《浅析基于网络的计算机信息泄密与防护》由会员分享,可在线阅读,更多相关《浅析基于网络的计算机信息泄密与防护(6页珍藏版)》请在金锄头文库上搜索。
1、 CSNA 网络分析论坛 浅析基于网络的计算机信息泄密与防护 浅析基于网络的计算机信息泄密与防护 随着计算机和网络的飞速发展,计算机网络技术已经深入到社会生活的各个方面,并在国防、科技、工业、金融等重要领域得到了广泛应用。一个国家或企业的秘密信息关系到国家或企业的生存,因此确保信息的安全和防止信息泄密是极其重要的。 由于用户之间通过计算机网络的信息交互越来越频繁,在这些交互过程中,难免会出现信息泄密的情况。同时像信息间谍、网络黑客、恶意攻击者等,都时刻威胁着网络信息甚至是国家信息的安全。所以,做好计算机网络信息的防泄密工作,是保障信息安全的基础。 本文仅对通过网络的计算机信息泄密进行探讨,包括
2、泄密的途径,原因和防护方法。像电磁干扰、人工记录、本地打印、拍照、存储设备丢失等导致信息泄密的方式,不属于本文的讨论范畴。 一、 泄密的途径 通过网络的信息泄密,主要有以下 4 种途径。 1. 内网主机感染木马被远程控制泄密 目前,我国网络安全现状不容乐观。根据 CNCERT 公布的数据,2009 年我国被木马控制的主机 IP 约26.2 万个, 其中境外有 16.5 万个主机 IP 参与控制上述主机。 我们知道, 一旦网络中某台计算机感染木马,这台计算机甚至整个网络都可能被黑客或恶意攻击者完全控制,从而导致计算机上的信息被窃取,甚至可能出现整个网络重要数据泄密的情况。 2. 通过电子邮件泄密
3、 电子邮件是互联网上应用最广的服务之一,它能以非常快速的方式,与世界上任何一个角落的网络用户联系,进行文字、图像、声音、视频等各种格式文件的共享。电子邮件给普通用户带来了无法比拟的便CSNA 网络分析论坛 浅析基于网络的计算机信息泄密与防护 利,迅速受到了用户的青睐,但与此同时,电子邮件里面也潜伏巨大的危机。对于恶意或心怀不轨的用户而言,他们也可以通过电子邮件,以非常隐蔽的方式,将企业内部的机密信息发送到网络中的任何一个角落,从而引发信息泄露。 3. 通过 IM 聊天工具泄密 目前,国内绝大多数用户都在使用 IM 聊天工具,像 QQ、MSN 等非常普及。同时,IM 的文件传输功能,也极大地方便
4、和促进了用户之间的文件共享。但与此同时,对于心怀不轨的用户而言,他们也可以将计算机上的文件轻易共享到互联网的任意角落,造成信息泄露。 4. 通过 USB 移动设备泄密 将 USB 移动设备(U 盘、移动设备、手机等)接入计算机,拷贝计算机上的机密信息,也是导致信息泄密的一个非常重要的途径。 二、 泄密的原因 1. 缺乏集中管理的木马查杀能力 现在,网络中对于木马的查杀,大多都有以下几个特点。 采用终端查杀的方式,依靠防病毒软件或 360 安全卫士等实现,属于各自为战的状况,难以进行集中统一的管理。 属于被动式查杀,存在明显滞后性。使用病毒库、规则库、木马库、策略库进行匹配。对免杀和0Day 木
5、马无能为力。 持续性差,缺乏 7*24 小时的长期检测能力,导致检测结果不够完整,存在漏网之鱼。 检测会消耗大量的时间和资源,使得检测的范围往往很有限,不能实现全面的检测。 CSNA 网络分析论坛 浅析基于网络的计算机信息泄密与防护 2. 缺乏统一的终端安全管理手段 企业内部缺乏统一的终端安全管理手段,终端技术手段缺失,管理执行不力,都使终端计算机层面存在着严重的安全隐患,主要表现在以下几个方面。 缺乏对 USB 外设的管理,用户可以通过 USB 外设接入到计算机中,拷贝机密信息。 缺乏对电子邮件、IM 通讯的监控,用户可以通过电子邮件和 IM 将机密信息发送到网络中任意角落。 缺乏对完善的网
6、络接入控制,任意用户均可接入网络,对网络中的数据进行窃取。 3. 用户安全意识薄弱 大多数企业缺乏对用户安全意识的培训,由此导致用户的安全意识薄弱。 比如不及时安装操作系统补丁、不及时安装防病毒软件、安装了杀毒软件不定期升级等情况,会造成计算机的安全防护等级过低;同时部分用户缺乏安全意识,对于一些陌生的网页和文件,直接打开而不加以任何防范。 在这种情况下, 如果恶意攻击者将伪装的病毒或木马发送给这些用户时, 很可能致使其感染,并进而造成计算机上的机密信息被恶意攻击者窃取,甚至使自己成为整个网络的安全短板。 4. 地狱用户 任何企业中都可能存在对单位或领导心怀不满、抱怨、甚至想报复的用户,在网络
