保护之二:杜绝邮件泄密
对于应用安全的另一大问题,就是企业广泛使用的邮件系统。以往防火墙或者IPS所作的,大多是保护邮件系统免遭外部病毒入侵,但目前的主要挑战却是:企业需要设立完整的邮件过滤机制,确保发出的邮件没有携带企业的敏感信息。有意思的是,像神州数码网络、深信服等UTM厂商,也对此非常重视。要知道,根据UTM中邮件安全的标准定义,其功能主要是反垃圾邮件。神州数码网络的安全产品经理颜世峰表示:“针对邮件的安全控制,需要从底层接入控制和内容分析两个方面来做,因此对于敏感数据的保护,企业需要全盘考虑。”
事实上,颜世峰的思路和大多数的安全网关产品厂家是一致的。首先,利用网关型安全管理设备,如神州数码的DCSM,从入口处对所有的内网用户进行准入控制。这种准入控制可以进行用户名、密码、IP、MAC、交换机端口等多元素的绑定,同时为了能够更加精准地控制到内网人员,可以在企业每个员工的系统上自动分发客户端代理。“这样做的好处是,每一个想要通过企业邮件系统向外发送信息的员工,他的一举一动DCSM都会进行监控,无疑这就从源头上确保了邮件用户本身的可靠性。” 颜世峰如是说。
8e6科技的安全专家宋汉斌也表示,网关型设备可以采用旁路模式,因此一般不会干扰原有的网络拓扑,而利用类似Sniffer的监听方式,可以获取内网发出的全部信息,从而确保邮件用户的行为可控。当然,邮件用户的准入控制是确保邮件安全的第一步。接下来,对于邮件本身的内容也要有所监控。神州数码网络和8e6科技分别利用DCSM和E-Police技术,对邮件进行关键字审计和镜像审核,并生成邮件安全的报告。深信服科技的技术经理叶宜斌表示,在进行大量实例分析以后发现,大部分企业的邮件泄密事故是从邮件发送客户端造成的。因此他们专门开发了邮件的延时审计技术来保证发送的安全性。“客户端在发邮件的时候,企业很多在线监控的工具仅仅是看到邮件发出去了,即便造成了泄密,也已经无法挽回了。而利用延迟审计技术,客户端邮件先发送到网关,由网管人员进行判断,如果审理通过或默认时间没有审理,则可以发送;否则就进行阻止。”叶宜斌认为,对邮件的内容进行审计,可以从技术上保证万无一失,企业要做的就是确保所需要的执行程度。
记者在6月北京举办的信息安全大展上曾经见到,电子邮件的安全审查确实已经成为企业应用安全的重要组成部分,企业采用安全网关或安全网桥连接内部可信网络和外部不可信网络,在处理邮件时主要遵循以下步骤:第一,请求:用户向安全网关或安全网桥请求向外部不可信网络发送电子邮件;第二:延迟缓存:安全网关或安全网桥将所述电子邮件存储在内部可信网络中管理人员可访问的指定位置,并通知管理人员;第三,审查和发送:管理人员根据通知审查待发的电子邮件,通过管理人员审查的电子邮件正常发出,否则不予发送。叶宜斌表示,企业利用这种方法,通过安全网关或安全网桥延迟缓存向外网发送电子邮件,同时进行人工审查,保证了机密信息不随外发电子邮件泄露。
保护之三 :防御Web潜威胁
另一个值得关注的应用安全问题,就是来自Web应用的普及。侠诺科技的安全专家张建清博士表示,很多企业员工在上网、下载、以及访问BBS和Blog的时候,经常出现泄密、感染病毒或恶意代码的情况。事实上,越来越多的Web站点、Web邮件、BBS,已经构成了企业无法回避的一大应用问题。
叶宜斌表示,针对目前广泛存在的Web泄密的问题,企业必须拥有完善的记录员工上网行为的技术。“当某一个员工打开一个网页的时候,后台的UTM或者网关设备必须生成一个记录,标识出具体哪个用户、哪个IP在访问哪个网页。其中,系统会根据使用者的网页搜索请求、BBS发贴通讯进行相应的内容级别的记录,从而实现追踪的需要。”目前,像深信服、神州数码网络、8e6科技已经实现了通过HTTP协议进行内容分析的技术。企业可以在UTM设备或者网关型设备中开启相应的日志数据中心,从而实时记录内网用户每一个时刻的网络行为,除了普通的Web泄密,系统还可以记录BBS上的URL内容,也可以记录并监控Web方式发送的邮件,包括邮件内容和收信人地址。如果记录的内容很庞大,还可以利用第三方的日志中心进行存储。第三方日志中心可以定期与网关设备同步,对大型企业来说,不论是采取阻断还是生成分析报告,对Web的安全控制都会详细的多。
颜世峰也提出,Web安全属于企业所有员工都要遵循且自觉接受安全规范控制的范畴,因此从原理上说,属于企业全网安全技术的一部分。“我们已经在DCSM的基础上,开发了DCBI-Netlog日志系统,并将两者统一起来,促成企业内网准入、终端安全、行为记录的统一,从而进一步完善了以3DSMP为基础的全网安全技术。”其实,这种多系统捆绑的目的,就是从准入控制的源头与行为追踪的可控进行联动。类似地,宋汉斌也将E-Police系统与企业用户网络行为追踪系统R3000整合搭配,从而实现了用户Web行为记录、匹配、回溯的模式。
此外,针对Web安全的客户端配置,不同厂家的做法也有区别。像深信服主要以UTM为监控保护设备,因此它仅仅需要通过源头与过程的双重监控,就可以定位到哪台机器出了安全问题,所以一个简单的ActiveX控件就可以帮助UTM实现类似的信息收集功能。而像神州数码网络以旁路的DCSM为基础,除了收集信息,还要与全网安全中的其他设备,如桌面保护系统、交换机、防火墙等联动,同时还有专门的DCBI-Netlog日志分析系统,因此需要自动分发安全客户端代理软件。
网友评论