根據(jù)國家保密局和軍隊(duì)的相關(guān)要求,所有軍工企業(yè)必須將局域網(wǎng)劃分為內(nèi)網(wǎng)和外網(wǎng), 存儲 重要信息數(shù)據(jù)的設(shè)備與互聯(lián)網(wǎng)物理隔離,在很大程度上排除了來自互聯(lián)網(wǎng)的直接威脅。但對于內(nèi)網(wǎng)來講,并沒有完全解決了信息安全的威脅。
第一、主動(dòng)非法外聯(lián)。如果有人在內(nèi)網(wǎng)的計(jì)算機(jī)上通過撥號方式連接互聯(lián)網(wǎng),那么整個(gè)內(nèi)網(wǎng)實(shí)際上已經(jīng)暴露在互聯(lián)網(wǎng)上了。病毒或黑客完全可以通過這臺連接互聯(lián)網(wǎng)的機(jī)器入侵整個(gè)內(nèi)網(wǎng)。
第二、外設(shè)端口濫用。內(nèi)網(wǎng)機(jī)器都有存儲設(shè)備接口,例如光驅(qū)、軟驅(qū)、 USB 接口、串并口和紅外接口等,通過外設(shè)接口非常方便造成信息泄密。
第三、資源濫用。內(nèi)部員工隨意將軟件、游戲、電影等在內(nèi)網(wǎng)運(yùn)行,極有可能將病毒、木馬、后門等帶到內(nèi)網(wǎng)當(dāng)中,從而造成難以預(yù)見的破壞。
第四、非法主機(jī)接入。通過外帶設(shè)備接入到內(nèi)網(wǎng),導(dǎo)致內(nèi)網(wǎng)信息被竊取或者帶入病毒、木馬等威脅。
第五、內(nèi)部人員對計(jì)算機(jī)專業(yè)知識不熟悉和對電子信息保密的意識不強(qiáng),而導(dǎo)致泄密事件。如有些人因事離機(jī)時(shí)沒有及時(shí)關(guān)機(jī)或者鎖定措施,使各種輸入、輸出信息暴露在界面上;如有些人沒有設(shè)置系統(tǒng)口令或者設(shè)置弱口令把系統(tǒng)裸露在明處。
第六、規(guī)章制度不健全或者違反規(guī)章制度泄密。操作人員對涉密信息與非涉密信息沒有分開存儲,甚至將所有的文件都放在一個(gè)公共目錄里,也沒有進(jìn)行加密處理或者訪問控制,使涉密信息處于失控狀態(tài)。
第七、主動(dòng)泄密。由于電子信息文檔不象傳統(tǒng)文檔那樣直觀,而極易被復(fù)制。內(nèi)部人員徇私枉法,泄漏計(jì)算機(jī)系統(tǒng)保密措施,口令或密鑰,就會(huì)使不法分子入侵到計(jì)算機(jī)網(wǎng)絡(luò),竊取文件系統(tǒng)和數(shù)據(jù)庫內(nèi)的重要信息。
因此內(nèi)網(wǎng)的信息安全并不能高枕無憂, 并且由于內(nèi)部員工對于內(nèi)部的組織結(jié)構(gòu)、人員部署、機(jī)構(gòu)設(shè)置相對于外部人員要熟悉的多,致使信息外泄事件往往情節(jié)嚴(yán)重,并且損失巨大 。為了保證內(nèi)網(wǎng)的信息安全必須首先從內(nèi)部人員入手,制訂管理制度,加強(qiáng)監(jiān)管措施,對內(nèi)部用戶的行為進(jìn)行有效監(jiān)控,使內(nèi)部信息不被泄漏。
二、軍工企業(yè)內(nèi)網(wǎng)安全需求
