內網終端數據安全防護解決方案

洪躍強 許元進

?

內網終端數據安全防護解決方案

洪躍強 許元進

福建伊時代信息科技股份有限公司

1 背景及市場分析

目前絕大多數企事業單位都把信息安全的重點放在防范外部的攻擊，并依賴于防火墻、防病毒、入侵檢測等軟件。由于IP地址非法占用、盜用、非法外聯、補丁更新滯后、新型病毒、垃圾郵件、內部人員的信息外泄和黑客入侵而導致的安全事故時有發生, 威脅業務的正常運行和信息資產的安全。傳統的以組織邊界和核心資產為保護對象，以外部防御為基礎的安全體系逐漸顯示出嚴重的缺陷，無法有效應對當前終端安全威脅，各企事業單位都迫切需要整合、統一部署一個獨立的、可靠的、有效的、易管理的內網終端數據安全防護系統，以全面消除安全隱患，保障網絡正常運行和信息資產的安全。因此，內網終端安全防護產品的市場需求量在逐年增大。

2 主要技術分析

目前，“終端數據安全”已經成為人們普遍關注的信息安全熱點問題之一，尤其是關于它的整體解決方案。在這里，我們重點介紹 “內網終端數據安全防護系統”。

首先，講述幾個常用的概念，包括數據、終端、用戶、操作。

所謂數據，就是能被計算機加工處理、保存、傳輸的數字串、數字塊。如果它還承載著某種內涵，就成為了信息。終端是一個統稱概念，它有可能是主機，或PC，也有可能是打印等設備。在本解決方案中，主要指的是主機設備。而擁有終端設備的使用者就是用戶。圍繞某種需要，用戶和終端進行人機對話的過程，就稱為操作過程。

如果某種信息對擁有者來說很重要，并因此不便讓無關人員知道，或者擴散會造成經濟損失，那么這樣的信息就成了“敏感信息”。

“內網終端數據安全防護系統”在邏輯上對“敏感信息”進行了分級管理，并設置了擴散邊界，而且對組織內部（就是設定的網絡系統內）的每臺終端的操作過程進行監控和記錄日志，必要時還可以適時阻止可能的非法操作行為，因此有效保護了組織內部的信息安全。這個系統所涉及的安全管理內容包括：安全域邊界管理、移動存儲介質管理、終端接入和外聯管理、資產變更管理、終端外設管理、補丁及文件分發和終端操作審計等方面，以此保證對數據存儲、傳輸和使用的整個過程進行控制、保護和審計，達到事前防范、事中巡查和事后審計，全方位確保組織內部的信息安全。

2.1 安全審計系統

安全審計是系統的重要組成部分，對于安全策略的實施和終端監控系統的有效運行起著重要作用。提供實時、集中、可視化的對終端主機的運行狀況、用戶操作情況等進行監控審計，便于對系統在運行過程中的安全性進行綜合分析與評估，檢測和阻止非法用戶對系統的入侵。

2.2 數據信息的安全存儲

終端數據信息的安全存儲主要是通過網絡文件保險柜來實現的。網絡文件保險采用軟硬結合，由安全存儲服務器、管理配置引擎、存儲客戶端、文件或數據庫備份恢復引擎、本地加密盤、USBKEY認證部件、PC終端文件透明加解密防泄漏驅動模塊等組成，通過定制安全內核、加密傳輸、安全訪問控制、文件系統加密等技術實現了重要數據信息的安全存儲，有效的保護終端數據信息的安全。

2.3 安全監控策略描述與一致性檢查

安全監控策略是系統的重要組成部分，它是將各方面的安全規章制度融合在一起的關鍵。安全監控策略要實現用戶、主機、數據信息、操作四者有機的關聯，由此從抽象的角度來看，安全監控策略可以用如下四者的關系來描述：用戶權限等級、主機集合、數據信息等級、數據操作動作集。

由此在一個內部網絡中可能會存在多種用戶權限和多個數據信息等級，這對安全監控策略的描述造成了一定的困難，主要在于安全監控策略有可能會在具體的數據使用過程中發生變化，如某個特定用戶權限等級 R，需要對某個數據 D的操作權限進行改寫，但同時保持 R 級用戶對與 D 同等級的數據信息的操作權限不變，這時就需要系統管理員重新設定對應的安全策略，但新的安全策略與前 D 等級數據信息的安全策略發生了沖突。解決沖突的辦法有多種，可以采用針對數據 D 重新建立一個數據信息等級的方法來解決與原 D 同等級數據安全策略的沖突，但這種解決方式會造成數據信息等級越來越多，安全策略設置混亂，從而不利于系統管理員統一管理。

在系統中采用抽象策略與具體策略的方法來加以解決。抽象策略只是描述某個抽象等級信息，而具體策略由抽象策略的子類實例生成。例如上述的 D 數據所屬的信息數據等級可以利用抽象策略表示成：。而具體的 D 數據則是其子類，由此可以表示成：。

當系統管理員由抽象安全策略生成新的具體安全策略后，可以由監控服務器進行安全策略一致性檢查，檢查的依據是子類可以繼承父類的安全策略，或者其操作權限、數據集合、主機集合和操作集合必須是其父類的子集。如上述對應 D 數據的新安全策略，操作動作集合必須是抽象安全策略的子集。

