互联网在带来方便的同时,却也很容易使秘密的商业资料泄露给竞争对手,要保证内网安全,不妨给你的企业建起一道防水墙。
进入信息时代,企业为了保障信息安全,研发了许多新技术,但大部分都是有效防范来自网络外部进攻的,对于内部网络的信息保密问题,企业还需要建立一道坚固的防水墙。防水墙技术是相对于防火墙而提出的,如果说防火是指防止外部威胁向内部蔓延的话,防水就是指防止内部信息的泄漏。
案例
某设计院是一级保密资质单位,拥有大量需要保护的涉密信息,企业信息化建设一直比较先进。但仍存在着用户口令简单易破解、操作系统的系统漏洞和后门修补不及时、抵御威胁(被盗、丢失、存储损坏和自然灾害等)能力低、出现问题难以审计等问题,应该说防护手段比较脆弱,存在安全隐患。同时,由于采取了许多人为隔离的手段,手续繁琐,对工作的开展也是一种阻碍。新的形势迫使设计院需要重新认识信息安全的战略地位,建立和完善企业信息安全体系。
案例中的设计院最终采用了waterbox防水墙系统软件。整个防水墙系统由数据库服务器、防水墙监控中心和防水墙客户端三部分组成(如后图)。防水墙数据库服务器是防水墙系统的核心,它通过安全认证控制,对多个防水墙的客户端进行系统管理、参数配置、策略管理和系统审计等功能。安全卫士监控中心是系统管理员、操作员、审计员等和防水墙系统交互的图形界面系统,实现系统管理、参数配置、策略管理和系统审计等功能。一般采用分权分级的授权模式,严格限制对敏感信息的访问权限,以提高系统的安全性,保证了信息的安全。防水墙客户端是安装于需要受监控的主机上的监测软件,它强制执行来自服务器的安全策略,根据安全策略监测客户端用户的行为。一般而言,客户端软件采用了严密措施,防止本地用户自行卸载、关闭监控程序。
防水墙技术管理方案
1.身份验证技术
身份验证是通过检查用户的凭据并根据某个权限验证这些凭据,找到和验证主体标识的过程。对操作(通常是方法)的访问是根据调用方的角色成员身份来加以保护的。使用角色将应用程序的用户群分为在应用程序内共享相同安全权限的用户组。通过防水墙系统的管理,可以建立内部安全管理体系,实现分层、分级、分权的安全管理体系。目前,计算机通讯中采用的参数有口令、标识符、密钥、随机数等。防水墙身份认证系统会接管Windows身份认证系统,只需输入合法的防水墙用户名和密码,就可以登陆计算机系统。
通过身份认证,也可以解决非法主机进入。外来的计算机即使通过网线接入,防水墙也可以根据策略进行报警和采取其他措施,非法用户也进不去内部网络。对想访问系统和其数据的人进行识别,并检验其身份,以保证网络资源不被非法使用或访问。
在身份验证的基础之上,在操作系统的底层技术层次进行操作。当要读写文件时,它会自动截取操作,先进行加解密然后把控制权交给底层。防水墙通常不采用常规的加密软件,而是采用二次开发的方式进行加密。在这个过程中,操作人员根本感觉不到它的存在,也无法进行干预,加密具有强制性。
2.移动存储介质控制
移动介质的使用在工作中发挥了重大的作用,不能一禁了之,防水墙系统对此进行了控制。首先对移动存储介质进行分级,并进行标识,然后使用加密存储、密级访问控制等手段,防止跨密级使用移动存储介质。从而保证了密级高的移动存储介质不能用在密级低的计算机中,密级低的移动存储介质不能用在密级高的计算机中。同时系统还将操作涉及的信息记录成日志,系统具有事后审计功能,对违反策略的行为和事件可以跟踪审计。
同样,系统对游离于网络之外的笔记本电脑也可以进行控制。通过对笔记本电脑的某些特定功能进行限定,以及对敏感数据进行加密,并且通过定期的安全审计,了解特定时期的使用情况,可以解决笔记本电脑使用中可能出现的一些安全问题。
3.内网与外部联系的控制
可能造成内部信息外传的途径有很多,比如通过移动存储介质、外设、网络、打印机等方式进行。除了移动存储介质控制之外,对客户端计算机的USB接口、1394接口、并口、串口、红外线等外设接口进行控制,可以使终端计算机用户无法使用相应接口的设备,这样就控制了接口途径。
网络访问控制(NAC)是一种软件技术和硬件技术的混合体,可根据客户系统符合策略的情况对其访问网络能力进行动态控制。目前进行网络访问控制的方法主要有:MAC地址过滤、VLAN隔离、IEEE802.1Q身份验证、基于IP地址的访问控制列表和防火墙控制等等。网络访问控制可以有效控制客户端进行网页浏览、上传或下载文件、Email控制、网络共享等网络操作。可以采用安全网关、防病毒网关控制,防止内网用户访问外部网络时,受到攻击和病毒侵害。
对系统内部用户打印机进行控制,可以根据需要设定不同的策略进行控制。即使是在授权状态下,使用者的打印操作也将受到监控,打印内容会由系统自动备案处理,以便事后追溯。
4.网络远程监控
防水墙可以对内网的计算机进行远程监控,抓取网上的计算机界面。发现问题可以根据策略立即冻结远程计算机的操作。对内网计算机的联网、脱网和工作状况可以做到一目了然。它可以详细记录员工的所有网络活动,如所有浏览的网站(包括所有网页),收发的邮件,上传的文件(文件附件),QQ、MSN等聊天记录,传送文件等。可以预先对某些您需要限制的员工的网络活动进行阻止,防止他们通过网络传送敏感资料或浏览某些无关工作的网站。从而提高员工的工作效率,使单位的网络资源得到更加有效的利用。
防水墙还可以对内网的计算机硬件进行监控。当前各单位内部台式计算机、笔记本计算机众多,而且由于员工常变动,使得计算机管理人员无法做到实时数据更新。一方面可以对计算机硬件资产进行保护,另一方面可以由此引起的可能造成的泄密问题进行管理控制。
5.安全审计
防水墙可以在事前从技术上进行预防,在操作中进行控制,同样可以事后审计。网络安全审计的功能相当于飞机上使用的“黑匣子”,它是评判一个系统是否真正安全的重要尺码。客户端可以监视用户的各种操作并进行记录,如果出现敏感信息或者商业秘密被泄漏可以通过这种纪录进行审计,以便追究责任。
安全审计主要是采集操作系统、服务器、应用系统、网络设备包括安全设备等的日志及网络应用的通信,采用数据仓库和数据挖掘等技术,分析处理收集到的审计事件及日志,发现其中的违规行为等,并为提供取证的证据。
当然,再先进的技术也离不开科学、严密的管理制度。信息安全管理主要从以下几个方面着手:(1)建立各级信息安全管理机构;(2)制订并完善各项信息安全管理制度;(3)定期检查信息安全技术落实情况;(4)组织宣传信息安全法律、法规,定期开展信息安全教育和培训。
在2006国家保密局组织的保密资质检查中,上述案例中的设计院顺利通过了一级保密资质验收。信息化建设是一个不断发展的过程,信息安全也是一个不断完善的发展过程。