扫一扫
关注微信公众号

军工企业内网安全 隐患
2008-07-01   www.etim.cn

    根据国家保密局和军队的相关要求,所有军工企业必须将局域网划分为内网和外网, 存储 重要信息数据的设备与互联网物理隔离,在很大程度上排除了来自互联网的直接威胁。但对于内网来讲,并没有完全解决了信息安全的威胁。

    第一、主动非法外联。如果有人在内网的计算机上通过拨号方式连接互联网,那么整个内网实际上已经暴露在互联网上了。病毒或黑客完全可以通过这台连接互联网的机器入侵整个内网。

    第二、外设端口滥用。内网机器都有存储设备接口,例如光驱、软驱、 USB 接口、串并口和红外接口等,通过外设接口非常方便造成信息泄密。

    第三、资源滥用。内部员工随意将软件、游戏、电影等在内网运行,极有可能将病毒、木马、后门等带到内网当中,从而造成难以预见的破坏。

    第四、非法主机接入。通过外带设备接入到内网,导致内网信息被窃取或者带入病毒、木马等威胁。

    第五、内部人员对计算机专业知识不熟悉和对电子信息保密的意识不强,而导致泄密事件。如有些人因事离机时没有及时关机或者锁定措施,使各种输入、输出信息暴露在界面上;如有些人没有设置系统口令或者设置弱口令把系统裸露在明处。

    第六、规章制度不健全或者违反规章制度泄密。操作人员对涉密信息与非涉密信息没有分开存储,甚至将所有的文件都放在一个公共目录里,也没有进行加密处理或者访问控制,使涉密信息处于失控状态。

    第七、主动泄密。由于电子信息文档不象传统文档那样直观,而极易被复制。内部人员徇私枉法,泄漏计算机系统保密措施,口令或密钥,就会使不法分子入侵到计算机网络,窃取文件系统和数据库内的重要信息。

    因此内网的信息安全并不能高枕无忧, 并且由于内部员工对于内部的组织结构、人员部署、机构设置相对于外部人员要熟悉的多,致使信息外泄事件往往情节严重,并且损失巨大 。为了保证内网的信息安全必须首先从内部人员入手,制订管理制度,加强监管措施,对内部用户的行为进行有效监控,使内部信息不被泄漏。

    二、军工企业内网安全需求

    军工企业在设计、生产和管理中涉及到大量机密的信息,为了有效的保证信息的安全性,有必要对现有网络系统进行以数据信息安全保护为中心的信息安全建设,建立信息安全保障体系,确保网络中应用信息的安全性 。一方面、需要对内网网络以及个人计算机终端进行严格的访问控制,防止由于外来攻击和非法接入导致的被动信息泄密;另一方面,需要对内网网络和个人计算机终端的使用行为进行授权、强制控制和安全审计,以防止内部员工由于各种动机导致的主动信息泄密。

    1 、终端计算机外设和端口控制

    对于外接设备和外接端口缺乏有效控制,为信息泄漏造成了潜在威胁:

    •  USB 端口管理。 对 USB 存储设备的端口,即要做到不妨碍其他 USB 外设(如键盘、鼠标等)的使用,又要对 USB 存储设备的使用严格控制和管理;

    •  打印机、 modem 等外设统一控制 。对终端的打印机接口要做到统一的控制,不需要本地打印机的机器,要做到对此端口的封禁,防止内部人员通过本地通过打印的方式泄漏机密信息。对 modem 进行统一管理,以防止内部人员私自拨号上互联网;

    •  光驱、软驱、刻录机等外接设备统一控制。 对光驱、软驱、刻录机等常规外设,也要做到统一的管理和控制,以防止内部信息通过这些方式泄漏。

    2 、终端计算机实时管理和审计

    对每台计算机的实时管理和审计,管理员可以做到对每台机器的情况做到心中有数。

    •  对终端网络共享实时控制和日志记录。 Windows 网络共享作为一种共享文件的方式方便了员工的工作需要,但与此同时也带来了非常严重的信息泄漏问题。因此,对网络共享,要做到能够实时控制,并且对开放和关闭共享的信息做到全面的日志记录;

