信息泄露是局域网的主要安全隐患之一。所谓信息泄露,就是被故意或偶然地侦收、截获、窃取、分析、收集到系统中的信息,特别是秘密信息和敏感信息,从而造成泄密事件。
宝信网络巡警eCop在防泄密中的应用分析(1)
一、 引言
信息泄露是局域网的主要安全隐患之一。所谓信息泄露,就是被故意或偶然地侦收、截获、窃取、分析、收集到系统中的信息,特别是秘密信息和敏感信息,从而造成泄密事件。
局域网在保密防护方面有三点脆弱性:一是数据的可访问性。数据信息可以很容易被终端用户拷贝下来而不留任何痕迹。二是信息的聚生性。当信息以零散形式存在时,其价值往往不大,一旦网络将大量关联信息聚集在一起时,其价值就相当可观了。三是设防的困难性。尽管可以层层设防,但对一个熟悉网络技术的人来说,下些功夫就可能突破这些关卡,给保密工作带来极大的困难。
本文将在以下篇幅中对信息泄露可能发生的途径及解决方法进行分析,并结合上海宝信软件股份有限公司的宝信网络巡警eCop产品介绍如何实现泄密防护。
二、 信息泄露的途径分析及解决思路
根据CSI/FBI提供的统计数据,已有的网络安全事件中,数量最多、危害最大的是信息泄露事件;而且主要的信息泄露因素都来自企业内部,而不是黑客等外部攻击。
那么,这些内部信息泄露事件是怎样发生的呢?细究原因,我们发现内部泄露信息主要途径有三类,一是计算机网络化后,信息通过网络传播造成的失、泄密;二是信息通过计算机系统的外围设备复制出去造成的泄密;三是文档通过打印途径造成的泄密。
(一). 外来计算机随意接入的问题
接入内网的计算机应该是专用计算机,其他外来用户随意接入内网网络,可能会造成重要机密数据泄露等危险。
从传统的网络管理手段来说,可以通过在交换机上进行MAC地址与端口的绑定来达到防止外来用户随意接入的目的。但是这种方法会给管理人员带来比较大的工作量,特别是大型网络,且这种方式的灵活性也不够,对于任何一台新接入的设备都必须要在相应的交换机上进行配置,管理非常不便。
内网安全系统应该能够及时发现外来用户的接入,自动阻断或通知管理人员,提供将其从网络上断开的技术手段。
(二). IP地址盗用问题
内部网络存在IP地址盗用的危险。一些内部用户将合法主机修改IP地址后接入网络,盗窃网上的资源,甚至对主机发动攻击。对违反规定或禁止上网的计算机及网络设备,应当能从技术手段上限制其上网。
(三). 非法外联问题
作为内网计算机,应该是专网专用,禁止与互联网等其他网络发生直接或间接的连接。但是可能有个别的工作人员,将专用计算机挪作他用,为上网、玩游戏、发私人邮件等目的与Internet连接,从而造成外网与内网或互联网发生直接或间接的连接。由此可能造成以下后果:
1. 破坏整体安全防护体系。
网络的安全是靠整体的安全防护体系来保证的,在这个防护体系里除了必要的安全防护措施以外,还需要建立一系列的管理规章制度,通过这些制度限定人们的网络行为。非法外联行为看似小事,但却是对整体安全防护体系的严重破坏。它在内网与其他外部网络之间,开辟了一个不经过安全防护机制检查的“后门”,这个“后门”使整个网络的安全性大大降低。
2. 引入恶意的入侵。
非法外联具有一定的隐蔽性,管理人员不易发现,没有一定的手段,很难对此进行必要的防护,容易遭受恶意的入侵。安装着桌面操作系统的客户机的安全性明显低于网络操作系统的安全性,存在着许多安全方面的隐患,在缺少安全防护措施(如防火墙等)的条件下,很容易被攻破。来自互联网的恶意入侵者可以轻而易举地入侵和控制这台计算机,使入侵者获得网络内的合法身份,它可以访问网络中的信息资源,可以对重要服务器进行漏洞扫描、入侵尝试。如果这些服务器没有采取入侵检测等进一步的防护措施,恶意入侵者就可以比较容易地获取这些服务器的访问、控制权限,随意地窃取、篡改和删除重要敏感的数据,安装木马程序、病毒程序,中断其正常的服务,使单位蒙受巨大损失。
从上边的分析可以看出,非法外联具有很大的危害性,因此作为安全管理及监控系统,应该对非法外联的行为进行监视,一旦发现这种现象及时通知各级管理人员,在必要的情况下可自行将这些连接断开,保护内部网络的整体安全。
(四). 外围设备违规使用问题
计算机的外围设备(包括软驱、光驱、U盘、并行口、串行口、红外口、1394端口、Modem等)为各种信息在不同的计算机设备之间交流提供了一个方便的途径,通过它们可以将各种信息复制到不同的计算机中,也包括病毒、木马等。与此同时,内网中的主机上保存着一些涉密的内部信息,这些信息不能够随意地被传播。
