防范间谍网攻窃密 上网行为管理是根本

　　信息发展至今日，互联网资源的双刃剑效应日渐凸显。来自网络的安全威胁日益严重，如病毒传播、网页/邮件挂马、黑客入侵、网络数据窃贼，甚至系统内部泄密，已经使信息安全成为各行业信息化建设中的首要问题。最近网上报道的中国某军工科研所潜艇科研项目资料被间谍网攻窃取的事件新闻，将信息安全话题又一次推到风口浪尖。

　　据国家安全部门负责人透露，我国有63.6%的企业用户处于“高度风险”级别，近21.8%的行业对网络信息安全没有采取任何管理措施。截至09年9月，我国每年因网络泄密导致的经济损失高达上百亿。信息安全已成为与国家、组织、个人利益攸关的命题。

　　泄密途径，外攻内侵

　　根据国家《保密法》，最有效的防泄密办法是“上网不涉密，涉密不上网”，让有保密内容的电脑和互联网物理隔绝。然而，在许多组织的日常工作中，彻底隔绝和互联网的连接既不方便，也不现实，正因为如此，采用技术手段对连接到互联网的用户终端施行防泄密策略显得尤为重要。

　　防范联网终端泄密，需要解决如下几个方面的问题：

　　►用户安全意识薄弱，终端安全级别低下。

　　组织一再强调，而部分人员依然缺乏安全防范意识：不按要求按照杀毒软件，安装了杀毒软件不定期升级，从不及时打操作系统补丁，私自卸载桌面管理软件，造成部分电脑的安全防护等级过低。既浪费了组织投资，又成为“向情报机关敞开泄密之门”的安全短板。然而，管理员苦于没有技术手段，无法主动发现、自动提醒用户，或者为终端自动安装升级相应的软件。

　　►网络策反，主动泄密。

　　组织内部人员未能经受住竞争对手、谍报组织高额回扣的诱惑，将组织红头文件、研发资料、市场规划、客户资料等机密信息主动外发，导致国家、组织受损，个人付出惨痛代价。在主动泄密行为中，泄密人员通过FTP、HTTP、IM传送文件至外网，通过BBS、BLOG等途径散播组织内部信息，在正常的业务邮件中夹带携带有机密信息的邮件，故意篡改文件名、后缀名、压缩加密后才发送等行为屡见不鲜。

　　而管理员若缺乏管控手段，事前无法防御，事发不能拦截。

　　►间谍入侵，被动泄密。

　　据瑞星统计，09年一季度平均每天有889万余人次网民访问挂马网站;McAfee的研究报告显示09年一季度黑客新劫持了1200万台电脑，其中18%位于美国，13.4%位于中国。

　　城堡最容易从内部攻破，若用户不慎点击挂马网页、挂马邮件、不经意地安装恶意插件、脚本而被监控，威胁被引入内网，电脑变成黑客手中的“肉鸡”，组织机密不知不觉地拱手送给竞争对手。

　　所谓“明枪易挡，暗箭难防”，由于人员不当的网络访问行为导致的危险更是让人无法预知和防范。

　　►缺乏泄密证据，事后难以追踪

　　缺乏对泄密证据的留存和有效追查手段，一旦发生安全事件，无法定位责任人、无法判断泄密程度、无法追踪泄密文件去向。安全管理漏洞依然存在，也不能对潜在泄密者形成威慑，无形中助长泄密者的侥幸心理。

　　►采用国外产品，风险难以预知

　　国外谍报组织对崛起中的中国的一切都很有兴趣。近年来大量国外厂商推出“云”概念，通过集中本公司遍布全球的产品网收集到的信息，为客户提供共享服务。但开放与安全是一对矛盾体，共享的可能不仅仅是可以公开的内容，存在难以预知的泄密风险。

