ccidnet????

出版日期:2005-04-25 总期号:1406 本年期号:29

本期导读
要闻综合
中国信息化
网络与通信
产品与应用
渠道与市场
东北专刊
华东专刊
华南专刊
西北专刊
中国信息安全
 客户端管理—内网安全的根本防护



  人们对于网络安全,特别是局域网的安全,倾向于向外用力。但根据公安部门最新统计,70%的泄密犯罪来自于内部,电脑应用单位80%未设立相应的安全管理,58%无严格的调存管理制度。由此看来,一个能进入办公室打开电脑的普通员工对内网安全的潜在威胁远远超过了一个技术一流的网上黑客。祸起萧墙其意在于表明内忧甚于外患。如今的网络安全亦是如此。

  网络安全向内用力,将逐渐成为网络安全的热点,因为鲜有针对内部安全隐患的防范工具与手段。本文针对于此,在客户端管理这个立足点上,探讨内网安全解决之道。

  内网安全的一个理念就是,要建立一个可信、可控的内部安全网络,这一点论述在其他论文中有重要论述。内网的客户端构成了内网90%以上的组成,当之无愧地成为内网安全的重中之重,那么,怎样去管理客户端,才能建立一个可信、可控的内网呢?

  管理客户端,建立一个可控的内网,至少必须完成以下基本问题的处理:

  非法外联问题

  通常情况下,内网(Intranet)和外网(Internet)之间有防火墙、防病毒墙等安全设备保障内网的安全性,对于保密网络,甚至是要求与外网物理隔绝的。

  但如果内部人员使用拨号、宽带等方式接入外网,使内网与外网间开出新的连接通道,外部的黑客攻击或者病毒就能够绕过原本连接在内、外网之间的防护屏障,顺利侵入非法外联的计算机,盗窃内网的敏感信息和机密数据,造成泄密事件,甚至利用该机作为跳板,攻击、传染内网的重要服务器,导致整个内网工作瘫痪。

  使用软件违规问题

  内部人员在计算机上安装使用盗版软件,不但引入了潜在的安全漏洞,降低了计算机系统的安全系数,还有可能惹来版权诉讼的麻烦。而一些内部人员出于好奇心或者恶意破坏的目的,在计算机上安装使用一些黑客软件,从内部发起攻击。还有一些内部人员安全意识淡薄,不安装指定的防毒软件等等。这些行为都对内网构成了重大的安全威胁。

  其实,这些问题都可以总结为一点:在内网安全中,对于计算机至关重要的软件资产如何管理的问题。

  计算机外部设备管理

  如果不加限制地让内部人员在内网计算机上安装、使用可移动的存储设备如软驱、光驱、USB接口的闪盘、硬盘、数码相机等,会通过移动存储介质间接地与外网进行数据交换,导致病毒的传入或者敏感信息、机密数据的传播与泄漏。

  这个问题可以归结为,怎样管理计算机的外部设备,达到建立一个可控的内部网络。

  计算机使用者重要文件保护

  一般内网中的计算机使用者,为了启动的迅速,BIOS上的密码都不设置。同时,管理员为了管理方便,使用域策略,使得在相同域中的使用者,可以通过域帐户进入别人的计算机,可以操作相应的机密文件。比如,如果知道该域的管理者的密码,几乎可以登陆任何该域内的计算机,对计算机进行设置,对文件进行各种操作。

  同时,对于涉密单位也有这个问题存在,当某员工离开自己的位置处理紧急事情时,或由于其他原因忘了锁自己的计算机,这些已经打开的涉密文档的保护问题。

  这样引发的问题就是,怎样才能管理涉密单位个人使用者的计算机上重要文档。

  打印机等公用资产使用登记

  对于涉密的内网安全,关键的资料不允许打印带出工作间观摩,这些关键资料包括重要的设计图纸,重要的设计文档,重要的参考文献。

  对于这些重要电子文档的打印,要进行严格的登记和日志记录,从而也产生了怎样记录登记所有共享打印机上打印记录,以便为资料泄漏提供强有力的佐证等一系列问题。

  但这个网络安全管理的客户端程序应该做成什么样、怎样做才能完成内网安全管理的需要呢?

  内网安全客户端解决方法

  对于内网的客户端管理,选择管理的着力点是至关重要的,也决定了对客户端管理的成效。集中控制管理的力度毕竟是有限的,特别是对于此,如果对内网客户端管理的着力点放在一个中心控制器上,管理的效果会大大减弱,甚至显得无能为力。

  一般不得不将对内网客户端管理的着力点放在驻留在客户端计算机上的管理程序上,这个程序称为客户端安全管理程序。由该程序管理内网安全诸多相关事宜,管理的策略、管理的方法最好由一个中心控制器来管理下发。

  经过两年多的探索和不断尝试,宝信研发部探索出一套独具特色的内网安全管理方法。eCop客户端安全管理软件是其中最成功的案例之一。

  宝信eCop客户端安全管理解决方案

  宝信eCop客户端安全管理软件采用了组件开发技术,采用增量的开发模式。特别是在线程间的通信中,客户端安全管理程序采用了具有宝信自主知识产权BBS消息中间件技术。在第二期项目开发中,已经完成了非法外联监控、软件违规处理、设备禁用等主要功能项。

  在对OS的支持上,完成对windows 95以上操作系统的支持(windows NT除外)。

  在总体容量大小上,我们基本上做到了小巧、灵巧,总体大小不到1.3M。

  宝信eCop实施技巧

  由于在设计中已经考虑到了实施、日后升级等一系列关键过程,该客户端安全程序安装的多样化,目前支持三种方式的安装(浏览器连接服务器下载安装、域管理策略中域登录脚本安装、软件分发服务进行分发安装)。

  系统可自动发现接入内部网络但未安装客户端程序的计算机,并提示管理人员,由管理人员对其进行警告或者阻断其接入网络。

  客户端程序使用进程保护和文件保护技术,以使用户无法在其计算机上停止或者卸载客户端程序,只能通过专用的卸载工具来完成客户端程序的卸载。

  客户端支持自动升级,并且可以在服务器端配置客户端升级策略,整个升级过程通常用户无需干预。

  宝信eCop实施效果

  经过中国上海海关、南钢、航空航天618所等大规模的实施,我们对实施过程中的问题不断进行总结,举一反三,获得较丰富的实践经验和解决问题的经验。其中比较典型的问题是:

  1)遭遇个人防火墙;

  2)自动升级遭受挫折;

  我们立即采用让客户端由被动接受模式改成主动下载模式来完成升级过程。并对windows XP的SP2自带防火墙进行自动设置穿透。

  经过不断改良的客户端安全管理程序,实施比较顺利,效果好,达到了我们预期的目的,同时也得到了用户的好评。