内网终端数据安全防护解决方案
2010-07-13洪跃强许元进
洪跃强 许元进
内网终端数据安全防护解决方案
洪跃强 许元进
福建伊时代信息科技股份有限公司
1 背景及市场分析
目前绝大多数企事业单位都把信息安全的重点放在防范外部的攻击,并依赖于防火墙、防病毒、入侵检测等软件。由于IP地址非法占用、盗用、非法外联、补丁更新滞后、新型病毒、垃圾邮件、内部人员的信息外泄和黑客入侵而导致的安全事故时有发生, 威胁业务的正常运行和信息资产的安全。传统的以组织边界和核心资产为保护对象,以外部防御为基础的安全体系逐渐显示出严重的缺陷,无法有效应对当前终端安全威胁,各企事业单位都迫切需要整合、统一部署一个独立的、可靠的、有效的、易管理的内网终端数据安全防护系统,以全面消除安全隐患,保障网络正常运行和信息资产的安全。因此,内网终端安全防护产品的市场需求量在逐年增大。
2 主要技术分析
目前,“终端数据安全”已经成为人们普遍关注的信息安全热点问题之一,尤其是关于它的整体解决方案。在这里,我们重点介绍 “内网终端数据安全防护系统”。
首先,讲述几个常用的概念,包括数据、终端、用户、操作。
所谓数据,就是能被计算机加工处理、保存、传输的数字串、数字块。如果它还承载着某种内涵,就成为了信息。终端是一个统称概念,它有可能是主机,或PC,也有可能是打印等设备。在本解决方案中,主要指的是主机设备。而拥有终端设备的使用者就是用户。围绕某种需要,用户和终端进行人机对话的过程,就称为操作过程。
如果某种信息对拥有者来说很重要,并因此不便让无关人员知道,或者扩散会造成经济损失,那么这样的信息就成了“敏感信息”。
“内网终端数据安全防护系统”在逻辑上对“敏感信息”进行了分级管理,并设置了扩散边界,而且对组织内部(就是设定的网络系统内)的每台终端的操作过程进行监控和记录日志,必要时还可以适时阻止可能的非法操作行为,因此有效保护了组织内部的信息安全。这个系统所涉及的安全管理内容包括:安全域边界管理、移动存储介质管理、终端接入和外联管理、资产变更管理、终端外设管理、补丁及文件分发和终端操作审计等方面,以此保证对数据存储、传输和使用的整个过程进行控制、保护和审计,达到事前防范、事中巡查和事后审计,全方位确保组织内部的信息安全。
2.1 安全审计系统
安全审计是系统的重要组成部分,对于安全策略的实施和终端监控系统的有效运行起着重要作用。提供实时、集中、可视化的对终端主机的运行状况、用户操作情况等进行监控审计,便于对系统在运行过程中的安全性进行综合分析与评估,检测和阻止非法用户对系统的入侵。
2.2 数据信息的安全存储
终端数据信息的安全存储主要是通过网络文件保险柜来实现的。网络文件保险采用软硬结合,由安全存储服务器、管理配置引擎、存储客户端、文件或数据库备份恢复引擎、本地加密盘、USBKEY认证部件、PC终端文件透明加解密防泄漏驱动模块等组成,通过定制安全内核、加密传输、安全访问控制、文件系统加密等技术实现了重要数据信息的安全存储,有效的保护终端数据信息的安全。
2.3 安全监控策略描述与一致性检查
安全监控策略是系统的重要组成部分,它是将各方面的安全规章制度融合在一起的关键。安全监控策略要实现用户、主机、数据信息、操作四者有机的关联,由此从抽象的角度来看,安全监控策略可以用如下四者的关系来描述:用户权限等级、主机集合、数据信息等级、数据操作动作集。
由此在一个内部网络中可能会存在多种用户权限和多个数据信息等级,这对安全监控策略的描述造成了一定的困难,主要在于安全监控策略有可能会在具体的数据使用过程中发生变化,如某个特定用户权限等级 R,需要对某个数据 D的操作权限进行改写,但同时保持 R 级用户对与 D 同等级的数据信息的操作权限不变,这时就需要系统管理员重新设定对应的安全策略,但新的安全策略与前 D 等级数据信息的安全策略发生了冲突。解决冲突的办法有多种,可以采用针对数据 D 重新建立一个数据信息等级的方法来解决与原 D 同等级数据安全策略的冲突,但这种解决方式会造成数据信息等级越来越多,安全策略设置混乱,从而不利于系统管理员统一管理。