    •  对终端计算机操作实时控制和日志记录。 作为内网信息安全系统,要对每台终端的实际操作(文件操作、打印操作等)做到实时的监控和完善的日志记录,从而为内网信息安全策略的制定提供依据;

    •  对终端计算机资产管理和实时截屏。 能够对内部主机硬件、软件、系统、网络连接、服务和进程等资产进行管理和再现,并且能够记录终端实时屏幕,以方便管理人员的远程监控、查找线索和保留证据;

    •  对终端计算机网络控制和用户行为监控。 作为内网信息安全系统,对每台终端网络应用行为和主机应用程序都有比较细致的管理控制,有利于管理人员控制终端主机的使用,以便提高生产力。

    3 、用户登陆控制

    对局域网内的 PC 和笔记本进行统一的登陆控制管理,确保内部所有主机都要强制执行身份认证管理机制,保证使用的实名制。

    4 、非法接入和非法外联控制

    非法主机接入内网涉密设备和内部主机非法连接外网会导致如下后果:黑客攻击和病毒入侵;无法对违规操作进行追溯,不利于事后侦查和追溯;重要资料泄漏。

    5 、合理的安全策略配置与管理

    内网 安全策略是内部网络安全系统建设的指导原则、配置规则和检查依据。合理的安全策略应做到:

    •  多样化 。对所有可能泄密的途径(外设、端口、网络、存储等)安全策略都能覆盖到。

    •  细粒度。 既可以对整个安全域实施相同的安全策略,也可以针对不同主机的安全需求不同而定制个性化的安全策略。

    •  不可抗拒性。 由安全系统统一分发给客户端的安全策略,客户端只能被动接受管理,被管者无法自行改变策略。

•  管理方便。 制定的策略可以方便查询并以保存为多种文件格式;策略制定和修改简单直接。策略分发要及时和准确。

    •  内网信息安全系统建设

    1 、计算机外设安全管理体系建设

    通过对计算机的各种外接端口、外接设备和移动存储设备的全面管理,规范其使用行为,从而保证上述计算机终端安全体系的安全。

    移动存储设备管理

    逻辑磁盘认证技术对接入计算机的存储介质进行认证和控制,防止信息被有意或者无意从存储设备(尤其是移动存储设备)泄漏出去。该技术支持灵活的策略管理模式,使得用户能够根据需要设定移动存储设备的使用权限(比如禁止使用策略、正常读写策略、只读策略、加密读写策略),即保留了移动存储设备的方便性,又堵截了移动存储设备可能带来的安全隐患。

    ETIM-INSS 提供了对存储设备进行逻辑磁盘认证来控制存储设备的使用,只有通过认证的设备才能在 ETIM-INSS 安全控制域中进行使用,并根据仅在认证设置的策略和权限范围内使用该存储设备。存储设备认证提供下面列举的认证权限和使用策略:

    •  支持禁止或者 允许 使用未经过认证的存储设备;

    •  支持对存储设备设定为禁止使用策略;

    •  支持对存储设备设定为加密读写策略,写入存储设备的数据都是加密的;

    •  支持对存储设备设定为直接读写策略,即没有限制的自由使用方式。

    外部设备和接口 管理

    •  支持禁止或者开放 USB (通用串行总线架构)接口;

    •  支持禁止或者开放 SERIAL (串行总线架构)接口;

    •  支持禁止或者开放 PARALLEL (并行总线架构)接口;

    •  支持禁止或者开放 IrDA (红外架构接口)接口;

    •  支持禁止或者开放 1394 (火线架构接口)接口;

    •  支持禁止或者开放 FD (软盘驱动器)介质设备,包括 IDE 接口样式的 FD ;

