前沿技術(shù)保障業(yè)務(wù)系統(tǒng)信息安全

魏 冉

(西山煤電(集團(tuán))公司 安全培訓(xùn)中心，山西 太原 030053)

網(wǎng)絡(luò)上的數(shù)據(jù)泄密途徑繁多，對(duì)敏感數(shù)據(jù)的非法獲取也變得非常具有針對(duì)性。以前的黑客是為了證明自己的技術(shù)來(lái)進(jìn)行相關(guān)的攻擊行為，現(xiàn)在的入侵更多具備了非常明確的經(jīng)濟(jì)利益或者達(dá)到其它目的。

1 傳統(tǒng)安全漏洞

當(dāng)今的網(wǎng)絡(luò)行為中，存在較常見(jiàn)的安全漏洞有以下幾種:

1)系統(tǒng)本身的安全功能缺失。重要的企業(yè)資料、文件、程序可被隨意留存在本地電腦的硬盤(pán)存儲(chǔ)中，容易私自傳播造成泄密;由于軟件系統(tǒng)本身的安全防范能力不足，而被破解用戶名密碼或者越權(quán)訪問(wèn);本地局域網(wǎng)中因?yàn)槊魑膫鬏攲?dǎo)致信息很容易被復(fù)制而泄露。

2)個(gè)人行為。通過(guò)USB便攜存儲(chǔ)設(shè)備私自拷貝，利用打印機(jī)打印資料帶走;私自通過(guò)其它的網(wǎng)絡(luò)鏈路泄密;在互聯(lián)網(wǎng)言論上無(wú)意識(shí)泄密。

3)難以防范的惡意攻擊行為:終端中了惡意的病毒或者木馬，相關(guān)信息被竊取;黑客的外部攻擊行為。

2 利用前沿網(wǎng)絡(luò)技術(shù)應(yīng)對(duì)信息泄密的方法

針對(duì)越來(lái)越嚴(yán)峻的信息泄密挑戰(zhàn)，以下前沿的網(wǎng)絡(luò)技術(shù)組合應(yīng)用可以高效地保護(hù)企事業(yè)單位的信息安全。

1)在重要業(yè)務(wù)系統(tǒng)信息安全保障方面:通過(guò)SSL VPN技術(shù)實(shí)現(xiàn)遠(yuǎn)程用戶的安全接入及內(nèi)網(wǎng)的邏輯隔離，對(duì)接入用戶接入前進(jìn)行強(qiáng)身份認(rèn)證、接入后進(jìn)行訪問(wèn)權(quán)限劃分、訪問(wèn)時(shí)進(jìn)行數(shù)據(jù)加密及記錄、訪問(wèn)后進(jìn)行本地電腦數(shù)據(jù)清除。

2)在防止通過(guò)互聯(lián)網(wǎng)泄密方面:通過(guò)上網(wǎng)行為管理技術(shù)實(shí)現(xiàn)含組織機(jī)密關(guān)鍵詞外發(fā)信息的封堵攔截及記錄，對(duì)黑客攻擊行為進(jìn)行防范，對(duì)木馬竊取機(jī)密信息等危險(xiǎn)流量進(jìn)行識(shí)別及封堵。通過(guò)NAC網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)終端PC進(jìn)程的監(jiān)控統(tǒng)計(jì)，檢測(cè)操作系統(tǒng)是否打補(bǔ)丁、殺毒軟件是否更新等，達(dá)不到安全條件禁止上互聯(lián)網(wǎng)，防止黑客及病毒乘虛而入。同時(shí)NAC網(wǎng)絡(luò)準(zhǔn)入控制可以監(jiān)測(cè)內(nèi)網(wǎng)用戶的上網(wǎng)線路，防止私接網(wǎng)3G、無(wú)線網(wǎng)絡(luò)，不走組織統(tǒng)一互聯(lián)網(wǎng)出口，逃避上網(wǎng)行為管理。

3)在防止內(nèi)網(wǎng)用戶通過(guò)USB口拷貝、打印機(jī)打印泄密方面:NAC網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)可以有效防止。

4)針對(duì)以上三種技術(shù)，目前實(shí)際應(yīng)用中有硬件產(chǎn)品也有軟件產(chǎn)品，以硬件產(chǎn)品舉例在一般典型用戶網(wǎng)絡(luò)中的應(yīng)用，見(jiàn)圖1。

