根據國家保密局和軍隊的相關要求,所有軍工企業必須將局域網劃分為內網和外網, 存儲 重要信息數據的設備與互聯網物理隔離,在很大程度上排除了來自互聯網的直接威脅。但對于內網來講,并沒有完全解決了信息安全的威脅。
第一、主動非法外聯。如果有人在內網的計算機上通過撥號方式連接互聯網,那么整個內網實際上已經暴露在互聯網上了。病毒或黑客完全可以通過這臺連接互聯網的機器入侵整個內網。
第二、外設端口濫用。內網機器都有存儲設備接口,例如光驅、軟驅、 USB 接口、串并口和紅外接口等,通過外設接口非常方便造成信息泄密。
第三、資源濫用。內部員工隨意將軟件、游戲、電影等在內網運行,極有可能將病毒、木馬、后門等帶到內網當中,從而造成難以預見的破壞。
第四、非法主機接入。通過外帶設備接入到內網,導致內網信息被竊取或者帶入病毒、木馬等威脅。
第五、內部人員對計算機專業知識不熟悉和對電子信息保密的意識不強,而導致泄密事件。如有些人因事離機時沒有及時關機或者鎖定措施,使各種輸入、輸出信息暴露在界面上;如有些人沒有設置系統口令或者設置弱口令把系統裸露在明處。
第六、規章制度不健全或者違反規章制度泄密。操作人員對涉密信息與非涉密信息沒有分開存儲,甚至將所有的文件都放在一個公共目錄里,也沒有進行加密處理或者訪問控制,使涉密信息處于失控狀態。
第七、主動泄密。由于電子信息文檔不象傳統文檔那樣直觀,而極易被復制。內部人員徇私枉法,泄漏計算機系統保密措施,口令或密鑰,就會使不法分子入侵到計算機網絡,竊取文件系統和數據庫內的重要信息。
因此內網的信息安全并不能高枕無憂, 并且由于內部員工對于內部的組織結構、人員部署、機構設置相對于外部人員要熟悉的多,致使信息外泄事件往往情節嚴重,并且損失巨大 。為了保證內網的信息安全必須首先從內部人員入手,制訂管理制度,加強監管措施,對內部用戶的行為進行有效監控,使內部信息不被泄漏。
二、軍工企業內網安全需求
軍工企業在設計、生產和管理中涉及到大量機密的信息,為了有效的保證信息的安全性,有必要對現有網絡系統進行以數據信息安全保護為中心的信息安全建設,建立信息安全保障體系,確保網絡中應用信息的安全性 。一方面、需要對內網網絡以及個人計算機終端進行嚴格的訪問控制,防止由于外來攻擊和非法接入導致的被動信息泄密;另一方面,需要對內網網絡和個人計算機終端的使用行為進行授權、強制控制和安全審計,以防止內部員工由于各種動機導致的主動信息泄密。
1 、終端計算機外設和端口控制
對于外接設備和外接端口缺乏有效控制,為信息泄漏造成了潛在威脅:
• USB 端口管理。 對 USB 存儲設備的端口,即要做到不妨礙其他 USB 外設(如鍵盤、鼠標等)的使用,又要對 USB 存儲設備的使用嚴格控制和管理;
• 打印機、 modem 等外設統一控制 。對終端的打印機接口要做到統一的控制,不需要本地打印機的機器,要做到對此端口的封禁,防止內部人員通過本地通過打印的方式泄漏機密信息。對 modem 進行統一管理,以防止內部人員私自撥號上互聯網;
• 光驅、軟驅、刻錄機等外接設備統一控制。 對光驅、軟驅、刻錄機等常規外設,也要做到統一的管理和控制,以防止內部信息通過這些方式泄漏。
2 、終端計算機實時管理和審計
對每臺計算機的實時管理和審計,管理員可以做到對每臺機器的情況做到心中有數。
