上海互普内网安全.doc

《上海互普内网安全.doc》由会员分享，可在线阅读，更多相关《上海互普内网安全.doc（8页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、上海互普信息技术有限公司威盾ViaControl企业内网安全实施必要性分析上海互普信息技术有限公司2006年3月28日企业内网当前存在的问题与内网安全监控系统实施的必要性随着这几年的发展，人们对网络安全的认识也日益深入，入侵检测、VPN、信息加密等安全产品也逐步得到认可，但是这些产品有一个共同点：防外不防内。各个组织在网络安全建设上投资不小，但这些安全建设完全基于“内部人行为可信赖”这一假设。这样一来，网络内部安全必然疏于防范，信息暴露于内部人面前，假如这些信息有可利用的价值，就可能被内部人员截获并获取非法利益。 当前企业内网当前存在的主要关键问题：一企业相关人员的离职等人员变动，或有些人员已

2、经在准备跳槽或被利诱收买恶意、私自拷贝办公内部机密信息泄露流失到外部。随着信息网络不断发展，内部泄密和内部攻击破坏已经成为威胁网络安全应用的最大隐患。中国信息安全测评认证中心的调查结果也表明，信息安全问题主要来自泄密和内部人员犯罪，而非病毒和外来黑客引起，这正反映了“堡垒最容易从内部攻破”的道理。毫不夸张地说，一个能进入办公室打开机密电脑的普通员工对内网安全的潜在威胁远远超过了一个技术一流的网上黑客。当企业花费大量资金和精力构建起庞大的网络架构和安全防护体系时，殊不知，威胁企业生存和发展的是来自内部网络的安全隐患，而且其危害远大于一次黑客攻击或一次病毒骚扰。各个组织在网络安全建设上投资不小，但

3、这些安全建设完全基于“内部人行为可信赖”这一假设。这样一来，网络内部安全必然疏于防范，信息暴露于内部人面前，假如这些信息有可利用的价值，就可能被内部人员截获并获取非法利益，而一旦泄密事故出现，不仅损失惨重，而且很难追查到泄密人员，只能对相关领导进行处罚。其实这种情况是可以通过一些手段避免的，只不过这些组织没有认识到内部安全问题而已。FBI和CSI在2002年对484家公司进行了网络安全专项调查，调查结果显示:超过85%的安全威胁来自公司内部、有16%来自内部未授权的存取，有14%来自专利信息被窃取，有12%来自内部人员的财务欺骗，而只有5%是来自黑客的攻击;在损失金额上，由于内部人员泄密所导致

4、的资产损失高达6000多万美元，它是黑客所造成损失的16倍、病毒所造成损失的12倍。由于内部网络监控的缺位，有许多漏洞可以被内部人员所利用以截获资料，目前来看，内部泄密主要是通过如下途径:1、内部人员将资料通过软盘、U盘或移动硬盘从电脑中拷出带走;2、内部人员通过互联网将资料通过电子邮件发送到自己的邮箱;3、将文件打印后带出;4、将办公用便携式电脑直接带回家中;5、电脑易手后，硬盘上的资料没有处理，导致泄密;6、随意将文件设成共享，导致非相关人员获取资料;7、移动存储设备共用，导致非相关人员获取资料;8、将自己的笔记本带到公司，连上局域网，窃取资料;9、乘同事不在，开启同事电脑，浏览，复制同事

5、电脑里的资料。此外，还有很多其他途径可以被别有用心的内部人员利用以窃取资料。特别的，在数据安全方面，我们从CSI/FBI的2003年度报告中可以看到损失情况统计：可见，内部信息泄漏，已经在安全事件导致的经济损失中，占了相当部分的比例。因此，对组织机构，特别是存在核心机密数据的组织结构来说，如何防止内部机要信息被非法窃取、篡改、破坏，是当前信息安全建设的一个重点。二、别有用心的内部人员的故意破坏和无意的破坏有些内部用户伪装IP地址进行攻击，企业内部办公网内居心叵测的攻击者可以将自己的IP 地址改为他人的IP地址发起攻击，这种做法往往会让管理人员转移调查目标，难以发现真正的攻击发起者。另外，想上一

