魏 冉
(西山煤电(集团)公司 安全培训中心,山西 太原 030053)
网络上的数据泄密途径繁多,对敏感数据的非法获取也变得非常具有针对性。以前的黑客是为了证明自己的技术来进行相关的攻击行为,现在的入侵更多具备了非常明确的经济利益或者达到其它目的。
当今的网络行为中,存在较常见的安全漏洞有以下几种:
1)系统本身的安全功能缺失。重要的企业资料、文件、程序可被随意留存在本地电脑的硬盘存储中,容易私自传播造成泄密;由于软件系统本身的安全防范能力不足,而被破解用户名密码或者越权访问;本地局域网中因为明文传输导致信息很容易被复制而泄露。
2)个人行为。通过USB便携存储设备私自拷贝,利用打印机打印资料带走;私自通过其它的网络链路泄密;在互联网言论上无意识泄密。
3)难以防范的恶意攻击行为:终端中了恶意的病毒或者木马,相关信息被窃取;黑客的外部攻击行为。
针对越来越严峻的信息泄密挑战,以下前沿的网络技术组合应用可以高效地保护企事业单位的信息安全。
1)在重要业务系统信息安全保障方面:通过SSL VPN技术实现远程用户的安全接入及内网的逻辑隔离,对接入用户接入前进行强身份认证、接入后进行访问权限划分、访问时进行数据加密及记录、访问后进行本地电脑数据清除。
2)在防止通过互联网泄密方面:通过上网行为管理技术实现含组织机密关键词外发信息的封堵拦截及记录,对黑客攻击行为进行防范,对木马窃取机密信息等危险流量进行识别及封堵。通过NAC网络准入控制技术实现对内网终端PC进程的监控统计,检测操作系统是否打补丁、杀毒软件是否更新等,达不到安全条件禁止上互联网,防止黑客及病毒乘虚而入。同时NAC网络准入控制可以监测内网用户的上网线路,防止私接网3G、无线网络,不走组织统一互联网出口,逃避上网行为管理。
3)在防止内网用户通过USB口拷贝、打印机打印泄密方面:NAC网络准入控制技术可以有效防止。
4)针对以上三种技术,目前实际应用中有硬件产品也有软件产品,以硬件产品举例在一般典型用户网络中的应用,见图1。
部署设备说明:
图1 硬件产品在一般典型用户网络中的应用
a)部署SSL VPN设备在服务器群组,利用SSL VPN的认证技术、加密技术、授权访问控制、沙盒技术以及访问记录能力对重要的业务系统实现高安全性保护。
b)在互联网出口处部署上网行为管理设备,利用上网行为管理的互联网行为管理能力、网络行为记录能力,实现对通过互联网泄密行为的严格管理,同时对来自外网的黑客攻击行为进行防范,实现危险流量的识别和过滤。
c)单臂模式使用网络准入控制NAC,包括监控内网中PC终端的安全信息、网络接口行为、外设接口行为等,对终端防泄密进行管理控制。
整体方案能全面地解决数据防泄密问题,部署简单,是业务系统信息安全保障的最佳方案。
目前业界主要应用的SSL VPN、上网行为管理、NAC网络准入控制技术具备以下功能及特点:
1)SSL VPN功能应用点。a)认证技术:SSL VPN可用的认证技术包括用户名密码、USB KEY、短信认证、硬件特征码绑定、动态令牌等。b)数据传输加密:SSL VPN采用业内标准的加密技术,确保所有数据在终端到服务器传输过程不被盗取、修改,保证安全性和完整性。c)资源访问授权:SSL VPN具有多达16级的分级组织权限系统,能细致控制每一个系统访问者的权限,有效防止越权访问。d)数据中心:包括详细的记录、使用趋势和总量的分析、资源的活跃度等,实现对系统访问过程的完整记录,并提供管理分析数据。e)沙盒技术:使用了沙盒技术之后,在访问的终端将生产一个虚拟的安全桌面,可以针对相关的资源限制只能在这个安全桌面中访问。
2)上网行为管理功能应用点及技术。a)内容深度过滤能力:通过对互联网外发信息的管理,包括邮件、发帖、上传文件等,实现对内网机密数据的安全保护,并通过审阅系统和告警系统实现及时的泄密行为管理。b)网络行为的安全记录功能:利用详细的网络行为记录实现对泄密倾向的事前分析、后续追查等效果。c)邮件延迟审计:在内网用户外发邮件之前先拦截下来给网管员审计,含有机密信息的拦截,没有关键信息的放行。