• 對終端網絡共享實時控制和日志記錄。 Windows 網絡共享作為一種共享文件的方式方便了員工的工作需要,但與此同時也帶來了非常嚴重的信息泄漏問題。因此,對網絡共享,要做到能夠實時控制,并且對開放和關閉共享的信息做到全面的日志記錄;
• 對終端計算機操作實時控制和日志記錄。 作為內網信息安全系統,要對每臺終端的實際操作(文件操作、打印操作等)做到實時的監控和完善的日志記錄,從而為內網信息安全策略的制定提供依據;
• 對終端計算機資產管理和實時截屏。 能夠對內部主機硬件、軟件、系統、網絡連接、服務和進程等資產進行管理和再現,并且能夠記錄終端實時屏幕,以方便管理人員的遠程監控、查找線索和保留證據;
• 對終端計算機網絡控制和用戶行為監控。 作為內網信息安全系統,對每臺終端網絡應用行為和主機應用程序都有比較細致的管理控制,有利于管理人員控制終端主機的使用,以便提高生產力。
3 、用戶登陸控制
對局域網內的 PC 和筆記本進行統一的登陸控制管理,確保內部所有主機都要強制執行身份認證管理機制,保證使用的實名制。
4 、非法接入和非法外聯控制
非法主機接入內網涉密設備和內部主機非法連接外網會導致如下后果:黑客攻擊和病毒入侵;無法對違規操作進行追溯,不利于事后偵查和追溯;重要資料泄漏。
5 、合理的安全策略配置與管理
內網 安全策略是內部網絡安全系統建設的指導原則、配置規則和檢查依據。合理的安全策略應做到:
• 多樣化 。對所有可能泄密的途徑(外設、端口、網絡、存儲等)安全策略都能覆蓋到。
• 細粒度。 既可以對整個安全域實施相同的安全策略,也可以針對不同主機的安全需求不同而定制個性化的安全策略。
• 不可抗拒性。 由安全系統統一分發給客戶端的安全策略,客戶端只能被動接受管理,被管者無法自行改變策略。
• 管理方便。 制定的策略可以方便查詢并以保存為多種文件格式;策略制定和修改簡單直接。策略分發要及時和準確。
• 內網信息安全系統建設
1 、計算機外設安全管理體系建設
通過對計算機的各種外接端口、外接設備和移動存儲設備的全面管理,規范其使用行為,從而保證上述計算機終端安全體系的安全。
移動存儲設備管理
邏輯磁盤認證技術對接入計算機的存儲介質進行認證和控制,防止信息被有意或者無意從存儲設備(尤其是移動存儲設備)泄漏出去。該技術支持靈活的策略管理模式,使得用戶能夠根據需要設定移動存儲設備的使用權限(比如禁止使用策略、正常讀寫策略、只讀策略、加密讀寫策略),即保留了移動存儲設備的方便性,又堵截了移動存儲設備可能帶來的安全隱患。
ETIM-INSS 提供了對存儲設備進行邏輯磁盤認證來控制存儲設備的使用,只有通過認證的設備才能在 ETIM-INSS 安全控制域中進行使用,并根據僅在認證設置的策略和權限范圍內使用該存儲設備。存儲設備認證提供下面列舉的認證權限和使用策略:
• 支持禁止或者 允許 使用未經過認證的存儲設備;
• 支持對存儲設備設定為禁止使用策略;
• 支持對存儲設備設定為加密讀寫策略,寫入存儲設備的數據都是加密的;
• 支持對存儲設備設定為直接讀寫策略,即沒有限制的自由使用方式。
外部設備和接口 管理
• 支持禁止或者開放 USB (通用串行總線架構)接口;
• 支持禁止或者開放 SERIAL (串行總線架構)接口;
• 支持禁止或者開放 PARALLEL (并行總線架構)接口;
• 支持禁止或者開放 IrDA (紅外架構接口)接口;
• 支持禁止或者開放 1394 (火線架構接口)接口;
• 支持禁止或者開放 FD (軟盤驅動器)介質設備,包括 IDE 接口樣式的 FD ;
