寶信網絡巡警構鑄信息安全長城

駒寶平

信息泄露是局域網的主要安全隱患之一。所謂信息泄露，就是被故意或偶然地偵收、截獲、竊取、分析、收集到系統中的信息，特別是秘密信息和敏感信息，從而造成泄密事件。面對一樁樁網絡泄密事件，人們在尋求安全保護……

局域網在保密防護方面存在三點先天的脆弱性：一是數據的可訪問性。數據信息可以很容易被終端用戶拷貝下來而不留任何痕跡。二是信息的聚生性。當信息以零散形式存在時，其價值往往不大，一旦網絡將大量關聯信息聚集在一起時，其價值就相當可觀了。三是設防的困難性。盡管人們可以層層設防，但對一個熟悉網絡技術的人來說，下些功夫就可能突破這些關卡，這給保密工作帶來極大的困難。

三大因素

造成信息泄露

根據CSI/FBI提供的統計，已有的網絡安全事件中，數量最多、危害最大的是信息泄露事件；而且主要的信息泄露因素都來自企業內部，而不是黑客等外部攻擊。

那么，這些內部信息泄露事件是怎樣發生的呢？根據專家們細究原因，發現內部泄露信息主要途徑有三類，一是計算機網絡化后，信息通過網絡傳播造成的遺失、泄密；二是信息通過計算機系統的外圍設備復制出去造成的泄密；三是文檔通過打印途徑造成的泄密。

具體問題表現在外來計算機隨意接入、IP地址盜用、非法外聯、外圍設備違規使用、網絡共享和隨意打印文件等方面。

一、外來計算機隨意接入的問題。接入內網的計算機應該是專用計算機，其他外來用戶隨意接入內網網絡，可能會造成重要機密數據泄露等危險。

從傳統的網絡管理手段來說，可以通過在交換機上進行MAC地址與端口的綁定來達到防止外來用戶隨意接入的目的。但是這種方法會給管理人員帶來比較大的工作量，特別是大型網絡，且這種方式的靈活性也不夠，對于任何一臺新接入的設備都必須要在相應的交換機上進行配置，管理非常不便。

內網安全系統應該能夠及時發現外來用戶的接入，自動阻斷或通知管理人員，提供將其從網絡上斷開的技術手段。

二、IP地址盜用問題。內部網絡存在IP地址盜用的危險。一些內部用戶將合法主機修改IP地址后接入網絡，盜竊網上的資源，甚至對主機發動攻擊。對違反規定或禁止上網的計算機及網絡設備，應當能從技術手段上限制其上網。

三、非法外聯問題。作為內網計算機，應該是專網專用，禁止與互聯網等其他網絡發生直接或間接的連接。但是可能有個別的工作人員，將專用計算機挪作他用，為上網、玩游戲、發私人郵件等目的與Internet連接，從而造成外網與內網或互聯網發生直接或間接的連接。由此可能造成以下后果：一是破壞整體安全防護體系。非法外聯行為看似小事，但卻是對整體安全防護體系的嚴重破壞。它在內網與其他外部網絡之間，開辟了一個不經過安全防護機制檢查的“后門”，這個“后門”使整個網絡的安全性大大降低。二是引入惡意的入侵。非法外聯具有一定的隱蔽性，管理人員不易發現，沒有一定的手段，很難對此進行必要的防護，容易遭受惡意的入侵。來自互聯網的惡意入侵者可以輕而易舉地入侵和控制這臺計算機，使入侵者獲得網絡內的合法身份，它可以訪問網絡中的信息資源，可以對重要服務器進行漏洞掃描、入侵嘗試。如果這些服務器沒有采取入侵檢測等進一步的防護措施，惡意入侵者就可以比較容易地獲取這些服務器的訪問、控制權限，隨意地竊取、篡改和刪除重要敏感的數據，安裝木馬程序、病毒程序，中斷其正常的服務，使單位蒙受巨大損失。

從上邊的分析可以看出，非法外聯具有很大的危害性，因此作為安全管理及監控系統，應該對非法外聯的行為進行監視，一旦發現這種現象要及時通知各級管理人員，在必要的情況下可自行將這些連接斷開，保護內部網絡的整體安全。

四、外圍設備違規使用問題。計算機的外圍設備（包括軟驅、光驅、U盤、并行口、串行口、紅外口、1394端口、Modem等）為各種信息在不同的計算機設備之間交流提供了一個方便的途徑，通過它們可以將各種信息復制到不同的計算機中，也包括病毒、木馬等。與此同時，內網中的主機上保存著一些涉密的內部信息，這些信息不能夠隨意地被傳播。