因而有必要对外围设备的使用进行控制,不允许随意地使用外围设备拷贝机密数据。应该实现对各客户机外围设备的集中监视和控制,通过在管理端进行设置,可禁止和启用各客户机的外围设备,有效地保护计算机上的信息。同时,应当对外围设备的文件操作进行审计,记录相关信息以便发生泄密事件时进行追查。
(五). 网络共享造成泄密的问题
计算机上开设的网络共享文件夹是内网中常用的资源共享的手段,方便而且快捷。但内网中共享文件夹的访问权限往往设置为普通用户均可访问,从而大大增加了信息泄露事件发生的可能性。
因而应当对网络共享文件夹中的文件操作进行审计,记录相关信息以便发生泄密事件时追查。
(六). 随意打印文件的问题
单位常有重要的文件,如设计图纸、报表等,对这些重要且必须保密的资料的打印等操作无法监控,出现信息泄露事件也无从追溯。
同样,我们需要对打印行为进行控制和审计,严格管理打印的文件内容和份数,从而控制重要文档的传播。
宝信网络巡警eCop在防泄密中的应用分析(2)
三、 宝信网络巡警eCop在防泄密中的应用
宝信软件着眼于安全管理中最重要且最为薄弱的内网安全环节,于2002年率先提出“内网安全”的概念,并推出了内网安全管理产品——宝信网络巡警eCop。经过3年多的发展,该产品已在国内内网安全管理市场上占据领先地位。
该产品致力于网络接入安全、终端安全、服务器安全、应用安全等领域,提出了基于WEB浏览器管理的全面的内网安全管理解决方案,采取主动防御与控制的手段,帮助政府机关、制造业、研究院、电力、电信、金融机构等单位构建一个可信并可控的内网环境,杜绝泄密事件的发生。
(一). IP地址管理杜绝非法计算机接入,盗用IP地址进行窃密
通过实时扫描获取与分析在线计算机的IP、MAC地址信息,提供IP地址、MAC地址的合法性判定,警告和阻断不满足合法性判定的计算机,统计分析非法IP地址使用的历史情况,从而保证外来的主机不经许可无法接入内网,内网的计算机无法盗用IP地址进行窃密。
(二). 非法外联监控限制内网计算机外联,防止内外网之间不受控制的信息交换
通过定周期检测该计算机的网络连接情况,及时发现连接其他外部网络的行为,记录下其违规外联的信息并向控制器端发送违规记录和报警通知。非法外联监控对于连接在内网发生外联和脱离内网的发生外联均能够进行检测,管理人员可在控制器端进行监控策略的配置,选择上述某一种监控方式。对于发生非法外联行为的计算机,客户端可自动断开其各种网络连接,包括网卡连接、拨号连接、无线连接等,从而保证内网的计算机专网专用,不与外部网络发生信息交换。管理人员可在控制器端配置恢复该计算机网络连接的策略,可选择自动恢复网络连接和确认恢复网络连接两种方式。
(三). 控制外围设备使用,防止通过外围设备进行的文件传输
通过设定启用或禁用各计算机的外围设备,自动禁用或启用软驱、光驱、U盘、MODEM、串口、并口、红外口和1394口等外围设备和接口,从而防止通过外围设备进行的文件传输。
(四). 文件操作审计,保证通过U盘和网络共享发生的泄密事件可以追溯
通过记录从本机拷贝文件到移动存储设备或网络共享目录的操作,保证从U盘和网络共享中泄露的文件可以追述。审计内容主要包括:写U盘的操作,向共享目录写文件,他人从本机的共享目录(系统盘除外)拷贝文件。记录的内容包括:主机名、操作者姓名、程序名、进程名、文件名、设备名、操作类型、文件大小及操作时间。可按组织机构察看审计日志,具备分页显示、按主机名查询等功能,还可以将记录导出至Excel文件中。
(五). 打印审计和控制,杜绝通过文档打印发生的文件泄露
通过记录完整的打印日志,控制用户的打印配置和打印行为,杜绝通过打印或多打机密文件发生的文件泄露,实现对打印资源的有效管理控制,降低打印成本。记录内容包括打印操作的用户、计算机、文件名、页数、份数、纸张类型等信息。
除此以外,eCop还具备软硬件信息管理、服务监视、操作系统补丁管理等功能。能够有效地加强内网安全管理,提高内网安全级别,降低泄密事件发生的可能,在泄密事件发生时保证有据可查。
四、 结语
作为国内内网安全管理产品市场的领导厂商,宝信软件经过3年多的自主研发,推出了宝信网络巡警eCop。它是目前国内市场一款比较成熟的内网安全管理软件,获得了多方面的用户好评。宝信网络巡警eCop已经在多家跨不同行业但同样具有信息保密需求的用户单位成功使用。用户反映它能解决用户面临的实际问题,切实降低了信息泄密的风险,同时提高了用户单位的工作效率。
想知道更多关于移动办公方面的内容请访问移动办公频道。随时随地移动办公让您与工作零距离接触!如果大家对本文有任何意见或者建议,可以在下面的意见提交区参与讨论。
网友评论