网络管理指导书
网络管理指导书之四:防范组织信息泄露,保障组织信息安全

一、信息安全防护,我们能做什么?

    “艳照门事件”,“秘书门事件”充分证明了“信息网络是一把双刃剑”:网络帮助人们便捷的获取信息的同时,不可避免的存在信息泄密的隐患。比亚迪和富士康“泄密门”表明,组织大量的商业机密信息一旦泄漏,会带来不可估量的市场影响。根据IDC调查,信息泄密已经成为造成组织重大经济损失的最大原因。
IT管理者处于防范信息泄密的战场第一线,需要考虑以下问题的解决办法:

 组织一再强调关注电脑安全,而部分员工缺乏安全防范意识,安装了杀毒软件不定期升级,甚至不按要求按照杀毒软件,没有及时打操作系统补丁。造成部分电脑的安全防护等级过低,既成为安全短板,又浪费了购买杀毒软件的投资。然而,管理员苦于没有技术手段,无法主动发现、自动提醒用户,或者自动安装升级相应的软件。

 许多组织为了配合终端安全管理制度,购买了桌面管理软件,规定了终端软硬件配置、USB等外联接口的使用等,部分人员不理解、不配合,私自卸载、破解桌面管理软件,造成管理上的真空。

 内网用户可能无意之间被入侵,比如:内网PC被黑客远程控制、电脑中毒、木马、间谍软件,不经意的安装网页、软件附带恶意插件和脚本而被监控。从而导致信息被不法分子窃取。

 城堡最容易从内部攻破,泄密人员通过FTP、HTTP、IM传送文件至外网,通过BBS、BLOG等途径散播组织内部信息,故意篡改文件名、后缀名、压缩加密后才发送等行为。由于缺乏管控手段,管理员事前无法防御,事后无法定位事件责任人。

 邮件是组织日常办公、对外交流的重要途径,重要部门的信件往来中常携带有机密信息。特别是研发部门、财务部门的信件收发,许多组织明文规定不允许将特定的文件、带有特定信息的邮件外发。而一旦造成泄密,事后追究已不能弥补损失。因此,组织需要对特定部门的邮件发送进行事前核查。
如何解决以上问题,深信服SANGFOR AC信息保护方案,协助管理员保护组织的核心机密。

二、提高防范意识,保障企业信息安全

1.SANGFOR AC全方位保护内网电脑安全(防止被动泄密)

    SANGFOR AC依据用户需求,提供多种安全保障手段,避免电脑在被入侵的情况下造成员工被动泄密的风险。

a.SANGFOR AC准入规则保护内网电脑安全

    管理员配置SANGFOR AC准入规则:要求内网电脑操作系统必须为windowsXP,打齐XP2的补丁;要求内网电脑没有运行危害的进程;要求内网电脑不包含有害的文件;要求内网电脑必须安装单位规定的杀毒软件;并可以定制相应的任务计划,一旦检测到内网电脑未安装单位规定的杀毒软件时自动提醒电脑使用者(6月发布该功能),定时执行管理员设定的升级任务,定期杀毒。
    管理员使用SANGFOR AC准入保护,消除内网薄弱的环节,提高内网电脑的安全等级,降低电脑被入侵的风险。
    设备操作路径:1.登陆设备—>对象设置—>准入规则设置
    2.上网行为管理—>上网策略对象—>上网策略对象设置—>准入系统


    (6月发布的AC准入控制版本中,对于终端安全检测将会做得更细致,如杀毒软件检测,增加相关内置规则库,处理操作分为提示、执行远程应用程序、禁止上网三种,其中提示又分为客户端提示和网页提示。这些操作可以任意组合并在客户端计算机违反上面定义的规则后执行。)

b.SANGFOR AC 过滤SSL钓鱼网站,保护网上银行的安全

    钓鱼网站会骗取用户各种账号,SANGFOR AC可以对加密的SSL连接进行管控,对伪造的SSL证书,AC可以阻止其建立SSL连接。管理员通过设置AC过滤钓鱼网站,内网用户就不用担心银行帐号等被盗。如下图:仅允许合法机构颁发的证书。
    设备配置路径:登录设备—>上网行为管理—>上网策略对象—>网页过滤—>HTTPS SSL过滤

c.过滤危险插件,过滤危险脚本

    Web攻击是目前数据窃取的主要途径,由于基于Web2.0的威胁具有定向性、隐蔽性和区域性爆发等特点,越来越多的合法网站被挂马、被注入,对此不知情的员工对互联网的依赖性使得企业网络比以往更加容易受到攻击,使得一次普通的浏览网页也变成了一件具有很大安全风险的事情。Web威胁可以在用户完全没有察觉的情况下进入企业网络,从而对公司数据资产、行业信誉和关键业务构成极大威胁。即便是一些看上去并不重要的信息片段,一旦被偷窃者汇集并归纳,其后果可能导致公司内部机构设置、战略合作伙伴关系、核心客户等重要信息被泄露。
    恶意插件可以使得用户的浏览器无法正常工作,甚至监视用户的上网行为,盗取用户的个人信息,而通过浏览器自动安装ActiveX控件是恶意插件传播的主要手段之一。AC通过过滤不当 ActiveX控件,防止不被信任的插件安装到内网机器当中,从而起到保护内网安全的作用。


