1、内网安全问题
内网面临的安全问题包括网络系统安全和数据安全。在网络系统安全方面,需要防止网络系统遭到没有授权的存取或破坏以及非法入侵;在数据安全方面,需要防止机要、敏感数据被窃取或非法复制、使用等。
以往的主流安全解决方案主要采用防火墙部署在网络边界,阻止来自不安全网络的入侵;采用网络入侵检测系统对主要网段进行监控和防护,抵御已知类型的网络攻击探测行为;采用网络版防病毒软件查找并消除已知特征的病毒的攻击;甚至采用物理隔离系统阻断网络间的直接通信,以期达到阻断外来攻击的目的。这些解决方案主要是针对外部入侵的防范,对于网络内部信息保密安全管理却无任何作用。
根据以往安全状况的调查,有超过85%的安全威胁来自企业内部。随着我国网络应用的日益普及,这样的问题会越来越突出。因为在开放的网络环境下,内部上网人员可以随便复制、粘贴、上传、下载和发送网络中的文件,可以很轻松地把企业的许多重要信息数据传送或带到网络外部,从而使企业或政府单位重要信息的安全受到威胁。针对来自内部的安全威胁,采用防火墙、防病毒软件、入侵检测等技术并不能完全解决问题。要解决企业内部信息的安全管理问题,需要从分析信息泄露的途径入手,采用新的技术手段。
北京理工先河公司根据多年网络安全攻防研究积累的经验,结合内网安全现状,研制开发了剑鱼网络安全监控审计系统。这是一款内网安全管理工具,它可以对内网中的计算机用户的行为进行监控、审计,防止内部机密信息的泄露,并能帮助高层管理人员监督员工合理高效地使用计算机。
2、剑鱼网络安全监控审计系统解决方案:
剑鱼网络安全监控审计系统作为解决内网安全问题的有力的工具,能够严格监控和记录企业内部各台计算机的使用情况,具有强大的屏幕快照、网络管理、实时跟踪、运行统计、历史归档,设备管理等功能。根据管理员事先的设定,自动截取工作站的屏幕快照、应用程序运行和浏览互联网的情况,并可以根据用户需要回播这些记录来报告工作站的工作状况,可以让管理者随时了解企业的计算机用户的资源利用情况。
剑鱼网络安全监控审计系统主要实现以下目标:对内网用户进行安全监视和行为审计;从网络通信和外接设备等方面进行信息传输复制限制;管理系统资源防止受到攻击;加固系统,分发补丁。
2.1、系统架构
剑鱼网络安全监控审计系统由三部分组成,客户端(SwordFish Agent)、控制台(SwordFish Console)和服务器端(SwordFish Server)。客户端安装在每一台需要被监视的计算机上,用来收集数据信息,并执行来自服务器模块的指令。服务器端一般安装在一台具有高性能CPU和大容量内存的用作服务器的计算机上,用来存储和管理所有安装有代理模块的计算机的数据。控制台一般安装在公司的管理人员的计算机上,用来监控每台安装有代理模块的计算机,管理各类审计系统,制定安全策略。
2.2、系统主要作用
2.2.1、事先预防
设备使用监控
可禁止各种类型的设备,包括:软驱、光驱(包括刻录机)、磁带驱动器、USB存储设备、串/并口、SCSI、IEEE1394总线、调制解调器、红外通讯设备、USB、以及笔记本电脑使用的PCMCIA卡接口。
应用程序监控
可以禁止运行指定的应用程序,或者只允许运行指定的应用程序。
上网行为监控
可以禁止访问指定的网站,或者只允许访问指定的网站。
文件操作监控
可限制对指定文档的访问,限制指定的计算机或组的用户对文档进行的操作,包括访问、创建、复制、移动、改名、删除、恢复以及文档打印等操作。
网络访问监控
可指定禁止非法外联,禁止未安装客户端代理模块的计算机接入网络,与安装了客户端代理的计算机进行通信。
2.2.2、事中监控
报警响应
根据设备使用规则、应用程序规则、上网行为规则、文件操作规则、网络访问规则等进行监视,对违反规则的行为进行报警。根据事先规定的响应策略进行响应,尽可能阻止事态扩大。
终端屏幕监视
可根据需要进行终端屏幕监视,随时掌握终端用户的使用情况。
2.2.3、事后审计
历史数据备份
收集代理模块采集的数据,并将其保存到数据库中;
数据查询统计
可查询特定机器特定时刻的历史记录;查看监测日志、系统日志和管理员的操作日志并进行分析和审计;
2.3.3、有效监控网络资源使用
禁止非授权的电脑访问网站
禁止授权电脑访问非授权的网站
实时监视并记录各电脑访问的网站信息
实时监视对各电脑特定端口的访问连接
对非法接入的设备(如:笔记本电脑)进行完全隔离,使其无法对系统资源有任何的操作权限
防止对非授权资源的操作
对特定文件的访问进行控制,禁止非授权的操作(如:读取、复制、删除等)
对特定文件的访问进行实时监视,实时报警
禁止对系统关键配置信息进行查看、更改(如:更改IP/MAC地址、使用设备资源管理器等)
禁止终端PC通过非法拨号方式接入INTERNET
禁止运行特定的应用程序(如:QQ、MSN等聊天工具)并提供实时性报警