因而有必要對外圍設備的使用進行控制，不允許隨意地使用外圍設備拷貝機密數據。應該實現對各客戶機外圍設備的集中監視和控制，通過在管理端進行設置，可禁止和啟用各客戶機的外圍設備，有效地保護計算機上的信息。同時，應當對外圍設備的文件操作進行審計，記錄相關信息以便發生泄密事件時進行追查。

五、網絡共享造成泄密的問題。計算機上開設的網絡共享文件夾是內網中常用的資源共享的手段，方便而且快捷。但內網中共享文件夾的訪問權限往往設置為普通用戶均可訪問，從而大大增加了信息泄露事件發生的可能性。

因而應當對網絡共享文件夾中的文件操作進行審計，記錄相關信息以便發生泄密事件時追查。

六、隨意打印文件的問題。單位常有重要的文件，如設計圖紙、報表等，對這些重要且必須保密資料的打印等操作無法監控，出現信息泄露事件也無從追溯。

同樣，我們需要對打印行為進行控制和審計，嚴格管理打印的文件內容和份數，從而控制重要文檔的傳播。

ECop多方式

防止信息泄密

據介紹，寶信軟件著眼于安全管理中最重要且最為薄弱的內網安全環節。2002年寶信軟件率先提出“內網安全”的概念，并推出了內網安全管理產品——寶信網絡巡警eCop。經過3年多的發展，該產品已在國內內網安全管理市場上占據領先地位。

該產品致力于網絡接入安全、終端安全、服務器安全、應用安全等領域，提出了基于WEB瀏覽器管理的全面的內網安全管理解決方案，采取主動防御與控制的手段，幫助政府機關、制造業、研究院、電力、電信、金融機構等單位構建一個可信并可控的內網環境，杜絕泄密事件的發生。

首先，IP地址管理杜絕非法計算機接入，盜用IP地址進行竊密。

寶信網絡巡警eCop通過實時掃描獲取與分析在線計算機的IP、MAC地址信息，提供IP地址、MAC地址的合法性判定,警告和阻斷不滿足合法性判定的計算機，統計分析非法IP地址使用的歷史情況，從而保證外來的主機不經許可無法接入內網，內網的計算機無法盜用IP地址進行竊密。

其次，非法外聯監控限制內網計算機外聯，防止內外網之間不受控制的信息交換。

寶信網絡巡警eCop通過定期檢測該計算機的網絡連接情況，及時發現連接其他外部網絡的行為，記錄下其違規外聯的信息并向控制器端發送違規記錄和報警通知。非法外聯監控對于連接在內網發生外聯和脫離內網的發生外聯均能夠進行檢測，管理人員可在控制器端進行監控策略的配置，選擇上述某一種監控方式。對于發生非法外聯行為的計算機，客戶端可自動斷開其各種網絡連接，包括網卡連接、撥號連接、無線連接等，從而保證內網的計算機專網專用，不與外部網絡發生信息交換。管理人員可在控制器端配置恢復該計算機網絡連接的策略，可選擇自動恢復網絡連接和確認恢復網絡連接兩種方式。

再次，控制外圍設備使用，防止通過外圍設備進行的文件傳輸。eCop通過設定啟用或禁用各計算機的外圍設備，自動禁用或啟用軟驅、光驅、U盤、MODEM、串口、并口、紅外口和1394口等外圍設備和接口，從而防止通過外圍設備進行的文件傳輸。

第四，文件操作審計，保證通過U盤和網絡共享發生的泄密事件可以追溯。eCop通過記錄從本機拷貝文件到移動存儲設備或網絡共享目錄的操作，保證從U盤和網絡共享中泄露的文件可以追述。

第五，打印審計和控制,杜絕通過文檔打印發生的文件泄露。eCop通過記錄完整的打印日志，控制用戶的打印配置和打印行為，杜絕通過打印或多打機密文件發生的文件泄露，實現對打印資源的有效管理控制，降低打印成本。記錄內容包括打印操作的用戶、計算機、文件名、頁數、份數、紙張類型等信息。

除此以外，eCop還具備軟硬件信息管理、服務監視、操作系統補丁管理等功能。能夠有效地加強內網安全管理，提高內網安全級別，降低泄密事件發生的可能，在泄密事件發生時保證有據可查。

作為國內內網安全管理產品市場的領導廠商，寶信軟件經過3年多的自主研發，推出了寶信網絡巡警eCop。目前，寶信網絡巡警eCop已經在多家不同行業但同樣具有信息保密需求的單位成功使用。