄어 기존의 데스크톱 컴퓨터와 노트북이 필요하지 않습니다. 사용자는 그림 9-6 과 같이 클라이언트 또는 원격 액세스를 통해 기존 PC 와 유사한 사용자 경험을 얻을 수 있습니다.
그러나 중앙 집중식 컴퓨팅 모델을 기반으로 하는 데스크탑 가상화 기술은 터미널 관리 및 유지 관리를 크게 단순화하고 터미널의 데이터 보안 문제를 해결할 수 있지만 서버 배포 비용이 너무 높고 관리 비용이 증가하는 등 새로운 문제도 야기합니다.
(1) 모든 클라이언트 프로그램이 터미널 서버에서 실행되며, 서버 로드 압력의 균형을 맞추기 위해 고성능 터미널 서버 클러스터를 구성해야 합니다.
(2) 네트워크 지연, 서버 성능, 동시 혼잡 등의 객관적인 요인으로 인해 데스크탑 가상화 시나리오에서는 최종 사용자의 사용 환경이 물리적 컴퓨터의 로컬 어플리케이션보다 훨씬 낮습니다.
(3) 중앙 집중식 컴퓨팅은 터미널 서버의 단일 장애 지점으로 이어지기 쉬우므로 터미널 서버의 중복 백업을 통해 시스템의 안정성을 높여야 합니다.
(4) 데스크탑 가상화 시나리오에 배포된 다수의 터미널 서버와 중앙 집중식 데이터 스토리지 간의 백업, 복구, 마이그레이션, 유지 관리 및 격리.
(5) 데이터 중앙 집중화로 인해 관리자의 권한 관리도 고려해야 합니다. 결국, 네트워크 관리자가 은행 부서의 비즈니스 데이터에 접근하도록 하는 것은 데이터 보안 요구 사항을 위반하는 것입니다.
(6) 데스크탑 중앙 집중화 방안은 네트워크의 안정성 요구 사항을 높이고 오프라인 사무실의 요구를 충족시키지 못한다.
그래서 이런 방안은 대규모 배포 시 비용이 많이 들고 경험이 부족한 문제를 겪게 된다.
9-7 에 나와 있습니다.
2) 누출 방지 보안 데스크톱
데스크톱/애플리케이션 가상화 문제를 해결하기 위해 새로운 터미널 가상화 기술인 R 샌드박스 기반 보안 데스크톱이 그림 9-8 과 같이 누수 방지 분야에 적용되었습니다.
현재 IT 아키텍처를 변경하지 않고 로컬 PC 의 하드웨어 및 소프트웨어 리소스를 최대한 활용하여 보안 샌드박스 기술을 통해 로컬에서 직접 보안 데스크탑을 가상할 수 있습니다. 이 데스크탑은 원래 기본 데스크톱의 백업 및 미러링으로 이해할 수 있으며, 보안 데스크톱 환경에서 실행되는 애플리케이션, 데이터 및 네트워크 권한은 기본 데스크톱과 완전히 분리되어 있으며, 보안 샌드박스는 서로 다른 데스크톱을 세부적으로 제어할 수 있습니다. 예를 들어, 보안 데스크톱 아래에서는 민감한 비즈니스 시스템에만 액세스할 수 있고, 보안 데스크톱에 있는 데이터는 보낼 수 없습니다.
이렇게 하면 보안 데스크탑과 보안 제어 게이트웨이의 협력을 통해 사용자가 보안 데스크탑이 인증된 후에만 핵심 민감한 시스템에 액세스할 수 있도록 하여 터미널의 다중 비즈니스 위험 격리를 실현하고 터미널의 보안을 보장할 수 있습니다. 보안 데스크탑 가상화 시나리오는 사용자에게 여러 가상 보안 데스크탑을 제공합니다. 사용자는 서로 다른 가상 보안 데스크탑을 통해 파일, 네트워크 및 시스템 리소스를 격리하여 서로 다른 데스크탑을 통해 서로 다른 비즈니스 리소스에 액세스할 수 있습니다.
예를 들어, 그림 9-9 와 같이 사용자가 기밀 비즈니스 시스템에 액세스할 수 있도록 데이터 유출 방지 보호 기능을 갖춘 유출 방지 보안 데스크탑을 제공하여 사용자 사용 습관에 미치는 영향을 최소화하고 물리적 격리 시나리오의 가용성 문제를 해결할 수 있습니다.
샌드박스 기반 보안 데스크탑 시나리오의 가치는 단말기에 민감한 비즈니스 데이터가 유출되는 것을 막기 위해 사용자의 사용 습관을 바꾸지 않고 사용 편의성을 높이며 사용자의 기존 투자를 보호하는 것입니다. 이전에는 누설 방지 보안 데스크톱이 금융, 정부, 기업 등에 광범위하게 적용되었으며, 주로 CRM, ERP, 디자인 도면 등 시스템 전면에 배치되어 내부 판매, 공급망, 재무 등의 인원이 자발적으로 유출되는 것을 방지했습니다.
그러나 보안 데스크톱 기술에는 몇 가지 제한 사항이 있습니다. 예를 들어 Java 및 C 언어에 적합하지 않은 생성 개발 환경에는 몇 가지 호환성 문제가 있습니다.
결론적으로, 두 터미널 가상화 기술은 각각 장단점이 있어 서로 다른 비즈니스 시나리오에 적합합니다. 그림 9- 10 을 참조하십시오.