• 支持禁止或者開放 CD-RW (可刻錄光盤)介質設備;
• 支持禁止或者開放 PCMICA 卡(筆記本)接入設備;
• 支持禁止或者開放 Bluetooth (藍牙)接入設備;
• 支持禁止或者開放 Modem 撥號設備。
2 、計算機非法外聯和接入安全管理體系建設
通過對計算機非法外聯和接入連接行為的全面管理,規范其使用,從而保證計算機網絡體系的安全。
對撥號連接的控制
網絡內部人員可能通過各種其他的網絡外聯方式(比如 Modem )聯入 Internet ,這就為網絡打開一個“后門”,同時也為可能的機要數據泄漏提供了通道。 ETIM-INSS 對于可能的網絡撥號行為進行了驅動級的防護,能夠防止內部人員在非授權的情況各種有意無意的信息外泄,完成機要數據的保護。
ETIM-INSS 通過網絡撥號管理,對客戶端設置“禁止使用撥號連接”時,客戶端的所有網絡撥號動作被自動禁止。同時提供對撥號信息內容的實時查看(連接名稱、連接狀態、設備名稱、設備類型、電話號碼、連接時間、連接速度、發送字節、接收字節)和實時關閉。
對非法接入網絡的安全防護 -邏輯安全域技術(解決非法接入與外聯)
ETIM-INSS 系統采用 Windows 操作系統網絡過濾技術與 NDIS 中間層網絡驅動技術,結合聯網 / 離網策略,加密網絡通信和 PKI 體系,共同打造了“ ETIM-INSS 邏輯安全域”功能。有效控制網絡通信,防止可信內網計算機的數據通過網絡聯接流失到域外,防止通過網絡傳輸非法竊取、丟失和篡改內網的重要信息,防止外來計算機對受保護主機的非法接入和網絡攻擊行為。
邏輯安全域是具有安全屬性的一組內網計算機的邏輯集合,邏輯安全域內計算機之間的網絡通信是合法安全可靠的;邏輯域與域外計算機之間不可進行網絡通信。這樣就確保了非安全域內的計算機不能連入和合法計算機的非法外聯。
加裝了邏輯安全域客戶端模塊的主機在同一邏輯安全域內的計算機之間網絡通信正常,域內機器和域外機器之間不能進行網絡通信,雙向阻斷。通過配置白名單 IP 地址,可以允許放過不安裝客戶端的一些應用服務器或者其他操作系統機器的網絡訪問。
• 計算機打印安全管理體系建設
打印是數據信息泄漏的主要途徑之一,通過對客戶端打印功能進行遠程管理,并對打印行為進行監控,可以記錄打印的來源和相關內容,從而做到對打印行為的審計。
通過“禁用 / 啟用本地打印 / 網絡打印”的管理與控制來實現打印功能的安全管理;通過支持對打印行為的監控功能,提供對于打印行為的詳細日志記錄,來審計打印行為。
1. 支持對本地打印、網絡打印、共享打印和文件打印的遠程啟用與關閉。
2. 支持記錄或不記錄包括從該計算機上發起的本地打印、文件打印、共享打印和網絡打印信息。
3. 打印監控所提供記錄的打印信息有:打印時間,打印文檔,打印用戶,發起主機名,發起主機 IP ,打印機和打印頁數。
• 計算機使用規范管理體系建設
通過對計算機的各種網絡應用行為、用戶行為的全面管理,并結合身份認證體系以及對計算機的實時巡查和日志審計,全方位的規范計算機的應用,從而保證計算機管理體系的安全。
網絡行為管理規范
ETIM-INSS 提供了對網絡行為操作的主動控制和管理,通過網絡行為管理盡可能的避免機密信息通過網絡傳輸途徑進行泄密或者通過共享方式泄密。網絡行為管理的使用策略可以在聯網、離網情況下使用,更為全面得加固主機規范使用。網絡行為管理提供下面使用策略:
• 訪問網址黑,白名單控制