軍工企業(yè)在設(shè)計(jì)、生產(chǎn)和管理中涉及到大量機(jī)密的信息,為了有效的保證信息的安全性,有必要對現(xiàn)有網(wǎng)絡(luò)系統(tǒng)進(jìn)行以數(shù)據(jù)信息安全保護(hù)為中心的信息安全建設(shè),建立信息安全保障體系,確保網(wǎng)絡(luò)中應(yīng)用信息的安全性 。一方面、需要對內(nèi)網(wǎng)網(wǎng)絡(luò)以及個(gè)人計(jì)算機(jī)終端進(jìn)行嚴(yán)格的訪問控制,防止由于外來攻擊和非法接入導(dǎo)致的被動(dòng)信息泄密;另一方面,需要對內(nèi)網(wǎng)網(wǎng)絡(luò)和個(gè)人計(jì)算機(jī)終端的使用行為進(jìn)行授權(quán)、強(qiáng)制控制和安全審計(jì),以防止內(nèi)部員工由于各種動(dòng)機(jī)導(dǎo)致的主動(dòng)信息泄密。
1 、終端計(jì)算機(jī)外設(shè)和端口控制
對于外接設(shè)備和外接端口缺乏有效控制,為信息泄漏造成了潛在威脅:
• USB 端口管理。 對 USB 存儲設(shè)備的端口,即要做到不妨礙其他 USB 外設(shè)(如鍵盤、鼠標(biāo)等)的使用,又要對 USB 存儲設(shè)備的使用嚴(yán)格控制和管理;
• 打印機(jī)、 modem 等外設(shè)統(tǒng)一控制 。對終端的打印機(jī)接口要做到統(tǒng)一的控制,不需要本地打印機(jī)的機(jī)器,要做到對此端口的封禁,防止內(nèi)部人員通過本地通過打印的方式泄漏機(jī)密信息。對 modem 進(jìn)行統(tǒng)一管理,以防止內(nèi)部人員私自撥號上互聯(lián)網(wǎng);
• 光驅(qū)、軟驅(qū)、刻錄機(jī)等外接設(shè)備統(tǒng)一控制。 對光驅(qū)、軟驅(qū)、刻錄機(jī)等常規(guī)外設(shè),也要做到統(tǒng)一的管理和控制,以防止內(nèi)部信息通過這些方式泄漏。
2 、終端計(jì)算機(jī)實(shí)時(shí)管理和審計(jì)
對每臺計(jì)算機(jī)的實(shí)時(shí)管理和審計(jì),管理員可以做到對每臺機(jī)器的情況做到心中有數(shù)。
• 對終端網(wǎng)絡(luò)共享實(shí)時(shí)控制和日志記錄。 Windows 網(wǎng)絡(luò)共享作為一種共享文件的方式方便了員工的工作需要,但與此同時(shí)也帶來了非常嚴(yán)重的信息泄漏問題。因此,對網(wǎng)絡(luò)共享,要做到能夠?qū)崟r(shí)控制,并且對開放和關(guān)閉共享的信息做到全面的日志記錄;
• 對終端計(jì)算機(jī)操作實(shí)時(shí)控制和日志記錄。 作為內(nèi)網(wǎng)信息安全系統(tǒng),要對每臺終端的實(shí)際操作(文件操作、打印操作等)做到實(shí)時(shí)的監(jiān)控和完善的日志記錄,從而為內(nèi)網(wǎng)信息安全策略的制定提供依據(jù);
• 對終端計(jì)算機(jī)資產(chǎn)管理和實(shí)時(shí)截屏。 能夠?qū)?nèi)部主機(jī)硬件、軟件、系統(tǒng)、網(wǎng)絡(luò)連接、服務(wù)和進(jìn)程等資產(chǎn)進(jìn)行管理和再現(xiàn),并且能夠記錄終端實(shí)時(shí)屏幕,以方便管理人員的遠(yuǎn)程監(jiān)控、查找線索和保留證據(jù);
• 對終端計(jì)算機(jī)網(wǎng)絡(luò)控制和用戶行為監(jiān)控。 作為內(nèi)網(wǎng)信息安全系統(tǒng),對每臺終端網(wǎng)絡(luò)應(yīng)用行為和主機(jī)應(yīng)用程序都有比較細(xì)致的管理控制,有利于管理人員控制終端主機(jī)的使用,以便提高生產(chǎn)力。
3 、用戶登陸控制
