剑鱼网络安全监控审计系统
通用解决方案之
防止信息泄露
部门作者
/
日 期
备 注
1.前言
企业或政府单位的办公自动化和网络建设日益完善,利用网络进行各种信息传输,大大提高了办公效率,但同时也出现了很多安全问题.
一般来讲,在网络化过程中面临的安全问题包括网络系统安全和数据安全.在网络系统安全方面,需要防止网络系统遭到没有授权的存取或破坏以及非法入侵;在数据安全方面,需要防止机要,敏感数据被窃取或非法复制,使用等.黑客攻击,计算机病毒,木马后门等能够造成敏感数据泄密,对外服务瘫痪等问题,是网络面临的外部威胁.如何搭建安全的网络架构,将非法入侵者拒之门外,防止内部信息外泄,这些是网络化过程中必须解决的问题.
以往的主流安全解决方案主要采用防火墙部署在网络边界,阻止来自不安全网络的入侵;采用网络入侵检测系统对主要网段进行监控和防护,抵御已知类型的网络攻击探测行为;采用网络版防病毒软件查找并消除已知特征的病毒的攻击;甚至采用物理隔离系统阻断网络间的直接通信,以期达到阻断外来攻击的目的.这些解决方案主要是针对外部入侵的防范,对于网络内部信息保密安全管理却无任何作用.
根据以往安全状况的调查,有超过85%的安全威胁来自企业内部.随着我国网络应用的日益普及,这样的问题会越来越突出.因为在开放的网络环境下,内部上网人员可以随便复制,粘贴,上传,下载和发送网络中的文件,可以很轻松地把企业的许多重要信息数据传送或带到网络外部,从而使企业或政府单位重要信息的安全受到威胁.针对来自内部的安全威胁,采用防火墙,防病毒软件,入侵检测等技术并不能完全解决问题.要解决企业内部信息的安全管理问题,需要从分析信息泄露的途径入手,采用新的技术手段.
2.防止信息泄露的安全需求
2.1.内部人员主动窃密泄密
在信息泄露的安全事件中,最为严重的是内部人员直接造成或者参与的信息外泄.由于内部人员对内部的网络,人员,机构都很熟悉,因此造成的损失往往非常巨大!
信息外泄的途径主要有:
网络传输:即通过网络获取内部机要文件,然后再通过网络采用mail,ftp,bbs等方式将信息传递到外界.
通信设备:即通过串口,并口,调制解调器,USB,SCSI,1394总线,红外通讯设备,以及笔记本电脑使用的PCMCIA卡接口等将计算机中存储的内部机要文件传输到其他机器上.
存储设备:即通过软驱,光驱,刻录机,磁带驱动器,USB存储设备等将内部机要文件复制到相应介质上,带出单位.
例如,内部计算机操作人员被收买,泄露计算机系统软件保密措施,口令或密钥,使不法分子打入计算机网络,窃取信息系统,数据库内的重要秘密.也有内部人员将内网机密信息发到互联网上当作论文资料或聊天谈资,甚至当情报卖,这都会造成严重泄密.
2.2.内部人员被动泄密
很多情况可能造成内部人员的被动泄密,主要原因是计算机操作人员没有掌握必要的专业知识或对安全风险没有引起足够重视,例如:
电磁波辐射:计算机的电磁波辐射会泄露显示或传输的信息,如果没有采取防护措施,可能给他人提供窃密的机会.
公用磁盘:磁盘上的数据在被删除后还可以还原,如果将存贮过秘密信息的磁盘交流出去,可能造成泄密.
未开启屏幕保护:有些人因事离机时没有及时关机,也未采取屏幕保护加密措施,使各种输入,输出信息暴露在界面上,可能被他人窥取.
弱口令:设置的口令简单,易被猜解.
未加固系统:操作系统有很多漏洞,如果不及时安装补丁程序,极易遭到入侵.
