洪躍強(qiáng) 許元進(jìn)

?

內(nèi)網(wǎng)終端數(shù)據(jù)安全防護(hù)解決方案

洪躍強(qiáng) 許元進(jìn)

福建伊?xí)r代信息科技股份有限公司

1 背景及市場(chǎng)分析

目前絕大多數(shù)企事業(yè)單位都把信息安全的重點(diǎn)放在防范外部的攻擊，并依賴于防火墻、防病毒、入侵檢測(cè)等軟件。由于IP地址非法占用、盜用、非法外聯(lián)、補(bǔ)丁更新滯后、新型病毒、垃圾郵件、內(nèi)部人員的信息外泄和黑客入侵而導(dǎo)致的安全事故時(shí)有發(fā)生, 威脅業(yè)務(wù)的正常運(yùn)行和信息資產(chǎn)的安全。傳統(tǒng)的以組織邊界和核心資產(chǎn)為保護(hù)對(duì)象，以外部防御為基礎(chǔ)的安全體系逐漸顯示出嚴(yán)重的缺陷，無法有效應(yīng)對(duì)當(dāng)前終端安全威脅，各企事業(yè)單位都迫切需要整合、統(tǒng)一部署一個(gè)獨(dú)立的、可靠的、有效的、易管理的內(nèi)網(wǎng)終端數(shù)據(jù)安全防護(hù)系統(tǒng)，以全面消除安全隱患，保障網(wǎng)絡(luò)正常運(yùn)行和信息資產(chǎn)的安全。因此，內(nèi)網(wǎng)終端安全防護(hù)產(chǎn)品的市場(chǎng)需求量在逐年增大。

2 主要技術(shù)分析

目前，“終端數(shù)據(jù)安全”已經(jīng)成為人們普遍關(guān)注的信息安全熱點(diǎn)問題之一，尤其是關(guān)于它的整體解決方案。在這里，我們重點(diǎn)介紹 “內(nèi)網(wǎng)終端數(shù)據(jù)安全防護(hù)系統(tǒng)”。

首先，講述幾個(gè)常用的概念，包括數(shù)據(jù)、終端、用戶、操作。

所謂數(shù)據(jù)，就是能被計(jì)算機(jī)加工處理、保存、傳輸?shù)臄?shù)字串、數(shù)字塊。如果它還承載著某種內(nèi)涵，就成為了信息。終端是一個(gè)統(tǒng)稱概念，它有可能是主機(jī)，或PC，也有可能是打印等設(shè)備。在本解決方案中，主要指的是主機(jī)設(shè)備。而擁有終端設(shè)備的使用者就是用戶。圍繞某種需要，用戶和終端進(jìn)行人機(jī)對(duì)話的過程，就稱為操作過程。

如果某種信息對(duì)擁有者來說很重要，并因此不便讓無關(guān)人員知道，或者擴(kuò)散會(huì)造成經(jīng)濟(jì)損失，那么這樣的信息就成了“敏感信息”。

“內(nèi)網(wǎng)終端數(shù)據(jù)安全防護(hù)系統(tǒng)”在邏輯上對(duì)“敏感信息”進(jìn)行了分級(jí)管理，并設(shè)置了擴(kuò)散邊界，而且對(duì)組織內(nèi)部（就是設(shè)定的網(wǎng)絡(luò)系統(tǒng)內(nèi)）的每臺(tái)終端的操作過程進(jìn)行監(jiān)控和記錄日志，必要時(shí)還可以適時(shí)阻止可能的非法操作行為，因此有效保護(hù)了組織內(nèi)部的信息安全。這個(gè)系統(tǒng)所涉及的安全管理內(nèi)容包括：安全域邊界管理、移動(dòng)存儲(chǔ)介質(zhì)管理、終端接入和外聯(lián)管理、資產(chǎn)變更管理、終端外設(shè)管理、補(bǔ)丁及文件分發(fā)和終端操作審計(jì)等方面，以此保證對(duì)數(shù)據(jù)存儲(chǔ)、傳輸和使用的整個(gè)過程進(jìn)行控制、保護(hù)和審計(jì)，達(dá)到事前防范、事中巡查和事后審計(jì)，全方位確保組織內(nèi)部的信息安全。

2.1 安全審計(jì)系統(tǒng)