對局域網(wǎng)內(nèi)的 PC 和筆記本進(jìn)行統(tǒng)一的登陸控制管理,確保內(nèi)部所有主機(jī)都要強(qiáng)制執(zhí)行身份認(rèn)證管理機(jī)制,保證使用的實(shí)名制。
4 、非法接入和非法外聯(lián)控制
非法主機(jī)接入內(nèi)網(wǎng)涉密設(shè)備和內(nèi)部主機(jī)非法連接外網(wǎng)會(huì)導(dǎo)致如下后果:黑客攻擊和病毒入侵;無法對違規(guī)操作進(jìn)行追溯,不利于事后偵查和追溯;重要資料泄漏。
5 、合理的安全策略配置與管理
內(nèi)網(wǎng) 安全策略是內(nèi)部網(wǎng)絡(luò)安全系統(tǒng)建設(shè)的指導(dǎo)原則、配置規(guī)則和檢查依據(jù)。合理的安全策略應(yīng)做到:
• 多樣化 。對所有可能泄密的途徑(外設(shè)、端口、網(wǎng)絡(luò)、存儲等)安全策略都能覆蓋到。
• 細(xì)粒度。 既可以對整個(gè)安全域?qū)嵤┫嗤陌踩呗裕部梢葬槍Σ煌鳈C(jī)的安全需求不同而定制個(gè)性化的安全策略。
• 不可抗拒性。 由安全系統(tǒng)統(tǒng)一分發(fā)給客戶端的安全策略,客戶端只能被動(dòng)接受管理,被管者無法自行改變策略。
• 管理方便。 制定的策略可以方便查詢并以保存為多種文件格式;策略制定和修改簡單直接。策略分發(fā)要及時(shí)和準(zhǔn)確。
• 內(nèi)網(wǎng)信息安全系統(tǒng)建設(shè)
1 、計(jì)算機(jī)外設(shè)安全管理體系建設(shè)
通過對計(jì)算機(jī)的各種外接端口、外接設(shè)備和移動(dòng)存儲設(shè)備的全面管理,規(guī)范其使用行為,從而保證上述計(jì)算機(jī)終端安全體系的安全。
移動(dòng)存儲設(shè)備管理
邏輯磁盤認(rèn)證技術(shù)對接入計(jì)算機(jī)的存儲介質(zhì)進(jìn)行認(rèn)證和控制,防止信息被有意或者無意從存儲設(shè)備(尤其是移動(dòng)存儲設(shè)備)泄漏出去。該技術(shù)支持靈活的策略管理模式,使得用戶能夠根據(jù)需要設(shè)定移動(dòng)存儲設(shè)備的使用權(quán)限(比如禁止使用策略、正常讀寫策略、只讀策略、加密讀寫策略),即保留了移動(dòng)存儲設(shè)備的方便性,又堵截了移動(dòng)存儲設(shè)備可能帶來的安全隱患。
ETIM-INSS 提供了對存儲設(shè)備進(jìn)行邏輯磁盤認(rèn)證來控制存儲設(shè)備的使用,只有通過認(rèn)證的設(shè)備才能在 ETIM-INSS 安全控制域中進(jìn)行使用,并根據(jù)僅在認(rèn)證設(shè)置的策略和權(quán)限范圍內(nèi)使用該存儲設(shè)備。存儲設(shè)備認(rèn)證提供下面列舉的認(rèn)證權(quán)限和使用策略:
• 支持禁止或者 允許 使用未經(jīng)過認(rèn)證的存儲設(shè)備;
• 支持對存儲設(shè)備設(shè)定為禁止使用策略;
• 支持對存儲設(shè)備設(shè)定為加密讀寫策略,寫入存儲設(shè)備的數(shù)據(jù)都是加密的;
• 支持對存儲設(shè)備設(shè)定為直接讀寫策略,即沒有限制的自由使用方式。
外部設(shè)備和接口 管理
• 支持禁止或者開放 USB (通用串行總線架構(gòu))接口;
• 支持禁止或者開放 SERIAL (串行總線架構(gòu))接口;
• 支持禁止或者開放 PARALLEL (并行總線架構(gòu))接口;
• 支持禁止或者開放 IrDA (紅外架構(gòu)接口)接口;