6、些非法网站或对内网进行破坏之前，会对自己机器 IP进行修改，这样，在进行非法操作之后，用户会把自己的IP地址修改回来，这样网管人员即使知道是某个IP进行了非法操作，他也不知道具体是谁。有些人员已经在准备跳槽或被施利收买，于是办公内部机密信息被其私自拷贝、复制后流失到外部；还有那些被批评、解职、停职的内部人员，由于对内部办公网络比较熟悉，会借着各种机会(如找以前同事)进行报复，如使用病毒造成其传播感染，或者删除一些重要的文件，甚至会与外部黑客相勾结，攻击、控制内部办公网络，使得系统无法正常工作，严重时，可能造成系统的瘫痪。而有些办公人员稍具网络知识，又对充当网络黑客感兴趣，于是私自修改系统或找到

7、黑客工具在办公网络内运行，不知不觉中开启了后门或进行了网络破坏还浑然不察；一些办公人员喜欢休息日在办公室内上网浏览网页或下载软件或玩网络游戏，但受到网络安全管理规定的限制，于是绕过防火墙的检测偷偷拨号上网，造成黑客可以通过这些拨号上网的计算机来攻入内部网络；三内部网络滥用缺乏规范管理根据Yankelovich的最新调查报告显示，超过60%的企业互联网访问包括了与业务无关的、不恰当的、甚至危险的站点。另外，超过82%的员工承认在每个工作日都会使用互联网处理个人的事务，包括娱乐。员工进行互联网冲浪，产生的浪费和后果让IT主管理十分吃惊。它们主要在以下三个方面产生危害:生产力流失、网络带宽浪费、法律

8、后果、安全隐患。企业员工会在自己的机器上安装聊天软件，如QQ、MSN、TM等，这样，不仅会影响员工的工作效率，有的聊天软件还会占用大量的网络带宽，影响网络上的正常应用。如员工在上班的时间，可能会做一些和工作无关的事情，如玩游戏等等，公司的上网费用居高不下，而其中大部分却是耗于公司员工的私人用途：聊天、打游戏、疯狂下载电影、上网购物、为跳槽在网上找工作，甚至访问黄色站点。对于老板来说，你向你的员工们提供丰厚的薪水、高速的网络接入，为的是换来能给你带来利润的高效工作。而现在取代努力工作的，是效率的低下、PC资源和网络资源的浪费、同时带来很多潜在的威胁（私自安装游戏、非法软件、非法网站等会引发病毒和

9、木马）。老板是应该给员工一定的自由和私人空间，但是如果带宽全被流媒体、音乐下载、BT电影下载这些占据了，别人怎么上网？连网页打开都很难，如何工作？所以管是应该的，不能让与工作无关的网络应用占据了正常的工作带宽，如果你收一封邮件需要10分钟，你愿意忍受这样的网速吗？从提高效率角度出发，应该保证正常工作的网络效率。由于目前办公室上网全部为共享使用网络带宽的方式，所以无法针对不同部门、不同员工所使用的网络带宽进行合理分配。有可能会出现这种情况：没有太多上网需求的部门在拼命的上网，下载大量对工作毫无贡献的流媒体，占去了相当部分的网络带宽；而需要通过互联网开拓业务的销售部门、业务部门却因为带宽不足，急需

10、处理的外发资料无法正常发送。可以说，完全平均分配的网络管理方式无视不同部门、不同岗位的上网需求，企业网络资源得不到合理利用。为什么安装了防火墙、杀毒软件还是有人喊中毒了，机器被攻击了，QQ被盗了？归根结底还是人的原因，今天你上了一个陌生的网站，看了一些有意思的信息，明天你的电脑中了木马，感染了蠕虫，整个公司内部网不能用，甚至多台电脑都被感染，如何工作？工作效率何来？“聊天工具”或“网页邮件”为不法泄漏公司机密的人开启了一个便利通道，这些人可轻易的将公司内部重要信息传送到企业外部，为企业与客户带来莫大的损失。同时如果有员工对公司不满，随意在网上发布对公司不利的言论，与竞争对手交流一些机密信息，寻

