桌面终端安全应引起重视

频发的泄密事件应该给金融行业敲响警钟，金融业作为国家经济的重要组成，其信息安全的重要性不言而喻，金融企业在数据中心的安全尤其在防止外部攻击方面投入巨大，可以说做的非常成熟。但是，内部泄密途径众多且不易管控，简单的网络行为或移动设备的拷贝即可以轻易绕过企业辛苦建立起的"马奇诺防线"。

对于在国内发生过的某知名外资银行客户银行存款被盗案件，上海师范大学金融工程研究中心主任孙茂辉曾表示："金融行业其实相比其他行业在信息安 全的硬件建设上是最成熟的。像这类企业，更多是由于内部员工或者合作伙伴引起的数据丢失。此案的爆发，对整个银行业有一定的警示作用。目前，银行多专注于 防控来自外部的风险，而内部的人员管理却流于形式。"

实际上，桌面终端也在内网，连接了所有严格布防的数据中心，如果终端没有管理好，肯定会影响到数据中心的核心系统和核心应用，对于桌面终端的安 全管理，大家往往是不太重视，但实际上却是最容易出问题的环节。金融行业同样存在大量的外包人员和第三方伙伴，因为合作需要接入内网，如果管理不当，也存 在发生安全事故的风险。

传统方案存在诸多不足

终端对核心业务数据进行单独访问，传统方式主要是采用网络安全隔离卡、安全隔离网闸、基于无盘系统的隔离、双网络系统等物理隔离的办法，采取物理隔离的方式有较高的安全性，但是数据的传输与处理仍是以明文的方式来进行，客观上还是有一定的风险存在。物理隔离在实际的使用中，还存在着诸多不足。

首先是易用性差，现代办公对网络应用更加的依赖，在保证信息安全的情况下，则不能方便的进行其它文件跨网使用、移动办公、外网邮件、IM即时通 讯等应用;其次是扩展性差，后期扩展必须增加两套设备;再次是IT成本高，包括建设、管理、维护。基于物理隔离以上的使用特点，我们可以看到：传统的隔离 方式已经不能更好的适应金融信息化的快速发展。这时能否出现一些前瞻性的解决方案提供商，对金融信息安全的建设进行引导，将显得至关重要。

专家支招：从源头抓起

如何确保桌面终端有更高的安全性，而且易于部署，同时还不影响员工的工作效率?深信服公司金融事业部产品经理郝晓龙提出了建议："要解决内部泄密应该从信息的源头抓起。"内部泄密分为主动泄密和被动泄密，主动泄密主要通过网络对外发送、移动存储拷贝、在内网获取信息后通过3G等其他网络对外发送，而被动泄密则是内部人员将重要信息留存在本地桌面，后因遗失或其它原因导致泄密，只要我们控制了信息的源头，就能从很大程度上保障信息的安全。

具体操作上是在服务器前部署安全网关实现统一管理，所有访问服务器的终端必须通过安全网关来进行，经身份认证后安全网关向桌面终端推送生成一个虚拟安全桌面，所有核心业务数据和应用的访问只能通过安全桌面。

安全桌面是一个相对孤立的环境，本地桌面与安全桌面不能进行数据交互，即访问终端不能把任何资料或文件保留在本地;在安全桌面中禁止和外网、本 地局域网的任何地址进行通讯，数据不能通过即时通讯和邮件等工具进行发送，也不能连接到打印机进行打印;虚拟桌面获取的临时业务数据在退出安全桌面中会被 销毁，所有的操作痕迹将会被清除。同时，部署安全桌面不需要改变网络结构，用户在默认桌面和安全桌面间可以自由切换。在安全桌面中，用户可以在访问服务器 时获得与默认桌面一致的用户体验，具有良好的易用性。

郝晓龙表示："深信服安全桌面采用的'沙盒'技术已经是非常成熟的虚拟化技术，它可以最大程度的防止内部泄密。"虚拟化安全桌面中所有运行的程序和临时存储的数据，都是在虚拟独立的硬盘空间和内存空间中的，运行的过程中直接对该区域进行加密。所以，在默认桌面中，任何程序都无法查看或者调用安全桌面中的运行数据和临时存储的数据。

看来信息安全攻防的矛与盾都在不断发展，但不管怎么演变，从源头抓起的思路应该是一个很好的选择。

(责任编辑：安博涛)