3)NAC网络准入控制功能应用点。a)终端安全:杀毒软件检测、windows补丁检测。b)桌面管理:终端应用程序使用统计、USB防拷贝、防止红外传输、传真打印等。c)管理外网线路检测:检测并禁止包括3G、自行配置的其它上网链路等。d)虚拟隔离区:NAC方案依据终端安全级别评估结果,不同用户、不同安全级别的终端进入相应隔离区。管理员可依据各隔离区的安全级别设置网络服务控制策略、分配互联网访问权限和与其它隔离区的通讯权限,拒绝安全级别不足的隔离区中的终端与正常通过安全策略检测的终端进行通讯。
1)与传统DLP(数据丢失防范)方案对比。数据泄露防护(Data leakage prevention,DLP),又称为“数据丢失防护”(Data Loss prevention,DLP),有时也称为“信息泄漏防护”(Information leakage prevention,ILP)。数据泄漏防护是通过一定的技术手段,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。
传统DLP方案的不足。传统DLP方案更多关注点在于企业内部文件的加密管理,而对于信息来说,存在管理的盲点。比如内部员工看了相关的文件资料之后,通过个人言论在网络上泄露出去,传统的DLP方案是难以针对这种网络通讯做有效管理的。传统DLP方案不重视对应用系统的保护,无法有效实现系统中存在或者产生的信息和相关文件进行保护。传统DLP方案实施需要花费大量的精力,如必须进行前期的企业使用情况调研、初步实施、试点、最后再全部实施。传统DLP方案会更改企业内部用户的文件使用习惯,从而带来业务效率降低,在推行时也会遇到相当的阻力。
2)前沿技术信息安全保障方案的特点。整体的方案能更好实现数据在系统授权访问中、传输链路中以及在终端使用上的保密。更容易的方案部署,增加设备无需对现有的网络架构和系统使用习惯做任何的改变,就能快速有效地形成对数据的防泄密保护,无需因为安全需要而降低业务效率。快速部署,经过调查、购买和实施,最快在几天之内就能实现对数据保护的全面提升。
3)信息安全保障方案的价值。
a)弥补了重要业务系统本身安全短板。保证了企事业单位重要资料不被私自留存和传播:让承载重要资料的业务系统运行在SSL VPN的沙盒安全桌面上,沙盒技术保证资料不能被保留在本地,不能被使用USB存储设备拷贝,不能通过网络发给其它的内网或者外网计算机,确保数据安全性。保证系统访问的安全性:SSLVPN利用其丰富可靠的认证系统,包括使用USB KEY、动态令牌、短信认证、PC硬件特征绑定等技术,通过主从账号绑定实现对系统认证系统的加强,保证账号的安全性。数据在传输过程中的安全:利用SSL VPN高效而可靠的加密技术,完全规避在内网中被恶意用户或者被控制终端通过端口复制或者镜像截取技术的泄密风险。
b)管理组织中个人的泄密行为。终端检测技术方式,防止终端发生泄密行为:终端检测阻止包括防止使用USB存储设备,私自的3G网卡或者其他不被管理的网络接口泄密行为,沙盒技术还能阻止关键文件的私自打印。通过网络通讯内容的深度检测,阻止企业重要信息通过互联网泄露:部署于互联网出口的上网行为管理设备,可以对所有的互联网流量信息进行深度分析和检测,利用网络的关键字封堵、邮件过滤、内容分析以及其他网络行为管理,及时封堵和发现内网用户有意识或者无意识的泄密行为。
c)加强安全隐患的分析、管理。SSL VPN以及NAC中数据中心丰富数据挖掘能力,能智能形成多达1 000种以上报表,帮助进行网络通讯管理分析,提前规避法律法规风险,提前防范相关泄密问题。检测终端的安全信息,包括杀毒软件、系统补丁、非法的进程、注册表键值等,同时还可以主动阻断终端发出的危险链接流量,防止危险内网终端电脑泄露组织的机密信息。在现有的经济环境中,如何实现高度安全、高性价比、高投资回报的网络构建,实现网络价值的最大化,通过多种技术让网络互联快速安全地为企业的日常办公、生产和生活服务,将是不断探索的方向。