7、安全领域,这些户被称为地狱用户。由于地狱用户对内网的拓扑及各种安全措施非常清楚,从而使他们可以轻易对网络中的安全弱点对进行攻击。 如果网络中缺乏集中管理的木马查杀能力, 缺乏终端安全管理手段, 同时用户的安全意识也比较薄弱,那地狱用户就可以非常轻松地,对网络中的目标计算机进行攻击,窃取目标计算机上的机密信息,从而导致机密信息的泄密。 CSNA 网络分析论坛 浅析基于网络的计算机信息泄密与防护 三、 针对泄密的防护方法 为有效防止通过网络的信息泄密,必须同时从技术和管理层面入手,具体包括做到以下 3 点。 1. 部署集中的木马及异常行为分析系统 针对网络中木马猖獗的情况,可考虑在网络出口(网关)
8、处,部署一套木马及异常行为分析系统。 部署该系统后,在木马检测分析方面,可实现以下功能。 从成千上万的计算机中,及时准确发现网络中的感染木马的计算机,包括已知木马和未知木马。 实现对重点单位或重点部门的 7*24 小时的长期监控。 实现对全网木马检测工作的统一分析、统一管理,全面提升木马检测的工作效率。 同时,系统还需具备对网络中的异常行为进行分析的能力。如指定的邮件账户工作是否正常,IM 是否传输了机密的文件等。 木马及异常行为分析系统,笔者推荐科来软件的“科来网络分析系统” ,有兴趣的可到其官方网站http:/ 下载免费版本。 科来网络分析系统是一款全中文的网络分析软件,它的安全分析功能,
9、可以快速找到网络中感染木马的主机,以及网络中存在异常的通讯连接。在木马分析方面,通过木马分析方案,查找已知木马;通过木马工作行为的区配,查找未知木马。在异常通讯分析方面,它可以针对电子邮件的内容,以及邮件账户的异常工作进行分析,如邮件账号是否存在代收的情况(较短的时间间隔下在不同地方进行登陆,同一个账号是否在多个地方被同时登陆) ,以及一些异常的网页访问、FTP 文件传输等情况。 2. 部署统一的终端安全系统 在整个网络中,部署统一的终端安全系统,对网络中所有计算机进行技术上的终端安全管理。通过终端管理,至少能达到以下两点功能。 终端防泄密。启用终端防泄密功能后,所有的 USB 外设,都将被进
10、行严格的限制,只允许规定的CSNA 网络分析论坛 浅析基于网络的计算机信息泄密与防护 USB 外设可以使用,如键盘、鼠标、光驱,经过认证的 U 盘和移动硬盘、以及一些 CA 认证的USB key,对于其它的所 USB 设备,像未经认证的 U 盘和移动硬盘、手机,通过 USB 接到计算机后,都不会被识别。 准入控制。终端安全系统的准入控制功能,可以保证只有经过认证后的计算机,才可以接入网络,并和网络进行通讯。对于非法接入的计算机,将不能和网络中的其它计算机通讯,同时也不能访问中的服务器,不能通过网络上网。 终端安全系统, 笔者推荐北信源公司的 “VRV 终端安全管理系统” 。 它具备强大的终端安
11、全管理功能,可以满足终端安全管理的绝大部分需求,不过它没有提供免费版本。大家有兴趣,可到其官方网站http:/ 查看。 3. 定期开展安全风险评估 从公司层面,定期开展安全风险评估,从而确定网络中是否存在可能导致泄密的途径。 在安全风险评估时,可以采取自检或第三方检测的方式。对于要求不高的单位,建议一年一次,对于要求较高的单位,半年甚至一季度一次。 自检:企业自行组织单位内人员,对网络的安全情况进行检测和评估。一般情况下,自检的范围较小且相对简单。 第三方检测:邀请第三方组织与公司,对网络的安全情况进行检测和评估。第三方检测的范围较全面,且非常完善,同时提供完善的评估报告。目前国内有一些公司或组织提供了此类风险评估服务,如华赛、天融信、绿盟、启明星辰、N2S 工作室。 4. 加强员工的安全意识培训 在管理层面上,企业需要开展定期(如 1 年 1 次)的安全技术培训和安全意识培训。通过这些培训,可以达到如下效果: 加快企业在计算机安全管理方面的制度建设工作,为网络安全管理提供有力的规章制度。 CSNA 网络分析论坛 浅析基于网络的计算机信息泄密与防护 提升计算机使用人员的安全技术和安全意识,正确认识网络中潜在的威胁。 明确自己在计算机使用过程中的义务和责任,大幅降低通过网络的泄密行为,确保网络信息的安全。 CSNA 论坛 菜鸟人飞 2010 年 9 月