“剑鱼”记录员工常用的网络活动,通过封堵QQ,MSN等聊天工具、网络游戏、股票等程序,限制上网站点规范员工的网络行为,使网络资源得到有效利用。
2.3.4、审计系统信息和用户操作行为
详细记录管理员对系统进行的所有配置操作
详细记录终端PC文件的使用操作(如:复制、删除、移动、打印、更改等)
针对终端PC使用应用程序的情况进行详细地记录
对于终端PC使用的应用程序和浏览网站的信息进行统计并能以列表、柱形图和饼图等样式显示结果
轻松对多种操作信息提供快速查询功能(如:文档监视、应用程序监视、系统信息等)
多种重要的审计信息可以生成个性化的报表
对终端PC的各种操作以屏幕快照的方式记录,查询方便。
“剑鱼”可记录管理员的操作,只有审计员才能删除相关记录,这样可对管理员的权利进行制约,防止因管理员权限过大而形成安全隐患。对终端用户的行为进行记录和审计可帮助进行事后追查,能对用户行为进行更多了解。
2.3.5、安全、卓越的系统性能
管理权限分级,利于分级控制
服务器端与客户端之间应用了严格的身份认证,防止未授权使用,保障系统的管理安全
客户端、服务器及控制台间的数据传输全部采用加密传输方式,防止传输的数据被窃听
备份和恢复服务器数据库中的信息,保证历史记录的方便查阅
在终端PC上运行的客户端软件采用了透明模式,用户察觉不到本地已安装客户端软件
客户端软件采集数据信息不影响终端PC的使用性能
传输中的数据经过特殊压缩,对网络带宽的占用非常少
对非法接入的主机可切断其与内部安装过客户端代理主机之间的联系
本地用户不能自行卸载、关闭客户端代理程序
2.3.6、灵活的自定义规则
可以制定不同的周期规则,以保证工作时间、节假日等时间应用不同的规则。
可以自定义各种应用程序的访问或禁止
可以针对不同的个人、用户组,来制定不同的规则策略。
剑鱼的自定义规则非常灵活。管理者可以定义不同的时间(如,上班时间,下班时间,公休日)有不同的规则,也可以对不同的用户组或者终端PC(如,管理层,普通职员),定义不同的策略,以保证网络的资源合理分配。
2.3.3、有效监控网络资源使用
禁止非授权的电脑访问网站
禁止授权电脑访问非授权的网站
实时监视并记录各电脑访问的网站信息
实时监视对各电脑特定端口的访问连接
对非法接入的设备(如:笔记本电脑)进行完全隔离,使其无法对系统资源有任何的操作权限
防止对非授权资源的操作
对特定文件的访问进行控制,禁止非授权的操作(如:读取、复制、删除等)
对特定文件的访问进行实时监视,实时报警
禁止对系统关键配置信息进行查看、更改(如:更改IP/MAC地址、使用设备资源管理器等)
禁止终端PC通过非法拨号方式接入INTERNET
禁止运行特定的应用程序(如:QQ、MSN等聊天工具)并提供实时性报警
“剑鱼”记录员工常用的网络活动,通过封堵QQ,MSN等聊天工具、网络游戏、股票等程序,限制上网站点规范员工的网络行为,使网络资源得到有效利用。
2.3.4、审计系统信息和用户操作行为
详细记录管理员对系统进行的所有配置操作
详细记录终端PC文件的使用操作(如:复制、删除、移动、打印、更改等)
针对终端PC使用应用程序的情况进行详细地记录
对于终端PC使用的应用程序和浏览网站的信息进行统计并能以列表、柱形图和饼图等样式显示结果
轻松对多种操作信息提供快速查询功能(如:文档监视、应用程序监视、系统信息等)
多种重要的审计信息可以生成个性化的报表
对终端PC的各种操作以屏幕快照的方式记录,查询方便。
“剑鱼”可记录管理员的操作,只有审计员才能删除相关记录,这样可对管理员的权利进行制约,防止因管理员权限过大而形成安全隐患。对终端用户的行为进行记录和审计可帮助进行事后追查,能对用户行为进行更多了解。
2.3.5、安全、卓越的系统性能
管理权限分级,利于分级控制
服务器端与客户端之间应用了严格的身份认证,防止未授权使用,保障系统的管理安全
客户端、服务器及控制台间的数据传输全部采用加密传输方式,防止传输的数据被窃听
备份和恢复服务器数据库中的信息,保证历史记录的方便查阅
在终端PC上运行的客户端软件采用了透明模式,用户察觉不到本地已安装客户端软件
客户端软件采集数据信息不影响终端PC的使用性能
传输中的数据经过特殊压缩,对网络带宽的占用非常少
对非法接入的主机可切断其与内部安装过客户端代理主机之间的联系
本地用户不能自行卸载、关闭客户端代理程序
2.3.6、灵活的自定义规则
可以制定不同的周期规则,以保证工作时间、节假日等时间应用不同的规则。
可以自定义各种应用程序的访问或禁止
可以针对不同的个人、用户组,来制定不同的规则策略。
剑鱼的自定义规则非常灵活。管理者可以定义不同的时间(如,上班时间,下班时间,公休日)有不同的规则,也可以对不同的用户组或者终端PC(如,管理层,普通职员),定义不同的策略,以保证网络的资源合理分配。