11、找新的工作机会，这些都是问题。同样，从CSI/FBI的2003年度报告中可以看到如下另一组各类网络行为比例统计：可见，内部网络的滥用、缺乏规范管理所造成的损失也占比较大的比例，私自安装游戏、非法软件、非法网站访问等引发病毒所造成的损失也较大。“攘外必先安内”，面对企业内网中存在的严重问题，因此内网安全监控系统的实施就很有必要。内部安全系统就像是站在用户身边的管理员，时刻监控、规范用户行为威盾内网安全监控系统的主要功能有：一电子文档安全管理以犯罪行为心里学为理论指导，以安全事件过程管理为主线，实现了事前预防，事中控制，事后审计的安全管理。 制定周详的事前预防策略u 对信息传递途径进行控制，实现通

12、讯设备和存储设备的控制；u 通过网络接入保护，实现外来电脑的接入局域网限制；u 制定周详的报警策略，对非法接入进行及时报警提示；u 制定周详的互联网信息传递阻断策略，对非法信息传递进行阻断；对泄密行为进行事中记录和控制u 对泄密行为及时启动控制和报警策略；u 对泄密过程进行屏幕记录，方便现场查看，事后录像回放；u 详尽的电子文档操作痕迹记录，包括访问、创建、复制、改名、删除、打印等操作；u 集中审查终端共享，防止共享泄密行为。详尽的日志信息，提高事后追查的准确率u 进行电子文档操作及屏幕记录，便于信息泄密事后追查；u 对互联网信息传递进行记录，便于信息泄密事后追查；u 对系统用户进行日志审计，

13、实现系统安全管理。电子文档安全管理的功能列表功能菜单程序功能管理作用禁用设备可按某台、某组或整个网络禁止使用哪些设备，包括：存储设备如光驱、软驱、USB、通讯设备、禁止修改网络属性等。 根据风险评估，制定事前预防策略，根据策略对相应的设备进行禁止，预防文件泄密。可以灵活的开启设备，不影响员工的正常使用。报警规则可按某台、某组或整个网络设置硬件或软件信息变化的报警规则，设置某个或某类文件的各种操作报警规则。对泄密者添加泄密设备（如：闪存、移动硬盘等）实现及时报警，对相应的文件或某个类型文件的操作实现及时报警，为安全事件发生后进行及时管理提供帮助。网络端口管理（接入保护）通过设置禁用139和445

14、端口，来实现共享端口的控制。有效的防止外来计算机侵入单位内部就局域网，可根据需要灵活的设置外来计算机跟网内计算机的通讯方向。网络共享可以及时查看和删除网络内任意计算机的网络共享文件夹。员工往往因为工作需要设置共享文件夹，然而，共享文件很容易被别有用心的员工或外来计算机窃取。 文档操作可以详细的记录每个员工在本机及网络上操作过的文件，包括访问、创建、复制、移动、改名、删除、恢复以及文档打印等记录。让泄密行为的痕迹得到监控，为泄密行为的事中发现，事后追查提供了帮助，弥补了电子文档安全管理中的最薄弱环节。锁定计算机可以锁定网络内任意计算机的键盘和鼠标操作。若发现网内计算机有非法操作，可以及时的采取行

15、动，对非法行为进行及时控制，避免非法行为的继续，挽回损失。邮件、FTP和MSN监控可以记录通过POP和SMTP协议收发的邮件正文内容及附件，如：Outlook、FoxMail等，可记录通过web方式收发的邮件。可记录通过FTP和聊天工具传出的文件的目标去向及文件的名称。实现互联网传递信息的安全管理，实现邮件备份管理，为防止邮件、FTP和即时聊天工具泄密提供事后追查方便。上网限制可通过多种策略对员工上互联网的行为进行限制，比如：是否可以收发邮件？是否可以上网浏览？是否可以FTP？是否能够使用其它连接？可以设置当外发数据超过一定量后是否进行阻断。方便管理者对网络行为进行集中控制，避免通过互联网进行

