魏 冉

(西山煤電(集團)公司 安全培訓(xùn)中心，山西 太原 030053)

網(wǎng)絡(luò)上的數(shù)據(jù)泄密途徑繁多，對敏感數(shù)據(jù)的非法獲取也變得非常具有針對性。以前的黑客是為了證明自己的技術(shù)來進行相關(guān)的攻擊行為，現(xiàn)在的入侵更多具備了非常明確的經(jīng)濟利益或者達到其它目的。

1 傳統(tǒng)安全漏洞

當(dāng)今的網(wǎng)絡(luò)行為中，存在較常見的安全漏洞有以下幾種:

1)系統(tǒng)本身的安全功能缺失。重要的企業(yè)資料、文件、程序可被隨意留存在本地電腦的硬盤存儲中，容易私自傳播造成泄密;由于軟件系統(tǒng)本身的安全防范能力不足，而被破解用戶名密碼或者越權(quán)訪問;本地局域網(wǎng)中因為明文傳輸導(dǎo)致信息很容易被復(fù)制而泄露。

2)個人行為。通過USB便攜存儲設(shè)備私自拷貝，利用打印機打印資料帶走;私自通過其它的網(wǎng)絡(luò)鏈路泄密;在互聯(lián)網(wǎng)言論上無意識泄密。

3)難以防范的惡意攻擊行為:終端中了惡意的病毒或者木馬，相關(guān)信息被竊取;黑客的外部攻擊行為。

2 利用前沿網(wǎng)絡(luò)技術(shù)應(yīng)對信息泄密的方法

針對越來越嚴(yán)峻的信息泄密挑戰(zhàn)，以下前沿的網(wǎng)絡(luò)技術(shù)組合應(yīng)用可以高效地保護企事業(yè)單位的信息安全。

1)在重要業(yè)務(wù)系統(tǒng)信息安全保障方面:通過SSL VPN技術(shù)實現(xiàn)遠程用戶的安全接入及內(nèi)網(wǎng)的邏輯隔離，對接入用戶接入前進行強身份認證、接入后進行訪問權(quán)限劃分、訪問時進行數(shù)據(jù)加密及記錄、訪問后進行本地電腦數(shù)據(jù)清除。

2)在防止通過互聯(lián)網(wǎng)泄密方面:通過上網(wǎng)行為管理技術(shù)實現(xiàn)含組織機密關(guān)鍵詞外發(fā)信息的封堵攔截及記錄，對黑客攻擊行為進行防范，對木馬竊取機密信息等危險流量進行識別及封堵。通過NAC網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)實現(xiàn)對內(nèi)網(wǎng)終端PC進程的監(jiān)控統(tǒng)計，檢測操作系統(tǒng)是否打補丁、殺毒軟件是否更新等，達不到安全條件禁止上互聯(lián)網(wǎng)，防止黑客及病毒乘虛而入。同時NAC網(wǎng)絡(luò)準(zhǔn)入控制可以監(jiān)測內(nèi)網(wǎng)用戶的上網(wǎng)線路，防止私接網(wǎng)3G、無線網(wǎng)絡(luò)，不走組織統(tǒng)一互聯(lián)網(wǎng)出口，逃避上網(wǎng)行為管理。

3)在防止內(nèi)網(wǎng)用戶通過USB口拷貝、打印機打印泄密方面:NAC網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)可以有效防止。

4)針對以上三種技術(shù)，目前實際應(yīng)用中有硬件產(chǎn)品也有軟件產(chǎn)品，以硬件產(chǎn)品舉例在一般典型用戶網(wǎng)絡(luò)中的應(yīng)用，見圖1。

部署設(shè)備說明:

圖1 硬件產(chǎn)品在一般典型用戶網(wǎng)絡(luò)中的應(yīng)用

a)部署SSL VPN設(shè)備在服務(wù)器群組，利用SSL VPN的認證技術(shù)、加密技術(shù)、授權(quán)訪問控制、沙盒技術(shù)以及訪問記錄能力對重要的業(yè)務(wù)系統(tǒng)實現(xiàn)高安全性保護。

b)在互聯(lián)網(wǎng)出口處部署上網(wǎng)行為管理設(shè)備，利用上網(wǎng)行為管理的互聯(lián)網(wǎng)行為管理能力、網(wǎng)絡(luò)行為記錄能力，實現(xiàn)對通過互聯(lián)網(wǎng)泄密行為的嚴(yán)格管理，同時對來自外網(wǎng)的黑客攻擊行為進行防范，實現(xiàn)危險流量的識別和過濾。

c)單臂模式使用網(wǎng)絡(luò)準(zhǔn)入控制NAC，包括監(jiān)控內(nèi)網(wǎng)中PC終端的安全信息、網(wǎng)絡(luò)接口行為、外設(shè)接口行為等，對終端防泄密進行管理控制。