提供 URL 地址黑名單定制能力;
提供 URL 地址白名單定制能力;
提供對 URL 地址離線和在線的策略控制;
提供詳盡的 HTTP 日志記錄。
• 郵件發送黑,白名單控制(不支持 WEBMAIL 控制)
提供郵件接收和發送地址黑名單定制能力;
提供郵件接收和發送地址白名單定制能力;
提供對郵件地址離線和在線的策略控制;
提供詳盡的接收郵件內容記錄。
• 禁止或者允許網上鄰居和共享文件夾
提供對網絡鄰居的控制能力,允許或禁止;
提供對網絡共享的查看和實時關閉能力;
提供對網絡共享的設置控制——對自定義共享、系統默認共享、 Admin 共享、 IPC$ 共享的禁止和允許控制;
提供對共享操作和訪問的詳細記錄和日志審計。
• IP/MAC 地址綁定
用戶行為規范 管理
針對客戶端不同的用戶行為, ETIM-INSS 能夠進行有效的管理。根據策略設置可以定制黑名單,從而禁止客戶端的某些進程、服務和窗口的運行,實際上也就是對客戶端上程序等應用的控制。用戶行為規范管理具體包括
• 進程黑名單的定制:支持聯網 / 離網情況下的組合策略,可以有效控制某些程序的使用,如 QQ 、 BT 等;
• 服務黑名單的定制:支持聯網 / 離網情況下的組合策略;
• 窗口黑名單的定制:支持聯網 / 離網情況下的組合策略,結合進程管理,可以唯一控制程序的使用。
用戶身份管理
用戶身份的管理是網絡安全管理的最基本措施, ETIM-INSS 系統通過 PKI 體系和數字證書技術,將用戶身份與網絡安全系統完全融合在一起,從而對用戶身份實現了有效的管理,實現了靈活的多種身份認證模式。此外, ETIM-INSS 還實現了人機分離防盜用等行之有效的身份管理措施。
對內網內所有 PC 和筆記本能進行統一的登陸控制管理,確保內部所有主機都要強制執身份認證,確保系統的登陸可信安全。登陸方式包括:
• 用戶名、口令方式登陸;
• USB 電子證書方式登陸;
• USBKEY 令牌關聯(雙因素強制認證)。
日志審計管理
ETIM-INSS 向系統管理員提供分層次的、多級別的專業系統安全審計報告,如用戶行為審計、計算機資源審計 ,從而輔助網絡的管理員進行網絡計算資源調配和個人行為事后審計。
用戶行為審計
ETIM-INSS 提供對個人計算機關鍵的用戶操作行為的審計。包括:
• 網頁日志審計:提供客戶端用戶訪問網頁的日志信息;
• 文件傳輸日志信息:提供客戶端通過 FTP 訪問及交流數據的日志信息;
• 電子郵件日志信息:提供客戶端用戶發送郵件及其內容的日志信息;
• 文件操作信息:提供 Windows 操作系統中用戶執行的所有文件操作信息日志;支持對文件或者目錄創建、刪除和重命名的記錄,并支持對目錄共享或者取消共享的記錄;支持自動記錄。
計算機資源審計
ETIM-INSS 提供對個人計算機軟硬件資源和系統資源的審計能力。包括:
• 系統信息:提供 Windows 操作系統軟件資源、計算機硬件資源以及網絡配置摘要信息;
• 設備信息:提供 Windows 操作系統中所有計算機硬件信息;
• 網絡會話信息:提供 Windows 操作系統中所有網絡連接( TCP 、 UDP )的詳細信息;
• 系統窗口信息:提供 Windows 操作系統中已啟動的窗口程序的信息;
• 已安裝程序信息:提供 Windows 操作系統中已安裝的應用程序的信息;
• 服務信息:提供 Windows 操作系統中已安裝的服務信息。
