信息安全，刻不容緩

信息發(fā)展至今日，互聯(lián)網(wǎng)資源的雙刃劍效應日漸凸顯。來自網(wǎng)絡的安全威脅日益嚴重，如病毒傳播、網(wǎng)頁/郵件掛馬、黑客入侵、網(wǎng)絡數(shù)據(jù)竊賊，甚至系統(tǒng)內(nèi)部泄密，已經(jīng)使信息安全成為各行業(yè)信息化建設中的首要問題。最近網(wǎng)上報道的中國某軍工科研所潛艇科研項目資料被間諜網(wǎng)攻竊取的事件新聞，將信息安全話題又一次推到風口浪尖。

據(jù)國家安全部門負責人透露，我國有63.6%的企業(yè)用戶處于“高度風險”級別，近21.8%的行業(yè)對網(wǎng)絡信息安全沒有采取任何管理措施。截至09年9月，我國每年因網(wǎng)絡泄密導致的經(jīng)濟損失高達上百億。信息安全已成為與國家、組織、個人利益攸關的命題。

 

泄密途徑，外攻內(nèi)侵

根據(jù)國家《保密法》，最有效的防泄密辦法是“上網(wǎng)不涉密，涉密不上網(wǎng)”，讓有保密內(nèi)容的電腦和互聯(lián)網(wǎng)物理隔絕。然而，在許多組織的日常工作中，徹底隔絕和互聯(lián)網(wǎng)的連接既不方便，也不現(xiàn)實，正因為如此，采用技術手段對連接到互聯(lián)網(wǎng)的用戶終端施行防泄密策略顯得尤為重要。

防范聯(lián)網(wǎng)終端泄密，需要解決如下幾個方面的問題：

►用戶安全意識薄弱，終端安全級別低下。

組織一再強調(diào)，而部分人員依然缺乏安全防范意識：不按要求按照殺毒軟件，安裝了殺毒軟件不定期升級，從不及時打操作系統(tǒng)補丁，私自卸載桌面管理軟件，造成部分電腦的安全防護等級過低。既浪費了組織投資，又成為“向情報機關敞開泄密之門”的安全短板。然而，管理員苦于沒有技術手段，無法主動發(fā)現(xiàn)、自動提醒用戶，或者為終端自動安裝升級相應的軟件。

►網(wǎng)絡策反，主動泄密。

組織內(nèi)部人員未能經(jīng)受住競爭對手、諜報組織高額回扣的誘惑，將組織紅頭文件、研發(fā)資料、市場規(guī)劃、客戶資料等機密信息主動外發(fā)，導致國家、組織受損，個人付出慘痛代價。在主動泄密行為中，泄密人員通過FTP、HTTP、IM傳送文件至外網(wǎng)，通過BBS、BLOG等途徑散播組織內(nèi)部信息，在正常的業(yè)務郵件中夾帶攜帶有機密信息的郵件，故意篡改文件名、后綴名、壓縮加密后才發(fā)送等行為屢見不鮮。

而管理員若缺乏管控手段，事前無法防御，事發(fā)不能攔截。

►間諜入侵，被動泄密。

據(jù)瑞星統(tǒng)計，09年一季度平均每天有889萬余人次網(wǎng)民訪問掛馬網(wǎng)站；McAfee的研究報告顯示09年一季度黑客新劫持了1200萬臺電腦，其中18%位于美國，13.4%位于中國。

城堡最容易從內(nèi)部攻破，若用戶不慎點擊掛馬網(wǎng)頁、掛馬郵件、不經(jīng)意地安裝惡意插件、腳本而被監(jiān)控，威脅被引入內(nèi)網(wǎng)，電腦變成黑客手中的“肉雞”，組織機密不知不覺地拱手送給競爭對手。

所謂“明槍易擋，暗箭難防”，由于人員不當?shù)木W(wǎng)絡訪問行為導致的危險更是讓人無法預知和防范。

►缺乏泄密證據(jù)，事后難以追蹤

缺乏對泄密證據(jù)的留存和有效追查手段，一旦發(fā)生安全事件，無法定位責任人、無法判斷泄密程度、無法追蹤泄密文件去向。安全管理漏洞依然存在，也不能對潛在泄密者形成威懾，無形中助長泄密者的僥幸心理。

►采用國外產(chǎn)品，風險難以預知

國外諜報組織對崛起中的中國的一切都很有興趣。近年來大量國外廠商推出“云”概念，通過集中本公司遍布全球的產(chǎn)品網(wǎng)收集到的信息，為客戶提供共享服務。但開放與安全是一對矛盾體，共享的可能不僅僅是可以公開的內(nèi)容，存在難以預知的泄密風險。

 

規(guī)避泄密，以網(wǎng)絡行為為本

針對如上安全風險，深信服科技總結(jié)多年來基于用戶需求的上網(wǎng)行為管理產(chǎn)品研發(fā)經(jīng)驗，提出如下解決方案：

►精準識別上網(wǎng)用戶身份、保證行為與用戶一一對應

防范泄密風險的前提，是對泄密事件、行為的準確定義，尤其認定用戶身份的重要性不言而喻。

對上網(wǎng)人員的身份認定有多種方式：需用戶手動參與的Web認證、無需用戶參與的IP/MAC認證、USBkey硬件認證、AD/POP3/Proxy單點登錄認證、第三方LDAP/Radius/AD服務器聯(lián)動認證等，可結(jié)合組織各部門的具體情況選擇合適的認證方式。

