駒寶平

信息泄露是局域網(wǎng)的主要安全隱患之一。所謂信息泄露，就是被故意或偶然地偵收、截獲、竊取、分析、收集到系統(tǒng)中的信息，特別是秘密信息和敏感信息，從而造成泄密事件。面對(duì)一樁樁網(wǎng)絡(luò)泄密事件，人們?cè)趯で蟀踩Ｗo(hù)……

局域網(wǎng)在保密防護(hù)方面存在三點(diǎn)先天的脆弱性：一是數(shù)據(jù)的可訪問性。數(shù)據(jù)信息可以很容易被終端用戶拷貝下來而不留任何痕跡。二是信息的聚生性。當(dāng)信息以零散形式存在時(shí)，其價(jià)值往往不大，一旦網(wǎng)絡(luò)將大量關(guān)聯(lián)信息聚集在一起時(shí)，其價(jià)值就相當(dāng)可觀了。三是設(shè)防的困難性。盡管人們可以層層設(shè)防，但對(duì)一個(gè)熟悉網(wǎng)絡(luò)技術(shù)的人來說，下些功夫就可能突破這些關(guān)卡，這給保密工作帶來極大的困難。

三大因素

造成信息泄露

根據(jù)CSI/FBI提供的統(tǒng)計(jì)，已有的網(wǎng)絡(luò)安全事件中，數(shù)量最多、危害最大的是信息泄露事件；而且主要的信息泄露因素都來自企業(yè)內(nèi)部，而不是黑客等外部攻擊。

那么，這些內(nèi)部信息泄露事件是怎樣發(fā)生的呢？根據(jù)專家們細(xì)究原因，發(fā)現(xiàn)內(nèi)部泄露信息主要途徑有三類，一是計(jì)算機(jī)網(wǎng)絡(luò)化后，信息通過網(wǎng)絡(luò)傳播造成的遺失、泄密；二是信息通過計(jì)算機(jī)系統(tǒng)的外圍設(shè)備復(fù)制出去造成的泄密；三是文檔通過打印途徑造成的泄密。

具體問題表現(xiàn)在外來計(jì)算機(jī)隨意接入、IP地址盜用、非法外聯(lián)、外圍設(shè)備違規(guī)使用、網(wǎng)絡(luò)共享和隨意打印文件等方面。

一、外來計(jì)算機(jī)隨意接入的問題。接入內(nèi)網(wǎng)的計(jì)算機(jī)應(yīng)該是專用計(jì)算機(jī)，其他外來用戶隨意接入內(nèi)網(wǎng)網(wǎng)絡(luò)，可能會(huì)造成重要機(jī)密數(shù)據(jù)泄露等危險(xiǎn)。

從傳統(tǒng)的網(wǎng)絡(luò)管理手段來說，可以通過在交換機(jī)上進(jìn)行MAC地址與端口的綁定來達(dá)到防止外來用戶隨意接入的目的。但是這種方法會(huì)給管理人員帶來比較大的工作量，特別是大型網(wǎng)絡(luò)，且這種方式的靈活性也不夠，對(duì)于任何一臺(tái)新接入的設(shè)備都必須要在相應(yīng)的交換機(jī)上進(jìn)行配置，管理非常不便。

內(nèi)網(wǎng)安全系統(tǒng)應(yīng)該能夠及時(shí)發(fā)現(xiàn)外來用戶的接入，自動(dòng)阻斷或通知管理人員，提供將其從網(wǎng)絡(luò)上斷開的技術(shù)手段。

二、IP地址盜用問題。內(nèi)部網(wǎng)絡(luò)存在IP地址盜用的危險(xiǎn)。一些內(nèi)部用戶將合法主機(jī)修改IP地址后接入網(wǎng)絡(luò)，盜竊網(wǎng)上的資源，甚至對(duì)主機(jī)發(fā)動(dòng)攻擊。對(duì)違反規(guī)定或禁止上網(wǎng)的計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備，應(yīng)當(dāng)能從技術(shù)手段上限制其上網(wǎng)。