　　规避泄密，以网络行为为本

　　针对如上安全风险，深信服科技总结多年来基于用户需求的上网行为管理产品研发经验，提出如下解决方案：

　　►精准识别上网用户身份、保证行为与用户一一对应

　　防范泄密风险的前提，是对泄密事件、行为的准确定义，尤其认定用户身份的重要性不言而喻。

　　对上网人员的身份认定有多种方式：需用户手动参与的Web认证、无需用户参与的IP/MAC认证、USBkey硬件认证、AD/POP3/Proxy单点登录认证、第三方LDAP/Radius/AD服务器联动认证等，可结合组织各部门的具体情况选择合适的认证方式。

　　►最小化访问权限，控制BBS等外发内容

　　间谍的目标对象不仅仅是大型文件，组织用户通过BBS、BLOG、IM等公开的蛛丝马迹也可能凑出一幅完整的拼图。

　　通过预分类URL库和融合人工智能的“网页智能识别”技术、应用控制技术，管理员可根据各部门涉密级别设定如下策略：封堵论坛、博客、BBS等网站;访问权限差异化，仅满足部门业务要求的最小化网络访问权限;采取“看贴不能发帖”“webmail能收不能发邮件”功能平衡人性化和信息保护;基于多关键字过滤敏感信息(发帖、邮件)，一旦匹配到相关关键字，马上拦截并发起告警。

　　►邮件过滤与延迟审计

　　邮件承载着组织日常沟通和业务开展所需数据，为了从正常业务邮件中过滤潜在的泄密邮件，管理员可设定基于关键字、收发件地址、附件类型/大小/个数、收件人个数等条件的邮件拦截策略，一旦匹配，马上拦截并发起告警。

　　对于涉密级别较高的部门，建议管理员采用“邮件延迟审计”技术，设定拦截条件(全部拦截或有条件地拦截)，一旦匹配，该邮件将被扣留不予发送，待审计员人工审核后再做处理，机密保护更进一步。

　　►基于特征的外发文件类型识别

　　泄密者往往删除或篡改文件扩展名，压缩或加密文件后再外发，钻传统设备的漏洞以躲避识别和管理。所以，必须通过“文件特征”识别真正文件类型，解压识别被压缩的文件类型，并向管理者报警，杜绝企图逃避管理的泄密外发行为。

　　►封堵木马、黑客远程控制

　　安全意识薄弱、安全级别低下的终端在威胁泛滥的互联网上极易感染木马、间谍软件，或被黑客控制。

　　为了防患于未然，管理员应拦截成人、色情网站等病毒、木马的温床，过滤危险脚本、恶意插件，并依据终端安全级别赋予上网权限。一旦终端不幸感染，并通过80、221等常规端口外发信息， “危险流量识别”模块能有效识别、报警、封堵，提供全方位保护。

　　►记录泄密证据，确保有据可查

　　为了追踪安全事件责任人、了解泄密程度、定位泄密文件去向，组织必须保留适当期限的外发信息日志、上网日志，并通过图形化的日志统计、查询、检索工具，快速定位可疑行为。

　　AC提供“泄密风险智能报表”能根据管理者设定的行为特征自动挖掘(如外发邮件关键字、使用http上传次数)，及时发现潜在的泄密用户、泄密行为，并自动发送至指定邮箱，以更少的工作量实现更超前的泄密风险侦测。

　　为保障信息安全，建议管理员为组织高层领导配发“免审计Key”免除过分审计带来的泄密风险，配备“日志查看权限key”保护日志信息安全。

　　►加强终端用户安全级别的防护

　　终端用户安全防范意识薄弱是被动泄密的根源，为主动增强终端安全级别，管理员可采用终端检查与网络准入功能，使用AC定期检查指定用户终端操作系统版本、补丁安装情况，指定杀毒/防火墙软件的安装、运行、更新情况，以及检查终端硬盘文件、注册表、系统进程，禁用非法外联线路，甚至自行编写脚本程序实现终端个性化检查。对于不符合组织安全要求或IT制度的终端，可禁止其上网或警告提醒，从而强化促使用户”自觉”提升终端安全性，强化组织的内网安全环境。

　　互联网上没有绝对的安全，也没有完美的解决方案，提高用户安全意识，配合技术手段，才是防范泄密风险的根本应对之策。

　　典型部署图：