第1章   应用背景

随着综合国力的增强和国际地位的提高,我国已成为各种情报窃密活动的重点目标,同时发达的互联网也为泄密窃密提供了方便的渠道和途径,泄密已经危害到了国家的安全,而另一方基于经济利益的泄密也十分泛滥,***通过网络获取他人银行账户里的钱财,组织机构、竞争对手的内部员工通过主动或是被动泄露的商业机密给组织带来了极大的损失,类似的案例屡见不鲜,各个机构都在极力想办法解决泄密的问题

针对用户互联网访问行为的管控与审计,美国于2002年颁布实施《萨班斯-奥克斯利法案》对组织内控和行为日志记录率先提出了要求;而中国于200631日实施《互联网安全保护技术措施规定》-简称公安部82号令的相关条款,也要求互联网服务提供者和联网使用组织记录并留存内网用户发生的各种网络行为日志,包括登录和退出时间、账号、互联网地址或域名等信息,且行为日志至少保留六十天以上,做到有据可查。

第2章   问题分析

面对上述问题,以下几个问题是需要迫切需要解决的

1.***通过***等方式窃取机密信息,上至国家机密,下至商业机密,银行账户信息等

2.内网用户通过webmail、、BLOGBBS发帖等方式人为的泄露商业机密的行为

3.内网用户通过mail人为泄密的行为

4.内网用户通过QQ/MSNIM工具或是FTP的方式的泄密行为

5.外网用户通过telnetnetmeeting等远程登录的方式导致的内网信息泄密行为

第3章   防泄密解决办法

通过上面的分析我们得知内网目前存在的各种各样的问题会导致的泄密风险?那么我们如何来解决这些问题,任何的上网行为的管理和控制策略都必须要基于用户或是用户组来施行,只有很好的对人员进行认证和区分才能很好的保障上网行为管理策略的成功实施,另一方面,我们需要对应用进行细致全面的识别,只有合理的识别应用类型,进行细致的归类和区分,才能保障我们的上网行为管理的效果,并对相应的应用行为进行细致全面的审计,对泄密的行为做到有效地阻止,对相关的泄密行为进行细致的行为记录,以便在后期有据可查。

SANGFOR AC作为业界领先上网行为管理产品是通过如下领先的技术来帮助用户建立一个安全的内网使用环境,保障用户组织的相关的机密信息的安全。

深信服AC防范泄密风险解决方案_第1张图片

3.1       封堵泄密风险网络行为

3.1.1        URL智能过滤,只许看帖不准发帖,

通过对URL过滤的高级过滤,支持仅拒绝HTTP POST动作,从而灵活高效的保障了内网用户不能通过BLOGBBS发帖、webmail等行为泄露内网的机密。

 

3.2       禁止HTTP上传/FTP传文件,IM传文件

可以对httpIMFTP等上传下载的文件进行过滤,防止泄密事件的发生给机构带来的巨大的经济损失,对于HTTPFTP上传等行为可以灵活的基于文件类型进行控制,对于存在较小泄密风险的文件可放通,而对于存在泄密风险较大或是跟组织命运密切相关的文件类型进行严谨的管控。

 

3.3       禁止远程登录软件的使用

外网用户通过netmeetingtelnetQQ远程控制等远程登录软件对内网进行访问的行为极大可能造成内网的机密的被动泄露,必须进行有效的控制,SANGFOR AC能够细致的识别这类行为并进行禁止,并且可以通过准入规则进行细致的控制,对于开放了相关服务的机器禁止上网从而严格保证内网的信息安全。

3.4       全面的应用行为审计

3.4.1        BBS发帖,webmail等正文附件的详细审计

除了上面对于HTTP  POST的动作过滤可以有效的防止泄密以外,对于不对相关行为进行封堵的话也需要做到有据可查,通过对BBS发帖,webmail等正文附件的详细审计可以有效的做到有据可查,对内网用户有意的泄密行为也可以起到威慑的作用。

 

