来源:ZDnet 更新时间:2012-04-15
随着电子政务与电子商务的不断发展,企业内部大量信息资料也以信息化、数字化的形式存在,然而在工作便捷的同时,也给政府和企事业单位的安全保密工作带来了极大的挑战,单位的信息管理人员必须应对日益多样化的数字化窃密手段。于是在一些对安全性要求较高的政府和企业中都有内网计算机不允许连接互联网等外网的规定,但是一些非法外联和非法接入等行为,很容易破坏这些管理规定,造成重大的安全隐患。
涉及国家安全的机密文件,严重影响到国家的安全和利益。
涉及企业的机密文件,通常与企业的决策甚至生存有着密切的联系,如产品设计图面、产品开发相关数据、专利及工程计划、市场开拓计划等,这些文件的泄露轻则导致企业利润下滑,信誉受损,严重的会导致企业破产。
一、当前违规外联造成的安全隐患
1. 内部人员通过Modem拨号、ADSL拨号和无线拨号等方式,使用禁止联网的计算机违规外联,从而破坏管理规定,造成敏感信息泄密的可能;
2. 违规连接互联网等外网,带来病毒木马等,使整个局域网受到感染;
3. 外部移动计算机等设备,通过接入内部交换机网络,访问内部信息,造成安全隐患;
4. 企业人员在违规外联时,造成文件流失,无法及时查证,难以对责任人进行追究。
二、和安解决方案
和安威 视违规外联监控系统根据企业对违规外联的管理要求,提供对内部网络主机监视网络用户的Internet接入行为,有效防范不安全因素对涉密网络的威胁,确保企业核心数据安全。
1. 实时扫描内部网络内所有在线主机情况,预防外部移动计算机设备非法连接到内部网络造成安全隐患,并查看客户端安装情况,杜绝意外发生。
2. 实时监视网内受控计算机通过普通电话线、ISDN、ADSL等方式的拨号上网;检测使用双/多网卡联通内外网,从而破坏内外网隔离的行为;检测通过无线方式非法上网的行为;
3. 对拔掉内网网线或禁用本地网卡等进行非法外联的主机能报告其客户端ID号从而准确锁定非法外联主机,在单机环境下也能实现阻断并报警;
4. 对非法外联的
主机按照预定的策略实施阻断并立刻禁止并向管理员报警,严格控制连接互联网行为。
5. 日志记录审计:包括U盘使用日志、管理员操作日志记录。提供对介质使用的日志记录功能,已备日后有据可查,而且当异常情况发生后,可以确定违规人员和违规行为。
三、系统结构介绍
1. 中心监控平台:添加可信任的主机和网络,实时配置监控计算机的网络连接策略;接受和处理网内非法连接互联网的报警,生成审计数据。
2. 中心服务平台:扫描局域网内的所有在线主机和非在线主机并区分在线主机是否安装智能客户端;上传和下发管理员设置网络连接策略;接收日志和报警信息。
3. 客户端:实时开启和关闭客户端的各种网络连接;实时开启、关闭客户端各种外部设备;根据策略要求,实时阻断客户端外联行为;实时违规外联报警、详细的客户端登录、外联日志;防止用户采用非法手段结束客户端。
四、和安威 视违规外联监控功能
1. 实时开启和关闭客户端的各种网络连接;
2. 实时开启、关闭客户端各种外部设备;
3. 根据策略要求,实时阻断客户端外联;
4. 详细的客户端登录、外联、日志;
5. 防止用户采用非法手段结束客户端;
五、三种策略
1. 允许连接外网与内网:如果客户端配置的策略(如下图所示)是“允许连接外网与内网”,则这台机器可以连接局域网也可以连接互联网,不会产生报警,机器开机时会在服务器中出现一条“主机上线”的日志,机器关机时会在服务器上出现一条“主机下线”的日志。(服务器端对客户端机器的详细描述记录在
服务器内,包括机器的主机名、用户名、工作组、所属地区、IP地址、MAC地址等)。
2. 允许连接内网,禁止连接外网 :如果客户端配置的策略是“允许连接内网,禁止连接外网”,则这台机器可以连接局域网,但是不能连接互联网,并安装客户端时就自动将网络断开。如果客户通过各种方式联网的话,系统将会检测到互联网信息,并在服务器中产生一个报警。机器开机时会在服务器中出现一条“主机上线”的日志,机器关机时会在服务器上出现一条“主机下线”的日志。(服务器端产生报警,在服务器右下角弹出提示框,提示管理员处理报警,管理可以查看报警类型以及报警机器的详细信息)。
3. 禁止连接内网与外网 :如果客户端配置的策略是“禁止连接内网与外网”,则这台机器即不可以连接局域网,也不可以连接互联网,并安装客户端时就自动将网络断开。如果客户通过各种方式联网的话,系统将会检测到互联网信息,并在服务器中产生一个报警。若用户试图想非法连接内网时,系统也会在服务器端产生一条报警。机器开机时会在服务器中出现一条“主机上线”的日志,机器关机时会在服务器上出现一条“主机下线”的日志。