三、非法外聯(lián)問題。作為內(nèi)網(wǎng)計(jì)算機(jī)，應(yīng)該是專網(wǎng)專用，禁止與互聯(lián)網(wǎng)等其他網(wǎng)絡(luò)發(fā)生直接或間接的連接。但是可能有個(gè)別的工作人員，將專用計(jì)算機(jī)挪作他用，為上網(wǎng)、玩游戲、發(fā)私人郵件等目的與Internet連接，從而造成外網(wǎng)與內(nèi)網(wǎng)或互聯(lián)網(wǎng)發(fā)生直接或間接的連接。由此可能造成以下后果：一是破壞整體安全防護(hù)體系。非法外聯(lián)行為看似小事，但卻是對(duì)整體安全防護(hù)體系的嚴(yán)重破壞。它在內(nèi)網(wǎng)與其他外部網(wǎng)絡(luò)之間，開辟了一個(gè)不經(jīng)過安全防護(hù)機(jī)制檢查的“后門”，這個(gè)“后門”使整個(gè)網(wǎng)絡(luò)的安全性大大降低。二是引入惡意的入侵。非法外聯(lián)具有一定的隱蔽性，管理人員不易發(fā)現(xiàn)，沒有一定的手段，很難對(duì)此進(jìn)行必要的防護(hù)，容易遭受惡意的入侵。來自互聯(lián)網(wǎng)的惡意入侵者可以輕而易舉地入侵和控制這臺(tái)計(jì)算機(jī)，使入侵者獲得網(wǎng)絡(luò)內(nèi)的合法身份，它可以訪問網(wǎng)絡(luò)中的信息資源，可以對(duì)重要服務(wù)器進(jìn)行漏洞掃描、入侵嘗試。如果這些服務(wù)器沒有采取入侵檢測等進(jìn)一步的防護(hù)措施，惡意入侵者就可以比較容易地獲取這些服務(wù)器的訪問、控制權(quán)限，隨意地竊取、篡改和刪除重要敏感的數(shù)據(jù)，安裝木馬程序、病毒程序，中斷其正常的服務(wù)，使單位蒙受巨大損失。

從上邊的分析可以看出，非法外聯(lián)具有很大的危害性，因此作為安全管理及監(jiān)控系統(tǒng)，應(yīng)該對(duì)非法外聯(lián)的行為進(jìn)行監(jiān)視，一旦發(fā)現(xiàn)這種現(xiàn)象要及時(shí)通知各級(jí)管理人員，在必要的情況下可自行將這些連接斷開，保護(hù)內(nèi)部網(wǎng)絡(luò)的整體安全。

四、外圍設(shè)備違規(guī)使用問題。計(jì)算機(jī)的外圍設(shè)備（包括軟驅(qū)、光驅(qū)、U盤、并行口、串行口、紅外口、1394端口、Modem等）為各種信息在不同的計(jì)算機(jī)設(shè)備之間交流提供了一個(gè)方便的途徑，通過它們可以將各種信息復(fù)制到不同的計(jì)算機(jī)中，也包括病毒、木馬等。與此同時(shí)，內(nèi)網(wǎng)中的主機(jī)上保存著一些涉密的內(nèi)部信息，這些信息不能夠隨意地被傳播。

因而有必要對(duì)外圍設(shè)備的使用進(jìn)行控制，不允許隨意地使用外圍設(shè)備拷貝機(jī)密數(shù)據(jù)。應(yīng)該實(shí)現(xiàn)對(duì)各客戶機(jī)外圍設(shè)備的集中監(jiān)視和控制，通過在管理端進(jìn)行設(shè)置，可禁止和啟用各客戶機(jī)的外圍設(shè)備，有效地保護(hù)計(jì)算機(jī)上的信息。同時(shí)，應(yīng)當(dāng)對(duì)外圍設(shè)備的文件操作進(jìn)行審計(jì)，記錄相關(guān)信息以便發(fā)生泄密事件時(shí)進(jìn)行追查。

五、網(wǎng)絡(luò)共享造成泄密的問題。計(jì)算機(jī)上開設(shè)的網(wǎng)絡(luò)共享文件夾是內(nèi)網(wǎng)中常用的資源共享的手段，方便而且快捷。但內(nèi)網(wǎng)中共享文件夾的訪問權(quán)限往往設(shè)置為普通用戶均可訪問，從而大大增加了信息泄露事件發(fā)生的可能性。

因而應(yīng)當(dāng)對(duì)網(wǎng)絡(luò)共享文件夾中的文件操作進(jìn)行審計(jì)，記錄相關(guān)信息以便發(fā)生泄密事件時(shí)追查。

六、隨意打印文件的問題。單位常有重要的文件，如設(shè)計(jì)圖紙、報(bào)表等，對(duì)這些重要且必須保密資料的打印等操作無法監(jiān)控，出現(xiàn)信息泄露事件也無從追溯。

同樣，我們需要對(duì)打印行為進(jìn)行控制和審計(jì)，嚴(yán)格管理打印的文件內(nèi)容和份數(shù)，從而控制重要文檔的傳播。

ECop多方式

防止信息泄密

據(jù)介紹，寶信軟件著眼于安全管理中最重要且最為薄弱的內(nèi)網(wǎng)安全環(huán)節(jié)。2002年寶信軟件率先提出“內(nèi)網(wǎng)安全”的概念，并推出了內(nèi)網(wǎng)安全管理產(chǎn)品——寶信網(wǎng)絡(luò)巡警eCop。經(jīng)過3年多的發(fā)展，該產(chǎn)品已在國內(nèi)內(nèi)網(wǎng)安全管理市場上占據(jù)領(lǐng)先地位。