• 支持禁止或者開放 1394 (火線架構(gòu)接口)接口;
• 支持禁止或者開放 FD (軟盤驅(qū)動(dòng)器)介質(zhì)設(shè)備,包括 IDE 接口樣式的 FD ;
• 支持禁止或者開放 CD-RW (可刻錄光盤)介質(zhì)設(shè)備;
• 支持禁止或者開放 PCMICA 卡(筆記本)接入設(shè)備;
• 支持禁止或者開放 Bluetooth (藍(lán)牙)接入設(shè)備;
• 支持禁止或者開放 Modem 撥號設(shè)備。
2 、計(jì)算機(jī)非法外聯(lián)和接入安全管理體系建設(shè)
通過對計(jì)算機(jī)非法外聯(lián)和接入連接行為的全面管理,規(guī)范其使用,從而保證計(jì)算機(jī)網(wǎng)絡(luò)體系的安全。
對撥號連接的控制
網(wǎng)絡(luò)內(nèi)部人員可能通過各種其他的網(wǎng)絡(luò)外聯(lián)方式(比如 Modem )聯(lián)入 Internet ,這就為網(wǎng)絡(luò)打開一個(gè)“后門”,同時(shí)也為可能的機(jī)要數(shù)據(jù)泄漏提供了通道。 ETIM-INSS 對于可能的網(wǎng)絡(luò)撥號行為進(jìn)行了驅(qū)動(dòng)級的防護(hù),能夠防止內(nèi)部人員在非授權(quán)的情況各種有意無意的信息外泄,完成機(jī)要數(shù)據(jù)的保護(hù)。
ETIM-INSS 通過網(wǎng)絡(luò)撥號管理,對客戶端設(shè)置“禁止使用撥號連接”時(shí),客戶端的所有網(wǎng)絡(luò)撥號動(dòng)作被自動(dòng)禁止。同時(shí)提供對撥號信息內(nèi)容的實(shí)時(shí)查看(連接名稱、連接狀態(tài)、設(shè)備名稱、設(shè)備類型、電話號碼、連接時(shí)間、連接速度、發(fā)送字節(jié)、接收字節(jié))和實(shí)時(shí)關(guān)閉。
對非法接入網(wǎng)絡(luò)的安全防護(hù) -邏輯安全域技術(shù)(解決非法接入與外聯(lián))
ETIM-INSS 系統(tǒng)采用 Windows 操作系統(tǒng)網(wǎng)絡(luò)過濾技術(shù)與 NDIS 中間層網(wǎng)絡(luò)驅(qū)動(dòng)技術(shù),結(jié)合聯(lián)網(wǎng) / 離網(wǎng)策略,加密網(wǎng)絡(luò)通信和 PKI 體系,共同打造了“ ETIM-INSS 邏輯安全域”功能。有效控制網(wǎng)絡(luò)通信,防止可信內(nèi)網(wǎng)計(jì)算機(jī)的數(shù)據(jù)通過網(wǎng)絡(luò)聯(lián)接流失到域外,防止通過網(wǎng)絡(luò)傳輸非法竊取、丟失和篡改內(nèi)網(wǎng)的重要信息,防止外來計(jì)算機(jī)對受保護(hù)主機(jī)的非法接入和網(wǎng)絡(luò)攻擊行為。
邏輯安全域是具有安全屬性的一組內(nèi)網(wǎng)計(jì)算機(jī)的邏輯集合,邏輯安全域內(nèi)計(jì)算機(jī)之間的網(wǎng)絡(luò)通信是合法安全可靠的;邏輯域與域外計(jì)算機(jī)之間不可進(jìn)行網(wǎng)絡(luò)通信。這樣就確保了非安全域內(nèi)的計(jì)算機(jī)不能連入和合法計(jì)算機(jī)的非法外聯(lián)。
加裝了邏輯安全域客戶端模塊的主機(jī)在同一邏輯安全域內(nèi)的計(jì)算機(jī)之間網(wǎng)絡(luò)通信正常,域內(nèi)機(jī)器和域外機(jī)器之間不能進(jìn)行網(wǎng)絡(luò)通信,雙向阻斷。通過配置白名單 IP 地址,可以允許放過不安裝客戶端的一些應(yīng)用服務(wù)器或者其他操作系統(tǒng)機(jī)器的網(wǎng)絡(luò)訪問。