设备介质遗失:笔记本电脑,软盘,光盘,U盘等存储了机密信息,如果不小心看管,一旦遗失可能造成机密外泄.
2.3.准内部人员窃密
所谓准内部人员就是产品的供应商,外来维护人员,系统开发商,其他业务伙伴,内部人员的亲朋好友等.这些人虽然不是内部人员,但通过帮助建立各种业务系统,与内部人员频繁接触,能够了解大量内部情况,甚至机密信息.
例如,机房管理不严格,无关人员可以随意进出机房;当机器发生故障时,随意叫自己的朋友或者外面的人进入机房维修;或将发生故障的计算机送修前既不做消磁处理,又不安排专人监修,造成秘密数据被窃;操作人员对涉密信息与非涉密信息没有分开存储,甚至将所有的文件都放在一个公共目录里,没有进行加密或保护处理;对网络接口没有认证和限制,使外来人员可以轻易用自带电脑接入网络,从而使内部信息处于无密可保的状态.
2.4.外部人员窃密
电子信息文档极易被复制,且不会留下明显痕迹,所以一旦入侵成功,则窃取秘密非常容易.如果内网与互联网连接,外部人员就有可能借助邮件病毒,木马,后门程序等窃取内网信息.
3.防止信息泄露安全目标
在安全法律,法规,政策的指导下,制定客户化的安全策略,采用适当的安全技术和制度化的管理,多个层次,多个角度构建网络内部信息安全保障技术框架,形成完整的网络信息系统的安全防护体系,实现:
网络内部重要信息的安全与保密.
保障网络内部信息与网络系统稳定可靠地运行
网络内部信息与网络资源受控合法地使用.
4.防信息泄露解决方案:
4.1.安全区划分
为了对网络内部大量的,分散的主机进行有效的管理,就要进行安全区的划分.将大量的分散主机安置在不同的安全区,每个安全区只包括可管理数量的主机,使内部安全管理具有可操作性.
4.2.主机资源审计与保护
准确,便捷地收集内网所有主机的相关信息,可指导我们根据不同主机的资源现状制定不同的保护手段和管理制度.主机系统计算机资源的审计和管理包括:操作系统信息管理;设备信息管理;用户和组信息管理;系统进程信息管理;系统窗口程序信息管理;已安装的Windows程序信息管理,以及已安装Windows程序的远程管理能力;网络连接状态信息管理;远程截屏能力等.
4.3.网络行为和数据传输监控
通过必要的技术手段,防止机密的信息通过各种网络应用泄漏出去,以满足客户的内部信息管理的需求.网络信息防泄密管理包括:IP地址监控,网络端口监控,网站访问监控,邮件监控,文件传输监控,拨号连接监控等.
4.4.存储设备访问复制监控
离线存储设备防泄密管理主要集中各种移动存储设备,打印机等设备的防泄密管理,通过对泄密途径的管理,来最终实现我们的离线存储设备防泄密管理需求,例如:移动硬盘,移动U盘,SCSI硬盘,软盘,光盘等.
4.5.漏洞扫描与补丁分发
通过漏洞扫描发现网络中的安全隐患,从软件厂家获取系统修补程序,以便及时安装到相应的计算机设备上,提高系统防护能力.其中包括:
漏洞扫描系统的操作和升级管理
补丁分发系统的操作和升级管理
4.6.管理和配置功能
有效的管理和配置内部安全系统是有效运营整个内部安全体系的重要前提,除了安全策略的管理,系统配置的管理,还有其他诸多的控制和管理,包括:安全策略配置和管理;多样化的安全策略优先级别;系统登录控制;远程安装,升级,卸载,不需要用户参与进一步的管理和设置;系统可用性,易用性保证.
