今年315消费者日央视披露了多例因不法分子盗用个人隐私数据而对消费者造成了严重损害事件。据央视披露,此类信息安全破坏事件大规模猖獗发生的背后是一条黑色产业链:在产业链的源头有诸如银行,电信,网络社区,高档会所等商家或服务提供商,甚至有关服务部门,由于需要向用户提供服务而存放着大量消费者、公民个人身份敏感数据如姓名,身份证号,地址,电话号码,登陆账号名,甚至登录口令,等等,然而却未能使用相应的信息安全保护措施,因而不法分子可以从这些地方轻易将用户数据大规模盗取出去。盗出的数据被卖给一些团伙通过雇佣简单劳动力使用乏味的试错登录法,即便小概率机会也因为盗出数据量足够大,仍然可从大量试错中提取出不少有用信息如账号登录口令,从而攻击得逞。
产业链源头大规模盗取数据可以是由黑客入侵造成,也可更为有效地,由服务提供方内部人员监守自盗从内部取出。后一类攻击方式的确更容易发生,家贼难防嘛。内部监守自盗确实是央视所披露黑色产业链源头部分的主要因素。黑客入侵攻击可以应用通常的防火墙技术有效防止,然而传统防火墙技术对于内部人员监守自盗攻击就无能为力了。如今网络存储无所不在,内部人员很容易将大量数据打包发出。U盘拷贝也是一个易攻难防的漏洞。传统信息安全技术对于源自内部发起的攻击,防御能力十分有限。
道里云公司研发出一款二极管防火墙产品专门用于防止组织内部人员通过网络向外发出数据。该新型防火墙技术与传统防火墙侧重防御外部入侵不同,可以对网络上流动的数据实施流动方向控制,只允许数据从一端流向另一端,而反向不然。通过二极管防火墙方向设置可以制止内部数据向外流出。
稍懂点网络技术的高手们自然要问了:TCP/IP通信协议必须开通双向通信,你这“二极管”仅允许单向通信,岂不限制了TCP/IP的正常通信功能,从而导致合法用户也不能通过网络连接正常使用信息服务了吗?的确,TCP/IP是需要双向通信,之所以需要双向通信是因为该通信协议必须让数据接收端通知数据发送端使其知晓接收端是否已经正确收到了所发出的数据包。TCP/IP协议的这种反馈控制信息机制其魔力十分强大了得:英特网上数据从A点发到B点居然可以走多种不同路径因而可能导致B点收到的IP包顺序被打乱(由于不同路径网速可能不同),还有可能丢包、乱码;双向通信机制使A、B双方通过来回通报消息手段仍然可以达到按A所发出顺序接收到全部正确数据包的结果。
运行在虚拟化技术底层的虚拟机监控器可以实时截获网络通信流,区分出TCP/IP协议中的用户态数据部分(user-mode payload)与内核态控制元数据部分(kernel-mode metadata)。如此,我们可以仅对用户数据payload实施流动方向控制而不对控制数据metadata做任何限制。二极管防火墙就是通过这样的原理实现了用户数据流向的单向性。虚拟化技术着实威力强大!
采用二极管防火墙技术,授权用户可以经过身份认证方法合法登录数据服务端正常享受数据服务,而服务端内部人员企图向外发数据会被反向设置的二极管阻挡。
应英特尔公司之邀,道里云公司携带自主研发的二极管防火墙技术将于4月11-12日参展英特尔北京IDF峰会展览(http://www.intel.com/idf/beijing/index.htm),欢迎有兴趣同仁来道里云公司展台参观该产品。
但是如果内部监守自盗者通过U盘拷贝之类方法盗取数据怎么办呢?是呀,U盘属于本地存储设备,拷贝数据根本不走网络,你控制TCP/IP协议之类的网络数据流又有什么用呢?
且容我下回分解。
780
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