• 計(jì)算機(jī)打印安全管理體系建設(shè)
打印是數(shù)據(jù)信息泄漏的主要途徑之一,通過對客戶端打印功能進(jìn)行遠(yuǎn)程管理,并對打印行為進(jìn)行監(jiān)控,可以記錄打印的來源和相關(guān)內(nèi)容,從而做到對打印行為的審計(jì)。
通過“禁用 / 啟用本地打印 / 網(wǎng)絡(luò)打印”的管理與控制來實(shí)現(xiàn)打印功能的安全管理;通過支持對打印行為的監(jiān)控功能,提供對于打印行為的詳細(xì)日志記錄,來審計(jì)打印行為。
1. 支持對本地打印、網(wǎng)絡(luò)打印、共享打印和文件打印的遠(yuǎn)程啟用與關(guān)閉。
2. 支持記錄或不記錄包括從該計(jì)算機(jī)上發(fā)起的本地打印、文件打印、共享打印和網(wǎng)絡(luò)打印信息。
3. 打印監(jiān)控所提供記錄的打印信息有:打印時(shí)間,打印文檔,打印用戶,發(fā)起主機(jī)名,發(fā)起主機(jī) IP ,打印機(jī)和打印頁數(shù)。
• 計(jì)算機(jī)使用規(guī)范管理體系建設(shè)
通過對計(jì)算機(jī)的各種網(wǎng)絡(luò)應(yīng)用行為、用戶行為的全面管理,并結(jié)合身份認(rèn)證體系以及對計(jì)算機(jī)的實(shí)時(shí)巡查和日志審計(jì),全方位的規(guī)范計(jì)算機(jī)的應(yīng)用,從而保證計(jì)算機(jī)管理體系的安全。
網(wǎng)絡(luò)行為管理規(guī)范
ETIM-INSS 提供了對網(wǎng)絡(luò)行為操作的主動(dòng)控制和管理,通過網(wǎng)絡(luò)行為管理盡可能的避免機(jī)密信息通過網(wǎng)絡(luò)傳輸途徑進(jìn)行泄密或者通過共享方式泄密。網(wǎng)絡(luò)行為管理的使用策略可以在聯(lián)網(wǎng)、離網(wǎng)情況下使用,更為全面得加固主機(jī)規(guī)范使用。網(wǎng)絡(luò)行為管理提供下面使用策略:
• 訪問網(wǎng)址黑,白名單控制
提供 URL 地址黑名單定制能力;
提供 URL 地址白名單定制能力;
提供對 URL 地址離線和在線的策略控制;
提供詳盡的 HTTP 日志記錄。
• 郵件發(fā)送黑,白名單控制(不支持 WEBMAIL 控制)
提供郵件接收和發(fā)送地址黑名單定制能力;
提供郵件接收和發(fā)送地址白名單定制能力;
提供對郵件地址離線和在線的策略控制;
提供詳盡的接收郵件內(nèi)容記錄。
• 禁止或者允許網(wǎng)上鄰居和共享文件夾
提供對網(wǎng)絡(luò)鄰居的控制能力,允許或禁止;
提供對網(wǎng)絡(luò)共享的查看和實(shí)時(shí)關(guān)閉能力;
提供對網(wǎng)絡(luò)共享的設(shè)置控制——對自定義共享、系統(tǒng)默認(rèn)共享、 Admin 共享、 IPC$ 共享的禁止和允許控制;
提供對共享操作和訪問的詳細(xì)記錄和日志審計(jì)。
• IP/MAC 地址綁定
用戶行為規(guī)范 管理
針對客戶端不同的用戶行為, ETIM-INSS 能夠進(jìn)行有效的管理。根據(jù)策略設(shè)置可以定制黑名單,從而禁止客戶端的某些進(jìn)程、服務(wù)和窗口的運(yùn)行,實(shí)際上也就是對客戶端上程序等應(yīng)用的控制。用戶行為規(guī)范管理具體包括