安全審計(jì)是系統(tǒng)的重要組成部分，對(duì)于安全策略的實(shí)施和終端監(jiān)控系統(tǒng)的有效運(yùn)行起著重要作用。提供實(shí)時(shí)、集中、可視化的對(duì)終端主機(jī)的運(yùn)行狀況、用戶操作情況等進(jìn)行監(jiān)控審計(jì)，便于對(duì)系統(tǒng)在運(yùn)行過程中的安全性進(jìn)行綜合分析與評(píng)估，檢測(cè)和阻止非法用戶對(duì)系統(tǒng)的入侵。

2.2 數(shù)據(jù)信息的安全存儲(chǔ)

終端數(shù)據(jù)信息的安全存儲(chǔ)主要是通過網(wǎng)絡(luò)文件保險(xiǎn)柜來實(shí)現(xiàn)的。網(wǎng)絡(luò)文件保險(xiǎn)采用軟硬結(jié)合，由安全存儲(chǔ)服務(wù)器、管理配置引擎、存儲(chǔ)客戶端、文件或數(shù)據(jù)庫(kù)備份恢復(fù)引擎、本地加密盤、USBKEY認(rèn)證部件、PC終端文件透明加解密防泄漏驅(qū)動(dòng)模塊等組成，通過定制安全內(nèi)核、加密傳輸、安全訪問控制、文件系統(tǒng)加密等技術(shù)實(shí)現(xiàn)了重要數(shù)據(jù)信息的安全存儲(chǔ)，有效的保護(hù)終端數(shù)據(jù)信息的安全。

2.3 安全監(jiān)控策略描述與一致性檢查

安全監(jiān)控策略是系統(tǒng)的重要組成部分，它是將各方面的安全規(guī)章制度融合在一起的關(guān)鍵。安全監(jiān)控策略要實(shí)現(xiàn)用戶、主機(jī)、數(shù)據(jù)信息、操作四者有機(jī)的關(guān)聯(lián)，由此從抽象的角度來看，安全監(jiān)控策略可以用如下四者的關(guān)系來描述：用戶權(quán)限等級(jí)、主機(jī)集合、數(shù)據(jù)信息等級(jí)、數(shù)據(jù)操作動(dòng)作集。

由此在一個(gè)內(nèi)部網(wǎng)絡(luò)中可能會(huì)存在多種用戶權(quán)限和多個(gè)數(shù)據(jù)信息等級(jí)，這對(duì)安全監(jiān)控策略的描述造成了一定的困難，主要在于安全監(jiān)控策略有可能會(huì)在具體的數(shù)據(jù)使用過程中發(fā)生變化，如某個(gè)特定用戶權(quán)限等級(jí) R，需要對(duì)某個(gè)數(shù)據(jù) D的操作權(quán)限進(jìn)行改寫，但同時(shí)保持 R 級(jí)用戶對(duì)與 D 同等級(jí)的數(shù)據(jù)信息的操作權(quán)限不變，這時(shí)就需要系統(tǒng)管理員重新設(shè)定對(duì)應(yīng)的安全策略，但新的安全策略與前 D 等級(jí)數(shù)據(jù)信息的安全策略發(fā)生了沖突。解決沖突的辦法有多種，可以采用針對(duì)數(shù)據(jù) D 重新建立一個(gè)數(shù)據(jù)信息等級(jí)的方法來解決與原 D 同等級(jí)數(shù)據(jù)安全策略的沖突，但這種解決方式會(huì)造成數(shù)據(jù)信息等級(jí)越來越多，安全策略設(shè)置混亂，從而不利于系統(tǒng)管理員統(tǒng)一管理。

在系統(tǒng)中采用抽象策略與具體策略的方法來加以解決。抽象策略只是描述某個(gè)抽象等級(jí)信息，而具體策略由抽象策略的子類實(shí)例生成。例如上述的 D 數(shù)據(jù)所屬的信息數(shù)據(jù)等級(jí)可以利用抽象策略表示成：。而具體的 D 數(shù)據(jù)則是其子類，由此可以表示成：。

當(dāng)系統(tǒng)管理員由抽象安全策略生成新的具體安全策略后，可以由監(jiān)控服務(wù)器進(jìn)行安全策略一致性檢查，檢查的依據(jù)是子類可以繼承父類的安全策略，或者其操作權(quán)限、數(shù)據(jù)集合、主機(jī)集合和操作集合必須是其父類的子集。如上述對(duì)應(yīng) D 數(shù)據(jù)的新安全策略，操作動(dòng)作集合必須是抽象安全策略的子集。

2.4 終端探針的實(shí)現(xiàn)