整體方案能全面地解決數(shù)據(jù)防泄密問題，部署簡單，是業(yè)務(wù)系統(tǒng)信息安全保障的最佳方案。

3 業(yè)界領(lǐng)先的功能及技術(shù)

目前業(yè)界主要應(yīng)用的SSL VPN、上網(wǎng)行為管理、NAC網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)具備以下功能及特點:

1)SSL VPN功能應(yīng)用點。a)認證技術(shù):SSL VPN可用的認證技術(shù)包括用戶名密碼、USB KEY、短信認證、硬件特征碼綁定、動態(tài)令牌等。b)數(shù)據(jù)傳輸加密:SSL VPN采用業(yè)內(nèi)標(biāo)準(zhǔn)的加密技術(shù)，確保所有數(shù)據(jù)在終端到服務(wù)器傳輸過程不被盜取、修改，保證安全性和完整性。c)資源訪問授權(quán):SSL VPN具有多達16級的分級組織權(quán)限系統(tǒng)，能細致控制每一個系統(tǒng)訪問者的權(quán)限，有效防止越權(quán)訪問。d)數(shù)據(jù)中心:包括詳細的記錄、使用趨勢和總量的分析、資源的活躍度等，實現(xiàn)對系統(tǒng)訪問過程的完整記錄，并提供管理分析數(shù)據(jù)。e)沙盒技術(shù):使用了沙盒技術(shù)之后，在訪問的終端將生產(chǎn)一個虛擬的安全桌面，可以針對相關(guān)的資源限制只能在這個安全桌面中訪問。

2)上網(wǎng)行為管理功能應(yīng)用點及技術(shù)。a)內(nèi)容深度過濾能力:通過對互聯(lián)網(wǎng)外發(fā)信息的管理，包括郵件、發(fā)帖、上傳文件等，實現(xiàn)對內(nèi)網(wǎng)機密數(shù)據(jù)的安全保護，并通過審閱系統(tǒng)和告警系統(tǒng)實現(xiàn)及時的泄密行為管理。b)網(wǎng)絡(luò)行為的安全記錄功能:利用詳細的網(wǎng)絡(luò)行為記錄實現(xiàn)對泄密傾向的事前分析、后續(xù)追查等效果。c)郵件延遲審計:在內(nèi)網(wǎng)用戶外發(fā)郵件之前先攔截下來給網(wǎng)管員審計，含有機密信息的攔截，沒有關(guān)鍵信息的放行。

3)NAC網(wǎng)絡(luò)準(zhǔn)入控制功能應(yīng)用點。a)終端安全:殺毒軟件檢測、windows補丁檢測。b)桌面管理:終端應(yīng)用程序使用統(tǒng)計、USB防拷貝、防止紅外傳輸、傳真打印等。c)管理外網(wǎng)線路檢測:檢測并禁止包括3G、自行配置的其它上網(wǎng)鏈路等。d)虛擬隔離區(qū):NAC方案依據(jù)終端安全級別評估結(jié)果，不同用戶、不同安全級別的終端進入相應(yīng)隔離區(qū)。管理員可依據(jù)各隔離區(qū)的安全級別設(shè)置網(wǎng)絡(luò)服務(wù)控制策略、分配互聯(lián)網(wǎng)訪問權(quán)限和與其它隔離區(qū)的通訊權(quán)限，拒絕安全級別不足的隔離區(qū)中的終端與正常通過安全策略檢測的終端進行通訊。

4 前沿網(wǎng)絡(luò)的優(yōu)勢價值

1)與傳統(tǒng)DLP(數(shù)據(jù)丟失防范)方案對比。數(shù)據(jù)泄露防護(Data leakage prevention，DLP)，又稱為“數(shù)據(jù)丟失防護”(Data Loss prevention，DLP)，有時也稱為“信息泄漏防護”(Information leakage prevention，ILP)。數(shù)據(jù)泄漏防護是通過一定的技術(shù)手段，防止企業(yè)的指定數(shù)據(jù)或信息資產(chǎn)以違反安全策略規(guī)定的形式流出企業(yè)的一種策略。

