安全需求分析
安全需求分析
泄密事件是由一系列事件构成的,包括内网非法外联、木马通过外部网络进入内部网络、木马感染主机、泄密、发现泄密事件等阶段。要防止泄密事件的发生,就要阻断木马传播、主动预防、检测和清除木马,形成一个纵深的防御体系。
1对边界防护的需求
木马都是由外部网络传入内部网络的,必须在边界处进行有效的控制,防止恶意行为的发生,实现拒敌于国门之外。针对边界防护,需要考虑加强防护的方面有:
1)内网和外网间的边界防护
在条件允许的情况下,实现保密内网与外网的物理隔离,从而将攻击者、攻击途径彻底隔断。即使在部分单位,内网、外网有交换数据的需求,也必须部署安全隔离和信息交换系统,从而实现单向信息交换,即只允许外网数据传输到内网,禁止内网信息流出到外网。
2)对核心内部服务器的边界防护
内网中常包括核心服务器群、内网终端两大部分,核心服务器保存着大部分保密信息。为避免内网终端非法外联、窃密者非法获取核心服务器上的保密数据,就要实现核心服务器与内网终端间的边界防护。感染木马时,核心服务器的边界安全网关能够阻止终端的越权访问,并检查是否含有木马,然后进行清除。
但在实现网关的封堵、查杀木马的同时,要防止对系统带宽资源的严重损耗。
3)防止不安全的在线非法外联
内网与外网的连接点必须做到可管、可控,必须有效监控内网是否存在违规拨号行为、无线上网行为、搭线上网行为,避免内用户采取私自拨号等方式的访问互联网而造成的安全风险。
4)防止离线非法外联或不安全的接入行为
要限制终端设备,如PC机、笔记本,直接接入并访问内网区域,对于不符合安全条件的设备(比如没有安装防病毒软件,操作系统没有及时升级补丁,没有获得合法分配的IP地址或离线外联过),则必须禁止进入。
2对主机安全的需求
内网终端非法外联后木马入侵的目的都是最终的主机。主机的防护必须全面、及时。
1)木马病毒的查杀和检测能力的需求
由于内部网络中的计算机数量很多,要确保网络中所有计算机都安装防木马软件,并实施实施统一的防木马策略。防木马软件至少应能扫描内存、驱动器、目录、文件和Lotus Notes数据库和邮件系统;具备良好的检测和清除能力;支持网络远程自动安装功能和自动升级功能。
2)系统自身安全防护的需求
木马在主机中的隐藏、执行和攻击最后都是体现在操作系统层面。要确保操作系统及时升级,防止漏洞被木马和病毒利用。在及时升级操作系统的基础上,要实时对计算机进程、访问端口的进行监控,以及时发现异常与木马;同时要有注册表防护手段,保障木马不能修改系统信息,从而使木马不能隐藏与自动运行。
3)移动存储介质控制的需求
木马传播重要一个渠道是移动存储介质。主机系统要在移动介质接入系统时立即截获该事件,然后根据策略或者拒绝接入,或者立即对移动介质进行扫描,以阻断移动介质病毒的自动运行与传播。
4)安全审计的需求
系统的日志记录了系统的工作情况,也反应了工作人员的操作行为。审计关键主机的访问行为,可判断内部人员是否有违规的行为;同时,还可以实时发现木马的行踪,并找出深层次的安全威胁。
3对安全管理的需求
为防止泄密事件的发生,除了加强安全技术的管控外,也要加强安全管理。首先,要引入第三方安全服务,定期查看关键计算机设备的状态,以发现与解决计算机中的木马;其次,要建立应急响应机制,使得在泄密事件发生后,能及时定位与隔离涉及的主机,使安全事件能够追查到责任人。
网友评论