該產(chǎn)品致力于網(wǎng)絡(luò)接入安全、終端安全、服務(wù)器安全、應(yīng)用安全等領(lǐng)域，提出了基于WEB瀏覽器管理的全面的內(nèi)網(wǎng)安全管理解決方案，采取主動(dòng)防御與控制的手段，幫助政府機(jī)關(guān)、制造業(yè)、研究院、電力、電信、金融機(jī)構(gòu)等單位構(gòu)建一個(gè)可信并可控的內(nèi)網(wǎng)環(huán)境，杜絕泄密事件的發(fā)生。

首先，IP地址管理杜絕非法計(jì)算機(jī)接入，盜用IP地址進(jìn)行竊密。

寶信網(wǎng)絡(luò)巡警eCop通過實(shí)時(shí)掃描獲取與分析在線計(jì)算機(jī)的IP、MAC地址信息，提供IP地址、MAC地址的合法性判定,警告和阻斷不滿足合法性判定的計(jì)算機(jī)，統(tǒng)計(jì)分析非法IP地址使用的歷史情況，從而保證外來的主機(jī)不經(jīng)許可無法接入內(nèi)網(wǎng)，內(nèi)網(wǎng)的計(jì)算機(jī)無法盜用IP地址進(jìn)行竊密。

其次，非法外聯(lián)監(jiān)控限制內(nèi)網(wǎng)計(jì)算機(jī)外聯(lián)，防止內(nèi)外網(wǎng)之間不受控制的信息交換。

寶信網(wǎng)絡(luò)巡警eCop通過定期檢測該計(jì)算機(jī)的網(wǎng)絡(luò)連接情況，及時(shí)發(fā)現(xiàn)連接其他外部網(wǎng)絡(luò)的行為，記錄下其違規(guī)外聯(lián)的信息并向控制器端發(fā)送違規(guī)記錄和報(bào)警通知。非法外聯(lián)監(jiān)控對(duì)于連接在內(nèi)網(wǎng)發(fā)生外聯(lián)和脫離內(nèi)網(wǎng)的發(fā)生外聯(lián)均能夠進(jìn)行檢測，管理人員可在控制器端進(jìn)行監(jiān)控策略的配置，選擇上述某一種監(jiān)控方式。對(duì)于發(fā)生非法外聯(lián)行為的計(jì)算機(jī)，客戶端可自動(dòng)斷開其各種網(wǎng)絡(luò)連接，包括網(wǎng)卡連接、撥號(hào)連接、無線連接等，從而保證內(nèi)網(wǎng)的計(jì)算機(jī)專網(wǎng)專用，不與外部網(wǎng)絡(luò)發(fā)生信息交換。管理人員可在控制器端配置恢復(fù)該計(jì)算機(jī)網(wǎng)絡(luò)連接的策略，可選擇自動(dòng)恢復(fù)網(wǎng)絡(luò)連接和確認(rèn)恢復(fù)網(wǎng)絡(luò)連接兩種方式。

再次，控制外圍設(shè)備使用，防止通過外圍設(shè)備進(jìn)行的文件傳輸。eCop通過設(shè)定啟用或禁用各計(jì)算機(jī)的外圍設(shè)備，自動(dòng)禁用或啟用軟驅(qū)、光驅(qū)、U盤、MODEM、串口、并口、紅外口和1394口等外圍設(shè)備和接口，從而防止通過外圍設(shè)備進(jìn)行的文件傳輸。

第四，文件操作審計(jì)，保證通過U盤和網(wǎng)絡(luò)共享發(fā)生的泄密事件可以追溯。eCop通過記錄從本機(jī)拷貝文件到移動(dòng)存儲(chǔ)設(shè)備或網(wǎng)絡(luò)共享目錄的操作，保證從U盤和網(wǎng)絡(luò)共享中泄露的文件可以追述。

第五，打印審計(jì)和控制,杜絕通過文檔打印發(fā)生的文件泄露。eCop通過記錄完整的打印日志，控制用戶的打印配置和打印行為，杜絕通過打印或多打機(jī)密文件發(fā)生的文件泄露，實(shí)現(xiàn)對(duì)打印資源的有效管理控制，降低打印成本。記錄內(nèi)容包括打印操作的用戶、計(jì)算機(jī)、文件名、頁數(shù)、份數(shù)、紙張類型等信息。

除此以外，eCop還具備軟硬件信息管理、服務(wù)監(jiān)視、操作系統(tǒng)補(bǔ)丁管理等功能。能夠有效地加強(qiáng)內(nèi)網(wǎng)安全管理，提高內(nèi)網(wǎng)安全級(jí)別，降低泄密事件發(fā)生的可能，在泄密事件發(fā)生時(shí)保證有據(jù)可查。

作為國內(nèi)內(nèi)網(wǎng)安全管理產(chǎn)品市場的領(lǐng)導(dǎo)廠商，寶信軟件經(jīng)過3年多的自主研發(fā)，推出了寶信網(wǎng)絡(luò)巡警eCop。目前，寶信網(wǎng)絡(luò)巡警eCop已經(jīng)在多家不同行業(yè)但同樣具有信息保密需求的單位成功使用。