2.4 終端探針的實現

本系統主要采用的探針技術，分布在內網各終端中實現對內網各終端活動的安全監控，終端探針嵌入到內網終端中的獨立監控軟件，它與監控服務器配合，監視主機活動，并將終端活動報告發送至監控服務器中。終端探針實現的關鍵在于終端探針與監控服務器交互、探針監控原理的實現，終端與探針的綁定。

終端探針監控原理的實現主要是利用監控終端的文件系統，以及操作系統API 調用監控來實現的。針對終端的文件系統操作，檢查操作目標文件是否屬于安全監控的范圍，如果屬于，則進一步檢查文件操作的屬性。從而確定用戶的操作是否符合安全策略的規定，如果用戶操作超過了安全策略的規定，則探針將直接中止用戶的相應操作。

終端與探針的綁定可以通過終端的硬件參數生成唯一標識碼，由標識碼來生成終端探針的標識號。終端探針在獲得標識號之后，即可以利用標識號來生成相應的加密/ 解密密鑰對，并將加密密鑰發送至監控服務器，并使用密鑰對與監控服務器交互的數據進行簽名。由此，監控服務器即可針對終端探針發送的數據進行簽名認證，確認數據的來源，并將監控信息確認到對應的終端。

3 系統安全性分析

作為一個安全監控系統，系統必須要有自身的安全性保障措施以應對可能存在的安全威脅，由于監控服務器主要是在內部網絡中運行，所以它面對的安全威脅主要有3 種：

（1）終端探針被破壞，無法起到安全監控的作用；

（2）被偽造的終端探針監控數據所欺騙；

（3）針對監控服務器發動的 DDOS 攻擊，致使監控服務器發生癱瘓。

針對第一種安全威脅，本系統采用心跳線技術來解決，心跳線按規定周期向終端探針服務器發送狀態數據，該數據由終端探針加上時間戳后再加密生成，由此服務器可以根據心跳線數據判斷終端探針的工作狀態，一旦終端探針在工作狀態下停止發送心跳線數據，則其必然有故障發生，服務器將向管理員發出警報。

針對第二種安全威脅，主要是監控數據或者心跳線數據可能被偽造。但在本系統中，心跳線數據采用時間戳加密的方式，攻擊者是無法偽造的，至于監控數據也采用時間戳加上監控數據以及數據簽名的方式，使得攻擊者無法偽造監控數據。

針對第三種安全威脅，本系統采用監控數據異常報警的方式來加以解決，即當監控服務器的可利用資源降低到一定閾值后，即向管理員發出警報，請求管理員對內網運行狀態進行檢查或對監控服務器資源進行升級處理。

該安全防護系統實現核心是位于內網主機的終端探針采用分布的方式，采集內網各終端的活動數據。由于采用了終端探針標識號，加解密和數據簽名的數據認證技術，保證了監控數據可信。同時采用探針與監控服務器分離的方式使得本系統具有良好的可擴展性，而心跳線技術保證監控服務器隨時掌握各終端探針的狀態。雖然從體系結構上看，監控服務器也可能會存在性能瓶頸，造成整個系統的效率降低，但這可以通過資源升級和優化加以解決。

4 系統實現目標

如何更好地實現主動防御和事前防范，首要工作是制定一套切實可行的安全策略。終端安全的所有動作都遵循此安全策略進行，系統提供默認安全策略，同時提供客戶自定義安全策略，在客戶設置完成后可以通過策略查詢功能查詢安全域的安全策略設置情況，從而使使用者了解自己網絡安全設置情況，通過分析安全策略的設置發現可能出現的安全問題，使用者對自身網絡安全心中有數。重點解決了如下問題：

4.1 確保內部信息與網絡資源受控合法使用；

4.2 確保內部重要信息的安全與保密；

4.3 實現了接入終端用戶的身份認證；

4.4 實現對重要信息的加密處理；

4.5 實現存儲介質（包括硬盤、軟盤、移動存儲介質等）的保護；

4.6 實現對終端計算機端口和設備（如并口、串口、USB口、紅外端口和藍牙設備等）的控制；

4.7 實現終端用戶的安全連接，防止非法接入和非法外聯，保證網內數據的安全使用；

4.8 實現對終端計算機網絡行為和用戶行為的控制；

4.9 實現登錄身份認證，保證用戶的合法性；

4.10 實現對打印的控制和審計；

4.11 實現事前控制、事中報警和事后審計的完整體系。

5 結論

本解決方案的設計目標是在最小安全投資的前提下，在對網絡結構不改變的情況下，不添加更多的硬件設備，不對用戶的使用造成不便，最大限度地管理內部網絡系統和終端信息的安全，通過以事前防范為主并結合事中巡查和事后審計等相關技術，能夠有效地對企事業單位的終端數據進行綜合安全防護管理。

[1] 王良.終端安全防護產品的設計及其安全性分析[EB/OL].http//www.rier. com. cn/showjiush.asp?id=163

[2] 沈昌祥.基于積極防御的安全保障框架[J].計算機研究與發展,2003,(10).

[3] 趙勇,劉吉強,韓臻,沈昌祥.信息泄露防御模型在企業內網安全中的應用[J].計算機研究與發展,2007,（5）.