►最小化訪問權限，控制BBS等外發(fā)內(nèi)容

間諜的目標對象不僅僅是大型文件，組織用戶通過BBS、BLOG、IM等公開的蛛絲馬跡也可能湊出一幅完整的拼圖。

通過預分類URL庫和融合人工智能的“網(wǎng)頁智能識別”技術、應用控制技術，管理員可根據(jù)各部門涉密級別設定如下策略：封堵論壇、博客、BBS等網(wǎng)站；訪問權限差異化，僅滿足部門業(yè)務要求的最小化網(wǎng)絡訪問權限；采取“看貼不能發(fā)帖”“webmail能收不能發(fā)郵件”功能平衡人性化和信息保護；基于多關鍵字過濾敏感信息（發(fā)帖、郵件），一旦匹配到相關關鍵字，馬上攔截并發(fā)起告警。

►郵件過濾與延遲審計

郵件承載著組織日常溝通和業(yè)務開展所需數(shù)據(jù)，為了從正常業(yè)務郵件中過濾潛在的泄密郵件，管理員可設定基于關鍵字、收發(fā)件地址、附件類型/大小/個數(shù)、收件人個數(shù)等條件的郵件攔截策略，一旦匹配，馬上攔截并發(fā)起告警。

對于涉密級別較高的部門，建議管理員采用“郵件延遲審計”技術，設定攔截條件（全部攔截或有條件地攔截），一旦匹配，該郵件將被扣留不予發(fā)送，待審計員人工審核后再做處理，機密保護更進一步。

►基于特征的外發(fā)文件類型識別

泄密者往往刪除或篡改文件擴展名，壓縮或加密文件后再外發(fā)，鉆傳統(tǒng)設備的漏洞以躲避識別和管理。所以，必須通過“文件特征”識別真正文件類型，解壓識別被壓縮的文件類型，并向管理者報警，杜絕企圖逃避管理的泄密外發(fā)行為。

►封堵木馬、黑客遠程控制

安全意識薄弱、安全級別低下的終端在威脅泛濫的互聯(lián)網(wǎng)上極易感染木馬、間諜軟件，或被黑客控制。

為了防患于未然，管理員應攔截成人、xxx網(wǎng)站等病毒、木馬的溫床，過濾危險腳本、惡意插件，并依據(jù)終端安全級別賦予上網(wǎng)權限。一旦終端不幸感染，并通過80、221等常規(guī)端口外發(fā)信息， “危險流量識別”模塊能有效識別、報警、封堵，提供全方位保護。

►記錄泄密證據(jù)，確保有據(jù)可查

為了追蹤安全事件責任人、了解泄密程度、定位泄密文件去向，組織必須保留適當期限的外發(fā)信息日志、上網(wǎng)日志，并通過圖形化的日志統(tǒng)計、查詢、檢索工具，快速定位可疑行為。

AC提供“泄密風險智能報表”能根據(jù)管理者設定的行為特征自動挖掘（如外發(fā)郵件關鍵字、使用http上傳次數(shù)），及時發(fā)現(xiàn)潛在的泄密用戶、泄密行為，并自動發(fā)送至指定郵箱，以更少的工作量實現(xiàn)更超前的泄密風險偵測。

為保障信息安全，建議管理員為組織高層領導配發(fā)“免審計Key”免除過分審計帶來的泄密風險，配備“日志查看權限key”保護日志信息安全。

►加強終端用戶安全級別的防護

終端用戶安全防范意識薄弱是被動泄密的根源，為主動增強終端安全級別，管理員可采用終端檢查與網(wǎng)絡準入功能，使用AC定期檢查指定用戶終端操作系統(tǒng)版本、補丁安裝情況，指定殺毒/防火墻軟件的安裝、運行、更新情況，以及檢查終端硬盤文件、注冊表、系統(tǒng)進程，禁用非法外聯(lián)線路，甚至自行編寫腳本程序?qū)崿F(xiàn)終端個性化檢查。對于不符合組織安全要求或IT制度的終端，可禁止其上網(wǎng)或警告提醒，從而強化促使用戶”自覺”提升終端安全性，強化組織的內(nèi)網(wǎng)安全環(huán)境。

互聯(lián)網(wǎng)上沒有絕對的安全，也沒有完美的解決方案，提高用戶安全意識，配合技術手段，才是防范泄密風險的根本應對之策。

 

典型部署圖：

 

 

標簽： 安全 防火墻 防火墻軟件 服務器 互聯(lián)網(wǎng) 腳本 漏洞 美國 企業(yè) 權限 網(wǎng)絡 網(wǎng)站 問題 信息安全 信息化 行業(yè) 選擇 用戶

版權申明：本站文章部分自網(wǎng)絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。