5.防止信息泄露所采取的安全技术和产品
5.1.剑鱼网络安全监控审计系统
5.1.1.系统简介
剑鱼网络安全监控审计系统是一个解决信息泄密问题的有力的工具.它能严格监控和记录企业内部各台计算机的使用情况,具有强大的屏幕快照,网络管理,实时跟踪,运行统计,历史归档,设备管理等功能.根据管理员事先的设定,自动截取工作站的屏幕快照,应用程序运行和浏览互联网的情况,并可以根据用户需要回播这些记录来报告工作站的工作状况,可以让管理者随时了解企业的计算机用户的资源利用情况.
剑鱼网络安全监控审计系统主要实现以下目标:对内网用户进行安全监视和行为审计;从网络通信和外接设备等方面进行信息传输复制限制;管理系统资源防止受到攻击;加固系统,分发补丁.
5.1.2.剑鱼网络安全监控审计系统主要功能:
① 安全监视审计功能
硬件配置监视,可以查看指定的计算机或组的硬件配置信息.它包括用户的处理器,内存,磁盘等硬件信息,也有目前正在使用的操作系统信息.
安装软件监视,可以查看指定的计算机或组的应用软件安装信息,不仅包括当前安装的应用软件信息,也包括系统启动时自动运行的软件信息.
系统进程监视,可以查看指定的计算机或组的当前正在运行的进程信息,包括模块的名称和具体的路径.可以根据需要强行终止非法进程.
共享目录监视,可以查看指定的计算机的共享目录情况.
文件操作监视,可以查看指定的计算机或组的用户对文件或目录进行的操作,包括访问,创建,复制,移动,改名,删除,恢复以及文档打印,计算机远程访问等操作.
屏幕监视,可以查看屏幕给用户进行查看.
应用程序监视,可以查看用户使用应用程序的情况.
网站监视,在浏览网站报告里显示的是用户所浏览的网站,活动时间和百分比.
网络通讯监视.在监视报告里显示的是用户使用通讯协议的状况,包括HTTP,HTTPS,FTP,TELNET,SMTP,POP3等协议.可以很方便地查看用户使用协议的情况.
应用程序统计:可以查看该在某一段时间内用户的程序使用情况.
网站访问统计:可查看用户浏览网站情况.
历史屏幕纪录:可以查看指定计算机的历史屏幕记录.
操作日志查询:可以查看剑鱼系统管理员在控制台操作的事件记录,防止监守自盗.包括计算机基本信息设置,计算机操作,计算机控制,数据查询,输出及图像查询,规则设置,数据清除,参数设置等一系列的操作.
系统日志查询:可以指定起始与终止的时间段,在列表框中会显示系统日志信息.
② 防止信息泄露
网站访问规则:可以指定允许或禁止访问的网站.
应用程序规则,可以指定允许或禁止运行指定的应用程序.
设备规则:可以针对单个计算机进行设备的禁用和开放操作.可禁止的设备类型包括:软驱,光驱(包括刻录机),磁带驱动器,USB存储设备,串/并口,SCSI,IEEE1394总线,调制解调器,红外通讯设备,USB,以及笔记本电脑使用的PCMCIA卡接口.
禁止非法接入是指禁止没有安装客户端的计算机访问当前的计算机或计算机组,从而达到保护网络的目的.
报警与响应:可以针对组或单个计算机进行设置报警与响应操作,对违反安全策略的行为进行报警.
③ 系统资源管理
系统信息统计:可以对用户计算机中的安装程序,启动项目,硬件配置,IP/MAC地址等信息进行统计.
报表输出:可以对各种统计结果生成统一格式的报表.
④ 补丁和软件分发
软件与补丁分发可以实现同步分发软件包和执行指令,使计算机永远保持最新最佳的工作状态,避免手工操作带来的超负荷工作量.包括:
分发各种软件升级包;
打WINDOWS补丁程序;
定时分发和执行相关程序;
5.1.3.剑鱼网络安全监控审计系统的实施方案.
剑鱼网络安全监控审计系统由三个部分组成:客户端,服务器端,控制台.用户可以根据具体需要将它们安装在局域网中的计算机上.