傳統(tǒng)DLP方案的不足。傳統(tǒng)DLP方案更多關(guān)注點在于企業(yè)內(nèi)部文件的加密管理，而對于信息來說，存在管理的盲點。比如內(nèi)部員工看了相關(guān)的文件資料之后，通過個人言論在網(wǎng)絡(luò)上泄露出去，傳統(tǒng)的DLP方案是難以針對這種網(wǎng)絡(luò)通訊做有效管理的。傳統(tǒng)DLP方案不重視對應(yīng)用系統(tǒng)的保護，無法有效實現(xiàn)系統(tǒng)中存在或者產(chǎn)生的信息和相關(guān)文件進行保護。傳統(tǒng)DLP方案實施需要花費大量的精力，如必須進行前期的企業(yè)使用情況調(diào)研、初步實施、試點、最后再全部實施。傳統(tǒng)DLP方案會更改企業(yè)內(nèi)部用戶的文件使用習(xí)慣，從而帶來業(yè)務(wù)效率降低，在推行時也會遇到相當(dāng)?shù)淖枇Α?/p>

2)前沿技術(shù)信息安全保障方案的特點。整體的方案能更好實現(xiàn)數(shù)據(jù)在系統(tǒng)授權(quán)訪問中、傳輸鏈路中以及在終端使用上的保密。更容易的方案部署，增加設(shè)備無需對現(xiàn)有的網(wǎng)絡(luò)架構(gòu)和系統(tǒng)使用習(xí)慣做任何的改變，就能快速有效地形成對數(shù)據(jù)的防泄密保護，無需因為安全需要而降低業(yè)務(wù)效率。快速部署，經(jīng)過調(diào)查、購買和實施，最快在幾天之內(nèi)就能實現(xiàn)對數(shù)據(jù)保護的全面提升。

3)信息安全保障方案的價值。

a)彌補了重要業(yè)務(wù)系統(tǒng)本身安全短板。保證了企事業(yè)單位重要資料不被私自留存和傳播:讓承載重要資料的業(yè)務(wù)系統(tǒng)運行在SSL VPN的沙盒安全桌面上，沙盒技術(shù)保證資料不能被保留在本地，不能被使用USB存儲設(shè)備拷貝，不能通過網(wǎng)絡(luò)發(fā)給其它的內(nèi)網(wǎng)或者外網(wǎng)計算機，確保數(shù)據(jù)安全性。保證系統(tǒng)訪問的安全性:SSLVPN利用其豐富可靠的認證系統(tǒng)，包括使用USB KEY、動態(tài)令牌、短信認證、PC硬件特征綁定等技術(shù)，通過主從賬號綁定實現(xiàn)對系統(tǒng)認證系統(tǒng)的加強，保證賬號的安全性。數(shù)據(jù)在傳輸過程中的安全:利用SSL VPN高效而可靠的加密技術(shù)，完全規(guī)避在內(nèi)網(wǎng)中被惡意用戶或者被控制終端通過端口復(fù)制或者鏡像截取技術(shù)的泄密風(fēng)險。

b)管理組織中個人的泄密行為。終端檢測技術(shù)方式，防止終端發(fā)生泄密行為:終端檢測阻止包括防止使用USB存儲設(shè)備，私自的3G網(wǎng)卡或者其他不被管理的網(wǎng)絡(luò)接口泄密行為，沙盒技術(shù)還能阻止關(guān)鍵文件的私自打印。通過網(wǎng)絡(luò)通訊內(nèi)容的深度檢測，阻止企業(yè)重要信息通過互聯(lián)網(wǎng)泄露:部署于互聯(lián)網(wǎng)出口的上網(wǎng)行為管理設(shè)備，可以對所有的互聯(lián)網(wǎng)流量信息進行深度分析和檢測，利用網(wǎng)絡(luò)的關(guān)鍵字封堵、郵件過濾、內(nèi)容分析以及其他網(wǎng)絡(luò)行為管理，及時封堵和發(fā)現(xiàn)內(nèi)網(wǎng)用戶有意識或者無意識的泄密行為。

c)加強安全隱患的分析、管理。SSL VPN以及NAC中數(shù)據(jù)中心豐富數(shù)據(jù)挖掘能力，能智能形成多達1 000種以上報表，幫助進行網(wǎng)絡(luò)通訊管理分析，提前規(guī)避法律法規(guī)風(fēng)險，提前防范相關(guān)泄密問題。檢測終端的安全信息，包括殺毒軟件、系統(tǒng)補丁、非法的進程、注冊表鍵值等，同時還可以主動阻斷終端發(fā)出的危險鏈接流量，防止危險內(nèi)網(wǎng)終端電腦泄露組織的機密信息。在現(xiàn)有的經(jīng)濟環(huán)境中，如何實現(xiàn)高度安全、高性價比、高投資回報的網(wǎng)絡(luò)構(gòu)建，實現(xiàn)網(wǎng)絡(luò)價值的最大化，通過多種技術(shù)讓網(wǎng)絡(luò)互聯(lián)快速安全地為企業(yè)的日常辦公、生產(chǎn)和生活服務(wù)，將是不斷探索的方向。