    •  支持禁止或者开放 CD-RW (可刻录光盘)介质设备;

    •  支持禁止或者开放 PCMICA 卡(笔记本)接入设备;

    •  支持禁止或者开放 Bluetooth (蓝牙)接入设备;

    •  支持禁止或者开放 Modem 拨号设备。

    2 、计算机非法外联和接入安全管理体系建设

    通过对计算机非法外联和接入连接行为的全面管理,规范其使用,从而保证计算机网络体系的安全。

    对拨号连接的控制

    网络内部人员可能通过各种其他的网络外联方式(比如 Modem )联入 Internet ,这就为网络打开一个“后门”,同时也为可能的机要数据泄漏提供了通道。 ETIM-INSS 对于可能的网络拨号行为进行了驱动级的防护,能够防止内部人员在非授权的情况各种有意无意的信息外泄,完成机要数据的保护。

    ETIM-INSS 通过网络拨号管理,对客户端设置“禁止使用拨号连接”时,客户端的所有网络拨号动作被自动禁止。同时提供对拨号信息内容的实时查看(连接名称、连接状态、设备名称、设备类型、电话号码、连接时间、连接速度、发送字节、接收字节)和实时关闭。

    对非法接入网络的安全防护 -逻辑安全域技术(解决非法接入与外联)

    ETIM-INSS 系统采用 Windows 操作系统网络过滤技术与 NDIS 中间层网络驱动技术,结合联网 / 离网策略,加密网络通信和 PKI 体系,共同打造了“ ETIM-INSS 逻辑安全域”功能。有效控制网络通信,防止可信内网计算机的数据通过网络联接流失到域外,防止通过网络传输非法窃取、丢失和篡改内网的重要信息,防止外来计算机对受保护主机的非法接入和网络攻击行为。

    逻辑安全域是具有安全属性的一组内网计算机的逻辑集合,逻辑安全域内计算机之间的网络通信是合法安全可靠的;逻辑域与域外计算机之间不可进行网络通信。这样就确保了非安全域内的计算机不能连入和合法计算机的非法外联。

    加装了逻辑安全域客户端模块的主机在同一逻辑安全域内的计算机之间网络通信正常,域内机器和域外机器之间不能进行网络通信,双向阻断。通过配置白名单 IP 地址,可以允许放过不安装客户端的一些应用服务器或者其他操作系统机器的网络访问。

    •  计算机打印安全管理体系建设

    打印是数据信息泄漏的主要途径之一,通过对客户端打印功能进行远程管理,并对打印行为进行监控,可以记录打印的来源和相关内容,从而做到对打印行为的审计。

    通过“禁用 / 启用本地打印 / 网络打印”的管理与控制来实现打印功能的安全管理;通过支持对打印行为的监控功能,提供对于打印行为的详细日志记录,来审计打印行为。

    1. 支持对本地打印、网络打印、共享打印和文件打印的远程启用与关闭。

    2. 支持记录或不记录包括从该计算机上发起的本地打印、文件打印、共享打印和网络打印信息。

    3. 打印监控所提供记录的打印信息有:打印时间,打印文档,打印用户,发起主机名,发起主机 IP ,打印机和打印页数。

    •  计算机使用规范管理体系建设

    通过对计算机的各种网络应用行为、用户行为的全面管理,并结合身份认证体系以及对计算机的实时巡查和日志审计,全方位的规范计算机的应用,从而保证计算机管理体系的安全。

    网络行为管理规范

    ETIM-INSS 提供了对网络行为操作的主动控制和管理,通过网络行为管理尽可能的避免机密信息通过网络传输途径进行泄密或者通过共享方式泄密。网络行为管理的使用策略可以在联网、离网情况下使用,更为全面得加固主机规范使用。网络行为管理提供下面使用策略:

    •  访问网址黑,白名单控制

    提供 URL 地址黑名单定制能力;