深信服AC防范泄密风险解决方案_第2张图片

3.4.2        邮件延迟审计

AC的邮件延迟审计(Postponed Sending after Audit, PSA)技术,将敏感邮件阻挡于内网。内网用户发送Email邮件时,用户认为已经成功发送,实际上符合管理员预定策略的整封Email邮件(包括正文和附件)全部转存至邮件缓冲区。指定的邮件审核人员会获得邮件通知,经人工审核后,才允许符合组织安全规定的Email邮件发送到互联网上,而不符合要求的Email则被截留并作为追究责任的依据,有效实现了对泄密邮件的封堵,保护了组织的敏感信息的安全性。AC的邮件延迟审计技术对内网用户完全透明,邮件的发送过程与日常无异。

 

3.4.3        IM聊天内容得审计

“加密化”的趋势不仅使明文的HTTP网站开始转向加密的HTTPS网站,各种IM聊天工具的聊天内容也被加密,如腾讯QQTMMSNShell、飞信、Skype等。如果不能监控和记录加密IM聊天内容,隐匿其中的安全风险、安全事件就无法防御、无据可查。

目前业界解决方案多数都无法监控和记录QQMSNShell、飞信、Skype的聊天内容。AC的聊天内容同步侦听技术实现对QQ、、MSNShell、飞信Skype等加密聊天内容的监督和记录,帮助组织轻松应对应用加密化的影响。

3.4.4        免审计Key功能

总裁、高层领导网络访问行为,财务部收发的邮件等关乎组织机密信息,怎样避免记录此类用户的网络行为?业界多数方案是通过将敏感用户划分到指定用户组,通过设备配置界面的勾选,避免对这些用户网络行为的审计。但如果“非善意”人员私下重新配置设备对敏感用户又进行行为记录,怎么办?

AC正是考虑到用户可能面临的以上风险和威胁,推出了“免审计Key”功能。

AC上为总裁等重要人员创建帐户时使用DKEY认证,并勾选“启用DKEY防监控”选项,为总裁生成“免审计Key”。总裁使用“免审计Key”认证后,AC从底层免除对总裁的所有记录。如果“非善意”人员私下取消AC配置界面上“启用DKEY防监控”选项,总裁再插入“免审计Key”后系统会自动弹出警告,且禁止总裁访问网络,彻底保障信息安全。

3.5       3.3安全防范

3.5.1        危险行为识别及管控

防止内网用户利用病毒***进行的网络违法行为,对内网的垃圾邮件进行有效的过滤。

3.5.2        外发文件告警

存心的泄密者往往会将外发文件的后缀名修改/删除,或者加密/压缩该文件,然后通过HTTPFTPEmail附件等形式外发。仅仅实现对外发文件的审计和记录显然无法弥补由于泄密而给组织带来的损失,单纯的基于文件扩展名过滤外发文件、过滤外发Email邮件也无法应对以上风险。鉴于此SANGFOR AC的外发文件深度识别技术基于文件特征能够识别超过一千种以上的文件类型,基于特征而非扩展名彻底遏制存心泄密者的外发泄密文件行为,保护组织的信息资产安全。

ftphttpemail方式外发的文件特征类型进行审计,告警。

ftphttpemail方式外发的文件加密特征进行审计,告警。

3.6       快速便捷的日志检索功能

记录员工网络行为,不仅满足公安部82号令等法律要求,又做到了有据可查。大型组织每天产生数G的日志数据,通过AC的外置数据中心实现了海量存储,而且提供了图形化的日志查询、统计、审计、报表中心等功能。

组织通过AC的外置数据中心保存了上百G的海量日志信息,而一旦发生关键事件或管理者需要从大量日志信息中快速检索获取其感兴趣的内容,却难以快速从海量日志中发现期望得到的数据。AC内置了强大的数据中心内容检索系统,利用类似Google的先进搜索技术,从高达几百G的海量数据中通过多个关键字快速搜索指定内容,并且支持对Email附件正文内容的检索、支持高级检索,支持订阅和自动Email投递功能,极大的方便了管理者的使用。

 

 

深信服科技重庆银牌代理商:重庆新威信网络科技

地址:重庆市北部新区(高新园)新南路162号龙湖*水晶星座2310室
售前电话:63072820,66513893
售后电话:86785692
传真:86785692
邮编:401147
E-mail:[email protected]