    用户误闯不良网站会使终端染上形形色色的病毒、木马,而这些危害绝大部分都是危险脚本引起的,AC通过对内网用户访问的网页脚本进行特征识别,保护内网安全。
    设备操作路径:上网行为管理—>上网策略对象—>上网策略对象设置—>网页过滤

d.危险流量识别

    内网终端难免仍会感染各种威胁,且为了隐藏自己此类威胁往往将外发流量和行为伪装到TCP 21、80、443、25、110等端口中,这将轻易穿透组织防火墙的管控。
借助深度内容检测技术,AC能够深入数据包应用层数据字段,识别哪些数据包是真正的网页访问行为、哪些是伪装成HTTP协议的非法危险流量,伪装成FTP、Email等行为的木马、间谍软件、黑客远程控制、肉鸡等行为,异常的端口扫描行为,进行拦截控制,并向管理员发起邮件告警。
    设备操作路径:上网行为管理—>上网策略对象—>上网策略对象设置—>危险行为识别

2.SANGFOR AC阻止主动泄密行为

a.SANGFOR AC关键字过滤,防止外发机密信息

    BBS等公共信息平台为公众提供了很好的交流分享途径,但是频频发生的违法发帖、不文明发帖行为让组织面临法律和舆论风险,发帖时不慎泄露公司点点滴滴信息更是时有发生,AC支持基于关键字(可自行设定)的发帖过滤,一旦匹配到含有设定关键字的发帖信息,AC将自动拦截并发送提醒邮件给管理员,防患于未燃。(该功能也适用于邮件)
设备配置路径:登录设备—>上网行为管理—>上网策略对象—>新增—>网页过滤—>关键字过滤


b.看帖不能发帖功能

    粗暴式的封堵策略往往遭遇用户的阻力,AC的“看贴不准发帖”能帮助管理员实现对论坛博客的灵活管理,除了封堵和放行两个控制方式之外,还可以实现允许用户浏览网页内容(看帖)但无法上传信息(发帖)的功能。

c.针对不同部门的安全级别制定防泄密手段

    管理员可以通过SANGFOR AC设置,不同部门的安全级别不同,可以使用的网络工具也不同,如研发部门禁止使用密文IM,禁止使用IM文件传输;市场禁止使用webmail,必须用公司邮箱发送邮件;AC独有基于文件特征识别的“外发文件告警”对于员工发送篡改后缀名,压缩,加密的文件的行为,进行报警。
不允许使用QQ、MSN、飞信传输文件设置:
    设备配置路径:登录设备—>上网行为管理—>上网策略对象—>上网权限—>应用服务控制


外发文件告警功能设置:
    设备配置路径:登录设备—>上网行为管理—>上网策略对象—>应用审计—>外发文件告警

d.邮件延迟审计

SANGFOR AC邮件延迟审计,阻止员工通过邮件泄密单位的商业秘密。管理员设置SANGFOR AC,启用邮件延迟审计,可实现如下:
    -规定发送到指定邮件地址的邮件,必须通过管理员审计;
    -规定当邮件附件大小、数量大于一定数值,必须通过管理员审计;
    -规定当邮件附件为某一个文件类型,必须通过管理员审计;
    -规定当发送的邮件含有指定的关键字,如“财务 报表”等,必须通过管理员审计;
    AC将符合以上条件的内容发送到设置的管理员邮箱。
    设备配置路径:登录设备—>上网行为管理—>上网策略对象—>邮件过滤—>延时审计规则


3.防监控key保障特殊人员信息安全

    组织某些特殊人员(如领导、总裁)的往来信息日志,是组织重要的信息资产,为了避免过度审计反倒导致泄密,AC支持USB-key防监控,该key不仅具有防监控功能,还有身份防冒用功能。
设备配置路径:登录设备—>上网行为管理—>组织结构—>用户属性

4.日志中心保留泄密证据

a.上网轨迹追踪

    管理员通过AC日志中心,查找员工泄密证据,AC可记录员工访问的网址、网页标题、网页正文内容,及明文/密文外发帖子内容等,可基于用户身份、上网行为、内容等实现差异化审计,确保网络违法违规事件发生后能定位到直接责任人。一旦发生了违法事件,AC的多关键字定位功能能帮助管理员在海量的网页浏览、发帖信息中,迅速地定位到相关日志和责任人。如果在特殊时期,公安机关对网络舆论有监管要求时,网络管理员可以使用AC定制定期发送的报表,统计网络热帖信息,发帖关键字信息等,使管理员对内网用户的网络舆论导向一目了然。


b.日志中心查看权限key

    组织的信息日志,是组织重要的信息资产,为了无权限人员非法接入导致泄密,AC支持日志中心管理员USB-key认证,管理员必须具有key并输入正确pin码,才能查看到相关日志信息。日志中心key极大地保护了单位日志信息的安全。
设备配置路径:登录数据中心—>系统管理—>用户管理