    提供 URL 地址白名单定制能力;

    提供对 URL 地址离线和在线的策略控制;

    提供详尽的 HTTP 日志记录。

•  邮件发送黑,白名单控制(不支持 WEBMAIL 控制)

    提供邮件接收和发送地址黑名单定制能力;

    提供邮件接收和发送地址白名单定制能力;

    提供对邮件地址离线和在线的策略控制;

    提供详尽的接收邮件内容记录。

    •  禁止或者允许网上邻居和共享文件夹

    提供对网络邻居的控制能力,允许或禁止;

    提供对网络共享的查看和实时关闭能力;

    提供对网络共享的设置控制——对自定义共享、系统默认共享、 Admin 共享、 IPC$ 共享的禁止和允许控制;

    提供对共享操作和访问的详细记录和日志审计。

    •  IP/MAC 地址绑定

    用户行为规范 管理

    针对客户端不同的用户行为, ETIM-INSS 能够进行有效的管理。根据策略设置可以定制黑名单,从而禁止客户端的某些进程、服务和窗口的运行,实际上也就是对客户端上程序等应用的控制。用户行为规范管理具体包括

    •  进程黑名单的定制:支持联网 / 离网情况下的组合策略,可以有效控制某些程序的使用,如 QQ 、 BT 等;

    •  服务黑名单的定制:支持联网 / 离网情况下的组合策略;

    •  窗口黑名单的定制:支持联网 / 离网情况下的组合策略,结合进程管理,可以唯一控制程序的使用。

    用户身份管理

    用户身份的管理是网络安全管理的最基本措施, ETIM-INSS 系统通过 PKI 体系和数字证书技术,将用户身份与网络安全系统完全融合在一起,从而对用户身份实现了有效的管理,实现了灵活的多种身份认证模式。此外, ETIM-INSS 还实现了人机分离防盗用等行之有效的身份管理措施。

    对内网内所有 PC 和笔记本能进行统一的登陆控制管理,确保内部所有主机都要强制执身份认证,确保系统的登陆可信安全。登陆方式包括:

    •  用户名、口令方式登陆;

    •  USB 电子证书方式登陆;

    •  USBKEY 令牌关联(双因素强制认证)。

    日志审计管理

    ETIM-INSS 向系统管理员提供分层次的、多级别的专业系统安全审计报告,如用户行为审计、计算机资源审计 ,从而辅助网络的管理员进行网络计算资源调配和个人行为事后审计。

    用户行为审计

    ETIM-INSS 提供对个人计算机关键的用户操作行为的审计。包括:

    •  网页日志审计:提供客户端用户访问网页的日志信息;

    •  文件传输日志信息:提供客户端通过 FTP 访问及交流数据的日志信息;

    •  电子邮件日志信息:提供客户端用户发送邮件及其内容的日志信息;

•  文件操作信息:提供 Windows 操作系统中用户执行的所有文件操作信息日志;支持对文件或者目录创建、删除和重命名的记录,并支持对目录共享或者取消共享的记录;支持自动记录。

    计算机资源审计

    ETIM-INSS 提供对个人计算机软硬件资源和系统资源的审计能力。包括:

    •  系统信息:提供 Windows 操作系统软件资源、计算机硬件资源以及网络配置摘要信息;

    •  设备信息:提供 Windows 操作系统中所有计算机硬件信息;

    •  网络会话信息:提供 Windows 操作系统中所有网络连接( TCP 、 UDP )的详细信息;

    •  系统窗口信息:提供 Windows 操作系统中已启动的窗口程序的信息;

    •  已安装程序信息:提供 Windows 操作系统中已安装的应用程序的信息;

    •  服务信息:提供 Windows 操作系统中已安装的服务信息。

热词搜索:

上一篇:企业内网安全 注意内网安全与网络边界安全的不同
下一篇:企业内网安全技术分析与应用标准探讨

分享到: 收藏