部署設(shè)備說(shuō)明:

圖1 硬件產(chǎn)品在一般典型用戶網(wǎng)絡(luò)中的應(yīng)用

a)部署SSL VPN設(shè)備在服務(wù)器群組，利用SSL VPN的認(rèn)證技術(shù)、加密技術(shù)、授權(quán)訪問(wèn)控制、沙盒技術(shù)以及訪問(wèn)記錄能力對(duì)重要的業(yè)務(wù)系統(tǒng)實(shí)現(xiàn)高安全性保護(hù)。

b)在互聯(lián)網(wǎng)出口處部署上網(wǎng)行為管理設(shè)備，利用上網(wǎng)行為管理的互聯(lián)網(wǎng)行為管理能力、網(wǎng)絡(luò)行為記錄能力，實(shí)現(xiàn)對(duì)通過(guò)互聯(lián)網(wǎng)泄密行為的嚴(yán)格管理，同時(shí)對(duì)來(lái)自外網(wǎng)的黑客攻擊行為進(jìn)行防范，實(shí)現(xiàn)危險(xiǎn)流量的識(shí)別和過(guò)濾。

c)單臂模式使用網(wǎng)絡(luò)準(zhǔn)入控制NAC，包括監(jiān)控內(nèi)網(wǎng)中PC終端的安全信息、網(wǎng)絡(luò)接口行為、外設(shè)接口行為等，對(duì)終端防泄密進(jìn)行管理控制。

整體方案能全面地解決數(shù)據(jù)防泄密問(wèn)題，部署簡(jiǎn)單，是業(yè)務(wù)系統(tǒng)信息安全保障的最佳方案。

3 業(yè)界領(lǐng)先的功能及技術(shù)

目前業(yè)界主要應(yīng)用的SSL VPN、上網(wǎng)行為管理、NAC網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)具備以下功能及特點(diǎn):

1)SSL VPN功能應(yīng)用點(diǎn)。a)認(rèn)證技術(shù):SSL VPN可用的認(rèn)證技術(shù)包括用戶名密碼、USB KEY、短信認(rèn)證、硬件特征碼綁定、動(dòng)態(tài)令牌等。b)數(shù)據(jù)傳輸加密:SSL VPN采用業(yè)內(nèi)標(biāo)準(zhǔn)的加密技術(shù)，確保所有數(shù)據(jù)在終端到服務(wù)器傳輸過(guò)程不被盜取、修改，保證安全性和完整性。c)資源訪問(wèn)授權(quán):SSL VPN具有多達(dá)16級(jí)的分級(jí)組織權(quán)限系統(tǒng)，能細(xì)致控制每一個(gè)系統(tǒng)訪問(wèn)者的權(quán)限，有效防止越權(quán)訪問(wèn)。d)數(shù)據(jù)中心:包括詳細(xì)的記錄、使用趨勢(shì)和總量的分析、資源的活躍度等，實(shí)現(xiàn)對(duì)系統(tǒng)訪問(wèn)過(guò)程的完整記錄，并提供管理分析數(shù)據(jù)。e)沙盒技術(shù):使用了沙盒技術(shù)之后，在訪問(wèn)的終端將生產(chǎn)一個(gè)虛擬的安全桌面，可以針對(duì)相關(guān)的資源限制只能在這個(gè)安全桌面中訪問(wèn)。

2)上網(wǎng)行為管理功能應(yīng)用點(diǎn)及技術(shù)。a)內(nèi)容深度過(guò)濾能力:通過(guò)對(duì)互聯(lián)網(wǎng)外發(fā)信息的管理，包括郵件、發(fā)帖、上傳文件等，實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)機(jī)密數(shù)據(jù)的安全保護(hù)，并通過(guò)審閱系統(tǒng)和告警系統(tǒng)實(shí)現(xiàn)及時(shí)的泄密行為管理。b)網(wǎng)絡(luò)行為的安全記錄功能:利用詳細(xì)的網(wǎng)絡(luò)行為記錄實(shí)現(xiàn)對(duì)泄密傾向的事前分析、后續(xù)追查等效果。c)郵件延遲審計(jì):在內(nèi)網(wǎng)用戶外發(fā)郵件之前先攔截下來(lái)給網(wǎng)管員審計(jì)，含有機(jī)密信息的攔截，沒(méi)有關(guān)鍵信息的放行。