服务器端用来存储和管理所有安装有代理模块的计算机用于监视所产生的资料,一般安装在一台具有大容量硬盘和内存的服务器上,由计算机操作员管理.注意:一个局域网中只允许在一台机器上运行服务器模块.
客户端安装在每一台需要被监视的计算机上.每次在被监视的计算机启动时,客户端会自动运行.安装有客户端的计算器具有较强的安全保护功能.客户端经过安装后在系统后台运行,用户看不到客户端的运行痕迹,可防止被非授权用户删除.用户可以利用控制台模块来实时了解安装有客户端的计算机的运行情况,并且根据需要卸载客户端.
控制台主要用于实时监视每台安装有客户端的计算机,以及查看保存在服务器上的历史资料,一般安装在公司的经过授权的管理人员的计算机上.客户端支持多种安装方式:
直接安装:在计算机上直接运行客户端的安装程序.
登录域服务器的电脑:SwordFish支持通过脚本自动分发安装客户端.
在有域服务器的网络中的电脑通过指定的用户名和密码登录域服务器,在域服务器上设置登录脚本,在目标用户登录域服务器时自动执行SwordFish客户端安装程序,这样可以方便快捷地完成剑鱼系统客户端的布置.
登录网站安装:Web安装方式通过用户登录网站即被自动安装剑鱼网络安全监控审计系统.
远程安装:对于Windows 2000,可以通过远程登录安装的方式进行安装.但需要知道对方的IP地址,管理员用户名和口令.
5.1.4.产品安装后进行的配置操作:
在安装完成后,一般应采取如下措施:
对所有计算机,都禁止使用拨号进行非法外联,防止出现安全隐患;
对所有计算机,都禁止非法主机接入,保证整个网络都与外界严格隔离,又不影响正常使用;
对所有计算机,都禁止访问除内部网站外的其他网站;
对所有计算机,都禁止运行聊天和游戏软件;
对所有计算机,都禁止修改网络属性,包括IP地址等;
对所有计算机,都强制关闭了系统的默认共享,防止出现漏洞;
对大部分计算机都禁用了通讯设备,输出设备和外接存储设备,保证从这些计算机无法将网络中的数据复制或打印.
对试图违反以上安全策略的行为以及试图改变都进行报警和采取锁定计算机的响应策略;
由主管领导亲自掌握设置屏幕监视的权限,对指定的计算机进行屏幕监视;
定期汇总统计文件操作记录,应用程序记录,网站访问记录,硬件设备记录和报警记录,检查是否有违反安全策略的行为.
5.1.5.培训及售后服务培训:
在剑鱼网络安全监控审计系统部署完成后,将安排相关系统使用者的培训,使用户尽快掌握剑鱼系统的使用和管理,力求剑鱼网络安全监控审计系统能尽快在企业中发挥更好的作用.
售后服务:
培训:
在剑鱼网络安全监控审计系统部署完成后,将安排相关系统使用者的培训,使用户尽快掌握剑鱼系统的使用和管理,力求剑鱼网络安全监控审计系统能尽快在企业中发挥更好的作用.
售后服务:
(1)我们向用户提供一年免费的产品升级服务.
(2)我们的服务机构提供的服务方式包括:现场培训,系统调试,系统初始化指导,软件运行维护等.
(3)电话服务
用户可以直接通过电话得到我们的技术支持.
理工先河公司技术支持部: 010-68467133-技术支持部
(4)邮件服务
如果用户有问题需要详细的书面解答,可以通过电子邮件与我们联系.
电子信箱:
support@thinkor.com剑鱼网络安全监控审计系统通用方案之防止信息泄露
北京理工中兴科技股份有限公司 第 页 共 10 页
地址:北京海淀区北三环西路66号理工国际教育交流中心6层 {100089}
电话: 010-68945666 传真:010-68944377
网址:
http://www.bitech.com.cn