本系統(tǒng)主要采用的探針技術(shù)，分布在內(nèi)網(wǎng)各終端中實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)各終端活動(dòng)的安全監(jiān)控，終端探針嵌入到內(nèi)網(wǎng)終端中的獨(dú)立監(jiān)控軟件，它與監(jiān)控服務(wù)器配合，監(jiān)視主機(jī)活動(dòng)，并將終端活動(dòng)報(bào)告發(fā)送至監(jiān)控服務(wù)器中。終端探針實(shí)現(xiàn)的關(guān)鍵在于終端探針與監(jiān)控服務(wù)器交互、探針監(jiān)控原理的實(shí)現(xiàn)，終端與探針的綁定。

終端探針監(jiān)控原理的實(shí)現(xiàn)主要是利用監(jiān)控終端的文件系統(tǒng)，以及操作系統(tǒng)API 調(diào)用監(jiān)控來實(shí)現(xiàn)的。針對(duì)終端的文件系統(tǒng)操作，檢查操作目標(biāo)文件是否屬于安全監(jiān)控的范圍，如果屬于，則進(jìn)一步檢查文件操作的屬性。從而確定用戶的操作是否符合安全策略的規(guī)定，如果用戶操作超過了安全策略的規(guī)定，則探針將直接中止用戶的相應(yīng)操作。

終端與探針的綁定可以通過終端的硬件參數(shù)生成唯一標(biāo)識(shí)碼，由標(biāo)識(shí)碼來生成終端探針的標(biāo)識(shí)號(hào)。終端探針在獲得標(biāo)識(shí)號(hào)之后，即可以利用標(biāo)識(shí)號(hào)來生成相應(yīng)的加密/ 解密密鑰對(duì)，并將加密密鑰發(fā)送至監(jiān)控服務(wù)器，并使用密鑰對(duì)與監(jiān)控服務(wù)器交互的數(shù)據(jù)進(jìn)行簽名。由此，監(jiān)控服務(wù)器即可針對(duì)終端探針發(fā)送的數(shù)據(jù)進(jìn)行簽名認(rèn)證，確認(rèn)數(shù)據(jù)的來源，并將監(jiān)控信息確認(rèn)到對(duì)應(yīng)的終端。

3 系統(tǒng)安全性分析

作為一個(gè)安全監(jiān)控系統(tǒng)，系統(tǒng)必須要有自身的安全性保障措施以應(yīng)對(duì)可能存在的安全威脅，由于監(jiān)控服務(wù)器主要是在內(nèi)部網(wǎng)絡(luò)中運(yùn)行，所以它面對(duì)的安全威脅主要有3 種：

（1）終端探針被破壞，無法起到安全監(jiān)控的作用；

（2）被偽造的終端探針監(jiān)控?cái)?shù)據(jù)所欺騙；

（3）針對(duì)監(jiān)控服務(wù)器發(fā)動(dòng)的 DDOS 攻擊，致使監(jiān)控服務(wù)器發(fā)生癱瘓。

針對(duì)第一種安全威脅，本系統(tǒng)采用心跳線技術(shù)來解決，心跳線按規(guī)定周期向終端探針服務(wù)器發(fā)送狀態(tài)數(shù)據(jù)，該數(shù)據(jù)由終端探針加上時(shí)間戳后再加密生成，由此服務(wù)器可以根據(jù)心跳線數(shù)據(jù)判斷終端探針的工作狀態(tài)，一旦終端探針在工作狀態(tài)下停止發(fā)送心跳線數(shù)據(jù)，則其必然有故障發(fā)生，服務(wù)器將向管理員發(fā)出警報(bào)。

針對(duì)第二種安全威脅，主要是監(jiān)控?cái)?shù)據(jù)或者心跳線數(shù)據(jù)可能被偽造。但在本系統(tǒng)中，心跳線數(shù)據(jù)采用時(shí)間戳加密的方式，攻擊者是無法偽造的，至于監(jiān)控?cái)?shù)據(jù)也采用時(shí)間戳加上監(jiān)控?cái)?shù)據(jù)以及數(shù)據(jù)簽名的方式，使得攻擊者無法偽造監(jiān)控?cái)?shù)據(jù)。

針對(duì)第三種安全威脅，本系統(tǒng)采用監(jiān)控?cái)?shù)據(jù)異常報(bào)警的方式來加以解決，即當(dāng)監(jiān)控服務(wù)器的可利用資源降低到一定閾值后，即向管理員發(fā)出警報(bào)，請(qǐng)求管理員對(duì)內(nèi)網(wǎng)運(yùn)行狀態(tài)進(jìn)行檢查或?qū)ΡO(jiān)控服務(wù)器資源進(jìn)行升級(jí)處理。