3)NAC網(wǎng)絡(luò)準(zhǔn)入控制功能應(yīng)用點(diǎn)。a)終端安全:殺毒軟件檢測(cè)、windows補(bǔ)丁檢測(cè)。b)桌面管理:終端應(yīng)用程序使用統(tǒng)計(jì)、USB防拷貝、防止紅外傳輸、傳真打印等。c)管理外網(wǎng)線路檢測(cè):檢測(cè)并禁止包括3G、自行配置的其它上網(wǎng)鏈路等。d)虛擬隔離區(qū):NAC方案依據(jù)終端安全級(jí)別評(píng)估結(jié)果，不同用戶、不同安全級(jí)別的終端進(jìn)入相應(yīng)隔離區(qū)。管理員可依據(jù)各隔離區(qū)的安全級(jí)別設(shè)置網(wǎng)絡(luò)服務(wù)控制策略、分配互聯(lián)網(wǎng)訪問(wèn)權(quán)限和與其它隔離區(qū)的通訊權(quán)限，拒絕安全級(jí)別不足的隔離區(qū)中的終端與正常通過(guò)安全策略檢測(cè)的終端進(jìn)行通訊。

4 前沿網(wǎng)絡(luò)的優(yōu)勢(shì)價(jià)值

1)與傳統(tǒng)DLP(數(shù)據(jù)丟失防范)方案對(duì)比。數(shù)據(jù)泄露防護(hù)(Data leakage prevention，DLP)，又稱為“數(shù)據(jù)丟失防護(hù)”(Data Loss prevention，DLP)，有時(shí)也稱為“信息泄漏防護(hù)”(Information leakage prevention，ILP)。數(shù)據(jù)泄漏防護(hù)是通過(guò)一定的技術(shù)手段，防止企業(yè)的指定數(shù)據(jù)或信息資產(chǎn)以違反安全策略規(guī)定的形式流出企業(yè)的一種策略。

傳統(tǒng)DLP方案的不足。傳統(tǒng)DLP方案更多關(guān)注點(diǎn)在于企業(yè)內(nèi)部文件的加密管理，而對(duì)于信息來(lái)說(shuō)，存在管理的盲點(diǎn)。比如內(nèi)部員工看了相關(guān)的文件資料之后，通過(guò)個(gè)人言論在網(wǎng)絡(luò)上泄露出去，傳統(tǒng)的DLP方案是難以針對(duì)這種網(wǎng)絡(luò)通訊做有效管理的。傳統(tǒng)DLP方案不重視對(duì)應(yīng)用系統(tǒng)的保護(hù)，無(wú)法有效實(shí)現(xiàn)系統(tǒng)中存在或者產(chǎn)生的信息和相關(guān)文件進(jìn)行保護(hù)。傳統(tǒng)DLP方案實(shí)施需要花費(fèi)大量的精力，如必須進(jìn)行前期的企業(yè)使用情況調(diào)研、初步實(shí)施、試點(diǎn)、最后再全部實(shí)施。傳統(tǒng)DLP方案會(huì)更改企業(yè)內(nèi)部用戶的文件使用習(xí)慣，從而帶來(lái)業(yè)務(wù)效率降低，在推行時(shí)也會(huì)遇到相當(dāng)?shù)淖枇Α?/p>

2)前沿技術(shù)信息安全保障方案的特點(diǎn)。整體的方案能更好實(shí)現(xiàn)數(shù)據(jù)在系統(tǒng)授權(quán)訪問(wèn)中、傳輸鏈路中以及在終端使用上的保密。更容易的方案部署，增加設(shè)備無(wú)需對(duì)現(xiàn)有的網(wǎng)絡(luò)架構(gòu)和系統(tǒng)使用習(xí)慣做任何的改變，就能快速有效地形成對(duì)數(shù)據(jù)的防泄密保護(hù)，無(wú)需因?yàn)榘踩枰档蜆I(yè)務(wù)效率?？焖俨渴穑?jīng)過(guò)調(diào)查、購(gòu)買和實(shí)施，最快在幾天之內(nèi)就能實(shí)現(xiàn)對(duì)數(shù)據(jù)保護(hù)的全面提升。

