信息泄露是局域网的主要安全隐患之一。所谓信息泄露,就是被故意或偶然地侦收、截获、窃取、分析、收集到系统中的信息,特别是秘密信息和敏感信息,从而造成泄密事件。
宝信网络巡警eCop在防泄密中的应用分析(1)
一、 引言
信息泄露是局域网的主要安全隐患之一。所谓信息泄露,就是被故意或偶然地侦收、截获、窃取、分析、收集到系统中的信息,特别是秘密信息和敏感信息,从而造成泄密事件。
局域网在保密防护方面有三点脆弱性:一是数据的可访问性。数据信息可以很容易被终端用户拷贝下来而不留任何痕迹。二是信息的聚生性。当信息以零散形式存在时,其价值往往不大,一旦网络将大量关联信息聚集在一起时,其价值就相当可观了。三是设防的困难性。尽管可以层层设防,但对一个熟悉网络技术的人来说,下些功夫就可能突破这些关卡,给保密工作带来极大的困难。
本文将在以下篇幅中对信息泄露可能发生的途径及解决方法进行分析,并结合上海宝信软件股份有限公司的宝信网络巡警eCop产品介绍如何实现泄密防护。
二、 信息泄露的途径分析及解决思路
根据CSI/FBI提供的统计数据,已有的网络安全事件中,数量最多、危害最大的是信息泄露事件;而且主要的信息泄露因素都来自企业内部,而不是黑客等外部攻击。
那么,这些内部信息泄露事件是怎样发生的呢?细究原因,我们发现内部泄露信息主要途径有三类,一是计算机网络化后,信息通过网络传播造成的失、泄密;二是信息通过计算机系统的外围设备复制出去造成的泄密;三是文档通过打印途径造成的泄密。
(一). 外来计算机随意接入的问题
接入内网的计算机应该是专用计算机,其他外来用户随意接入内网网络,可能会造成重要机密数据泄露等危险。
从传统的网络管理手段来说,可以通过在交换机上进行MAC地址与端口的绑定来达到防止外来用户随意接入的目的。但是这种方法会给管理人员带来比较大的工作量,特别是大型网络,且这种方式的灵活性也不够,对于任何一台新接入的设备都必须要在相应的交换机上进行配置,管理非常不便。
内网安全系统应该能够及时发现外来用户的接入,自动阻断或通知管理人员,提供将其从网络上断开的技术手段。
(二). IP地址盗用问题
内部网络存在IP地址盗用的危险。一些内部用户将合法主机修改IP地址后接入网络,盗窃网上的资源,甚至对主机发动攻击。对违反规定或禁止上网的计算机及网络设备,应当能从技术手段上限制其上网。
(三). 非法外联问题
作为内网计算机,应该是专网专用,禁止与互联网等其他网络发生直接或间接的连接。但是可能有个别的工作人员,将专用计算机挪作他用,为上网、玩游戏、发私人邮件等目的与Internet连接,从而造成外网与内网或互联网发生直接或间接的连接。由此可能造成以下后果:
1. 破坏整体安全防护体系。
网络的安全是靠整体的安全防护体系来保证的,在这个防护体系里除了必要的安全防护措施以外,还需要建立一系列的管理规章制度,通过这些制度限定人们的网络行为。非法外联行为看似小事,但却是对整体安全防护体系的严重破坏。它在内网与其他外部网络之间,开辟了一个不经过安全防护机制检查的“后门”,这个“后门”使整个网络的安全性大大降低。
2. 引入恶意的入侵。
非法外联具有一定的隐蔽性,管理人员不易发现,没有一定的手段,很难对此进行必要的防护,容易遭受恶意的入侵。安装着桌面操作系统的客户机的安全性明显低于网络操作系统的安全性,存在着许多安全方面的隐患,在缺少安全防护措施(如防火墙等)的条件下,很容易被攻破。来自互联网的恶意入侵者可以轻而易举地入侵和控制这台计算机,使入侵者获得网络内的合法身份,它可以访问网络中的信息资源,可以对重要服务器进行漏洞扫描、入侵尝试。如果这些服务器没有采取入侵检测等进一步的防护措施,恶意入侵者就可以比较容易地获取这些服务器的访问、控制权限,随意地窃取、篡改和删除重要敏感的数据,安装木马程序、病毒程序,中断其正常的服务,使单位蒙受巨大损失。
从上边的分析可以看出,非法外联具有很大的危害性,因此作为安全管理及监控系统,应该对非法外联的行为进行监视,一旦发现这种现象及时通知各级管理人员,在必要的情况下可自行将这些连接断开,保护内部网络的整体安全。
(四). 外围设备违规使用问题
计算机的外围设备(包括软驱、光驱、U盘、并行口、串行口、红外口、1394端口、Modem等)为各种信息在不同的计算机设备之间交流提供了一个方便的途径,通过它们可以将各种信息复制到不同的计算机中,也包括病毒、木马等。与此同时,内网中的主机上保存着一些涉密的内部信息,这些信息不能够随意地被传播。
因而有必要对外围设备的使用进行控制,不允许随意地使用外围设备拷贝机密数据。应该实现对各客户机外围设备的集中监视和控制,通过在管理端进行设置,可禁止和启用各客户机的外围设备,有效地保护计算机上的信息。同时,应当对外围设备的文件操作进行审计,记录相关信息以便发生泄密事件时进行追查。
(五). 网络共享造成泄密的问题
计算机上开设的网络共享文件夹是内网中常用的资源共享的手段,方便而且快捷。但内网中共享文件夹的访问权限往往设置为普通用户均可访问,从而大大增加了信息泄露事件发生的可能性。
因而应当对网络共享文件夹中的文件操作进行审计,记录相关信息以便发生泄密事件时追查。
(六). 随意打印文件的问题
单位常有重要的文件,如设计图纸、报表等,对这些重要且必须保密的资料的打印等操作无法监控,出现信息泄露事件也无从追溯。
同样,我们需要对打印行为进行控制和审计,严格管理打印的文件内容和份数,从而控制重要文档的传播。
网友评论