• 進(jìn)程黑名單的定制:支持聯(lián)網(wǎng) / 離網(wǎng)情況下的組合策略,可以有效控制某些程序的使用,如 QQ 、 BT 等;
• 服務(wù)黑名單的定制:支持聯(lián)網(wǎng) / 離網(wǎng)情況下的組合策略;
• 窗口黑名單的定制:支持聯(lián)網(wǎng) / 離網(wǎng)情況下的組合策略,結(jié)合進(jìn)程管理,可以唯一控制程序的使用。
用戶身份管理
用戶身份的管理是網(wǎng)絡(luò)安全管理的最基本措施, ETIM-INSS 系統(tǒng)通過 PKI 體系和數(shù)字證書技術(shù),將用戶身份與網(wǎng)絡(luò)安全系統(tǒng)完全融合在一起,從而對用戶身份實(shí)現(xiàn)了有效的管理,實(shí)現(xiàn)了靈活的多種身份認(rèn)證模式。此外, ETIM-INSS 還實(shí)現(xiàn)了人機(jī)分離防盜用等行之有效的身份管理措施。
對內(nèi)網(wǎng)內(nèi)所有 PC 和筆記本能進(jìn)行統(tǒng)一的登陸控制管理,確保內(nèi)部所有主機(jī)都要強(qiáng)制執(zhí)身份認(rèn)證,確保系統(tǒng)的登陸可信安全。登陸方式包括:
• 用戶名、口令方式登陸;
• USB 電子證書方式登陸;
• USBKEY 令牌關(guān)聯(lián)(雙因素強(qiáng)制認(rèn)證)。
日志審計(jì)管理
ETIM-INSS 向系統(tǒng)管理員提供分層次的、多級別的專業(yè)系統(tǒng)安全審計(jì)報(bào)告,如用戶行為審計(jì)、計(jì)算機(jī)資源審計(jì) ,從而輔助網(wǎng)絡(luò)的管理員進(jìn)行網(wǎng)絡(luò)計(jì)算資源調(diào)配和個(gè)人行為事后審計(jì)。
用戶行為審計(jì)
ETIM-INSS 提供對個(gè)人計(jì)算機(jī)關(guān)鍵的用戶操作行為的審計(jì)。包括:
• 網(wǎng)頁日志審計(jì):提供客戶端用戶訪問網(wǎng)頁的日志信息;
• 文件傳輸日志信息:提供客戶端通過 FTP 訪問及交流數(shù)據(jù)的日志信息;
• 電子郵件日志信息:提供客戶端用戶發(fā)送郵件及其內(nèi)容的日志信息;
• 文件操作信息:提供 Windows 操作系統(tǒng)中用戶執(zhí)行的所有文件操作信息日志;支持對文件或者目錄創(chuàng)建、刪除和重命名的記錄,并支持對目錄共享或者取消共享的記錄;支持自動(dòng)記錄。
計(jì)算機(jī)資源審計(jì)
ETIM-INSS 提供對個(gè)人計(jì)算機(jī)軟硬件資源和系統(tǒng)資源的審計(jì)能力。包括:
• 系統(tǒng)信息:提供 Windows 操作系統(tǒng)軟件資源、計(jì)算機(jī)硬件資源以及網(wǎng)絡(luò)配置摘要信息;
• 設(shè)備信息:提供 Windows 操作系統(tǒng)中所有計(jì)算機(jī)硬件信息;
• 網(wǎng)絡(luò)會(huì)話信息:提供 Windows 操作系統(tǒng)中所有網(wǎng)絡(luò)連接( TCP 、 UDP )的詳細(xì)信息;
• 系統(tǒng)窗口信息:提供 Windows 操作系統(tǒng)中已啟動(dòng)的窗口程序的信息;
• 已安裝程序信息:提供 Windows 操作系統(tǒng)中已安裝的應(yīng)用程序的信息;
• 服務(wù)信息:提供 Windows 操作系統(tǒng)中已安裝的服務(wù)信息。