3)信息安全保障方案的價(jià)值。

a)彌補(bǔ)了重要業(yè)務(wù)系統(tǒng)本身安全短板。保證了企事業(yè)單位重要資料不被私自留存和傳播:讓承載重要資料的業(yè)務(wù)系統(tǒng)運(yùn)行在SSL VPN的沙盒安全桌面上，沙盒技術(shù)保證資料不能被保留在本地，不能被使用USB存儲(chǔ)設(shè)備拷貝，不能通過(guò)網(wǎng)絡(luò)發(fā)給其它的內(nèi)網(wǎng)或者外網(wǎng)計(jì)算機(jī)，確保數(shù)據(jù)安全性。保證系統(tǒng)訪問(wèn)的安全性:SSLVPN利用其豐富可靠的認(rèn)證系統(tǒng)，包括使用USB KEY、動(dòng)態(tài)令牌、短信認(rèn)證、PC硬件特征綁定等技術(shù)，通過(guò)主從賬號(hào)綁定實(shí)現(xiàn)對(duì)系統(tǒng)認(rèn)證系統(tǒng)的加強(qiáng)，保證賬號(hào)的安全性。數(shù)據(jù)在傳輸過(guò)程中的安全:利用SSL VPN高效而可靠的加密技術(shù)，完全規(guī)避在內(nèi)網(wǎng)中被惡意用戶或者被控制終端通過(guò)端口復(fù)制或者鏡像截取技術(shù)的泄密風(fēng)險(xiǎn)。

b)管理組織中個(gè)人的泄密行為。終端檢測(cè)技術(shù)方式，防止終端發(fā)生泄密行為:終端檢測(cè)阻止包括防止使用USB存儲(chǔ)設(shè)備，私自的3G網(wǎng)卡或者其他不被管理的網(wǎng)絡(luò)接口泄密行為，沙盒技術(shù)還能阻止關(guān)鍵文件的私自打印。通過(guò)網(wǎng)絡(luò)通訊內(nèi)容的深度檢測(cè)，阻止企業(yè)重要信息通過(guò)互聯(lián)網(wǎng)泄露:部署于互聯(lián)網(wǎng)出口的上網(wǎng)行為管理設(shè)備，可以對(duì)所有的互聯(lián)網(wǎng)流量信息進(jìn)行深度分析和檢測(cè)，利用網(wǎng)絡(luò)的關(guān)鍵字封堵、郵件過(guò)濾、內(nèi)容分析以及其他網(wǎng)絡(luò)行為管理，及時(shí)封堵和發(fā)現(xiàn)內(nèi)網(wǎng)用戶有意識(shí)或者無(wú)意識(shí)的泄密行為。

c)加強(qiáng)安全隱患的分析、管理。SSL VPN以及NAC中數(shù)據(jù)中心豐富數(shù)據(jù)挖掘能力，能智能形成多達(dá)1 000種以上報(bào)表，幫助進(jìn)行網(wǎng)絡(luò)通訊管理分析，提前規(guī)避法律法規(guī)風(fēng)險(xiǎn)，提前防范相關(guān)泄密問(wèn)題。檢測(cè)終端的安全信息，包括殺毒軟件、系統(tǒng)補(bǔ)丁、非法的進(jìn)程、注冊(cè)表鍵值等，同時(shí)還可以主動(dòng)阻斷終端發(fā)出的危險(xiǎn)鏈接流量，防止危險(xiǎn)內(nèi)網(wǎng)終端電腦泄露組織的機(jī)密信息。在現(xiàn)有的經(jīng)濟(jì)環(huán)境中，如何實(shí)現(xiàn)高度安全、高性價(jià)比、高投資回報(bào)的網(wǎng)絡(luò)構(gòu)建，實(shí)現(xiàn)網(wǎng)絡(luò)價(jià)值的最大化，通過(guò)多種技術(shù)讓網(wǎng)絡(luò)互聯(lián)快速安全地為企業(yè)的日常辦公、生產(chǎn)和生活服務(wù)，將是不斷探索的方向。