16、信息泄密。二网络行为规范管理以网络行为记录和控制为主要手段，进行网络行为客户观评估，对不规范网络行为进行阻断，让网络文化健康发展。u 全面的应用程序和访问网站记录，对用户的操作行为详尽记录，形成统计报告，并以邮件方式及时向管理者报告。u 通过禁用网站、禁用应用程序、禁用设备等功能，对不良网络行为进行事前控制。 u 民主化管理，充分利用网络资源，比如：中午12点到13点的休息时间，允许员工访问新闻网站和娱乐网站，使用益智类网络游戏等。u 对有情绪或工作绩效差的员工进行重点查看，便于管理者及时纠正其工作行为，为员工的健康成长提供帮助。网络行为规范管理功能列表：功能菜单程序功能管理作用应用程序报告可

17、按日和分时间段查看某个员工打开某个应用程序的全部时间和活动的时间，以及所占的百分比。可以很容易、客观的评估出员工使用程序的工作情况和效率，方便进行员工的网络行为管理。访问网站报告可按日和分时间段查看某个员工打开每个网站的全部时间和活动时间，以及所占的百分比。可以很容易、客观的评估出员工使用网站的工作情况和效率，方便进行员工的网络行为管理。过滤应用程序可以按全天或指定的时间对指定的程序进行禁止，或者采取反选，对指定的程序外的程序进行禁止。对违规网络行为在事前进行控制。过滤网站可以按全天或指定的时间对指定的网站进行禁止，或者采取反选，对指定的网站外的网站进行禁止。实现违规网络行为在事前得到控制。应

18、用程序统计可以按应用程序名称和时间段来统计这些程序分布在网内哪些计算机中，以及这些程序的活动总时间。方便管理者对员工的网络行为进行个性化统计和分析。浏览网页统计可以按网站名称和时间段来统计谁访问了哪些网站，以及访问这些网站的活动总时间。方便管理者对员工的上网行为进行个性化统计和分析。报警规则可以对禁止的程序和网站设置为报警。对违规网络行为进行及时报警，及时纠正其网络行为。屏幕快照和跟踪可以看到网络内员工正在操作计算机的最新画面。方便管理者进行网络行为的巡视，发现违规行为，及时纠正。屏幕历史播放和查看历史可以按天查看到网内员工操作过的历史画面，并连续播放历史画面。方便管理者进行网络行为的事后追查

19、，客观的评估员工的网络行为。禁用设备可以禁止使用光驱、修改网络属性、修改显示背景和屏幕保护属性等。避免员工使用与工作不相关的计算机设备，错误修改网络属性，方便统一部署屏保程序或画面。网页监控可以有选择性的记录员工访问的网站内容。方便管理者对员工上网行为进行监控和管理。聊天内容监控对msn、qq、icq、yahoo、uc、popo、skype等聊天工具的聊天内容进行监控。方便管理者对员工互联网聊天行为进行管理，避免员工上班时间过度聊与工作无关的内容。上网限制可以通过很多种策略对员工上互联网的行为进行限制，比如：是否可以收发邮件？是否可以上网页浏览？是否可以FTP？是否能够使用其它连接？可以设置当

20、外发数据超过一定量的是否进行阻断。方便管理者对网络行为进行集中控制，充分发挥互联网资源有利的一面，创造效益。统计报表可以选择需要统计的机器、将时间段、统计的内容为条件统计程序或网站的访问时间及合计时间。为管理者制定合理的互联网行为策略提供决策支持。三电脑资产及网络资源管理电脑资产及网络资源管理功能列表功能菜单程序功能管理作用配置信息可以查看指定或某组的计算机的软硬件配置信息。它包括用户的处理器、内存、磁盘等硬件信息，也有安装的应用程序、操作系统、启动程序等软件信息。管理者可以方便的进行员工的电脑的硬件、软件信息进行监控，为故障排除提供依据，为硬件的安全管理提供支持，为软件的版权管理提供支持。资产管理可以自定义查看硬件或软件的资产分布情况，按组、计算机来查看某个硬件或软件分布在哪些计算机，并统计出合计数量。防止私下挪用窃取；而导致公司财产不必要的流失。例如：512的内存被换成的128内存；30G的硬盘被换成10G的硬盘。远程控制可以远程登录、注销、重启计算机，支持键盘输入和登录快捷键操作。方便IT管理者对网内计算机进行远程维护，同时支持异地远程维护，实现了跨区域分支机构的集中管理和控制。