該安全防護(hù)系統(tǒng)實(shí)現(xiàn)核心是位于內(nèi)網(wǎng)主機(jī)的終端探針采用分布的方式，采集內(nèi)網(wǎng)各終端的活動(dòng)數(shù)據(jù)。由于采用了終端探針標(biāo)識(shí)號(hào)，加解密和數(shù)據(jù)簽名的數(shù)據(jù)認(rèn)證技術(shù)，保證了監(jiān)控?cái)?shù)據(jù)可信。同時(shí)采用探針與監(jiān)控服務(wù)器分離的方式使得本系統(tǒng)具有良好的可擴(kuò)展性，而心跳線技術(shù)保證監(jiān)控服務(wù)器隨時(shí)掌握各終端探針的狀態(tài)。雖然從體系結(jié)構(gòu)上看，監(jiān)控服務(wù)器也可能會(huì)存在性能瓶頸，造成整個(gè)系統(tǒng)的效率降低，但這可以通過資源升級(jí)和優(yōu)化加以解決。

4 系統(tǒng)實(shí)現(xiàn)目標(biāo)

如何更好地實(shí)現(xiàn)主動(dòng)防御和事前防范，首要工作是制定一套切實(shí)可行的安全策略。終端安全的所有動(dòng)作都遵循此安全策略進(jìn)行，系統(tǒng)提供默認(rèn)安全策略，同時(shí)提供客戶自定義安全策略，在客戶設(shè)置完成后可以通過策略查詢功能查詢安全域的安全策略設(shè)置情況，從而使使用者了解自己網(wǎng)絡(luò)安全設(shè)置情況，通過分析安全策略的設(shè)置發(fā)現(xiàn)可能出現(xiàn)的安全問題，使用者對(duì)自身網(wǎng)絡(luò)安全心中有數(shù)。重點(diǎn)解決了如下問題：

4.1 確保內(nèi)部信息與網(wǎng)絡(luò)資源受控合法使用；

4.2 確保內(nèi)部重要信息的安全與保密；

4.3 實(shí)現(xiàn)了接入終端用戶的身份認(rèn)證；

4.4 實(shí)現(xiàn)對(duì)重要信息的加密處理；

4.5 實(shí)現(xiàn)存儲(chǔ)介質(zhì)（包括硬盤、軟盤、移動(dòng)存儲(chǔ)介質(zhì)等）的保護(hù)；

4.6 實(shí)現(xiàn)對(duì)終端計(jì)算機(jī)端口和設(shè)備（如并口、串口、USB口、紅外端口和藍(lán)牙設(shè)備等）的控制；

4.7 實(shí)現(xiàn)終端用戶的安全連接，防止非法接入和非法外聯(lián)，保證網(wǎng)內(nèi)數(shù)據(jù)的安全使用；

4.8 實(shí)現(xiàn)對(duì)終端計(jì)算機(jī)網(wǎng)絡(luò)行為和用戶行為的控制；

4.9 實(shí)現(xiàn)登錄身份認(rèn)證，保證用戶的合法性；

4.10 實(shí)現(xiàn)對(duì)打印的控制和審計(jì)；

4.11 實(shí)現(xiàn)事前控制、事中報(bào)警和事后審計(jì)的完整體系。

5 結(jié)論

本解決方案的設(shè)計(jì)目標(biāo)是在最小安全投資的前提下，在對(duì)網(wǎng)絡(luò)結(jié)構(gòu)不改變的情況下，不添加更多的硬件設(shè)備，不對(duì)用戶的使用造成不便，最大限度地管理內(nèi)部網(wǎng)絡(luò)系統(tǒng)和終端信息的安全，通過以事前防范為主并結(jié)合事中巡查和事后審計(jì)等相關(guān)技術(shù)，能夠有效地對(duì)企事業(yè)單位的終端數(shù)據(jù)進(jìn)行綜合安全防護(hù)管理。

[1] 王良.終端安全防護(hù)產(chǎn)品的設(shè)計(jì)及其安全性分析[EB/OL].http//www.rier. com. cn/showjiush.asp?id=163

[2] 沈昌祥.基于積極防御的安全保障框架[J].計(jì)算機(jī)研究與發(fā)展,2003,(10).

[3] 趙勇,劉吉強(qiáng),韓臻,沈昌祥.信息泄露防御模型在企業(yè)內(nèi)網(wǎng)安全中的應(yīng)用[J].計(jì)算機(jī)研究與發(fā)展,2007,（5）.