在系统中采用抽象策略与具体策略的方法来加以解决。抽象策略只是描述某个抽象等级信息,而具体策略由抽象策略的子类实例生成。例如上述的 D 数据所属的信息数据等级可以利用抽象策略表示成:
当系统管理员由抽象安全策略生成新的具体安全策略后,可以由监控服务器进行安全策略一致性检查,检查的依据是子类可以继承父类的安全策略,或者其操作权限、数据集合、主机集合和操作集合必须是其父类的子集。如上述对应 D 数据的新安全策略,操作动作集合必须是抽象安全策略的子集。
2.4 终端探针的实现
本系统主要采用的探针技术,分布在内网各终端中实现对内网各终端活动的安全监控,终端探针嵌入到内网终端中的独立监控软件,它与监控服务器配合,监视主机活动,并将终端活动报告发送至监控服务器中。终端探针实现的关键在于终端探针与监控服务器交互、探针监控原理的实现,终端与探针的绑定。
终端探针监控原理的实现主要是利用监控终端的文件系统,以及操作系统API 调用监控来实现的。针对终端的文件系统操作,检查操作目标文件是否属于安全监控的范围,如果属于,则进一步检查文件操作的属性。从而确定用户的操作是否符合安全策略的规定,如果用户操作超过了安全策略的规定,则探针将直接中止用户的相应操作。
终端与探针的绑定可以通过终端的硬件参数生成唯一标识码,由标识码来生成终端探针的标识号。终端探针在获得标识号之后,即可以利用标识号来生成相应的加密/ 解密密钥对,并将加密密钥发送至监控服务器,并使用密钥对与监控服务器交互的数据进行签名。由此,监控服务器即可针对终端探针发送的数据进行签名认证,确认数据的来源,并将监控信息确认到对应的终端。
3 系统安全性分析
作为一个安全监控系统,系统必须要有自身的安全性保障措施以应对可能存在的安全威胁,由于监控服务器主要是在内部网络中运行,所以它面对的安全威胁主要有3 种:
(1)终端探针被破坏,无法起到安全监控的作用;
(2)被伪造的终端探针监控数据所欺骗;
(3)针对监控服务器发动的 DDOS 攻击,致使监控服务器发生瘫痪。
针对第一种安全威胁,本系统采用心跳线技术来解决,心跳线按规定周期向终端探针服务器发送状态数据,该数据由终端探针加上时间戳后再加密生成,由此服务器可以根据心跳线数据判断终端探针的工作状态,一旦终端探针在工作状态下停止发送心跳线数据,则其必然有故障发生,服务器将向管理员发出警报。
针对第二种安全威胁,主要是监控数据或者心跳线数据可能被伪造。但在本系统中,心跳线数据采用时间戳加密的方式,攻击者是无法伪造的,至于监控数据也采用时间戳加上监控数据以及数据签名的方式,使得攻击者无法伪造监控数据。
针对第三种安全威胁,本系统采用监控数据异常报警的方式来加以解决,即当监控服务器的可利用资源降低到一定阈值后,即向管理员发出警报,请求管理员对内网运行状态进行检查或对监控服务器资源进行升级处理。
该安全防护系统实现核心是位于内网主机的终端探针采用分布的方式,采集内网各终端的活动数据。由于采用了终端探针标识号,加解密和数据签名的数据认证技术,保证了监控数据可信。同时采用探针与监控服务器分离的方式使得本系统具有良好的可扩展性,而心跳线技术保证监控服务器随时掌握各终端探针的状态。虽然从体系结构上看,监控服务器也可能会存在性能瓶颈,造成整个系统的效率降低,但这可以通过资源升级和优化加以解决。
4 系统实现目标
如何更好地实现主动防御和事前防范,首要工作是制定一套切实可行的安全策略。终端安全的所有动作都遵循此安全策略进行,系统提供默认安全策略,同时提供客户自定义安全策略,在客户设置完成后可以通过策略查询功能查询安全域的安全策略设置情况,从而使使用者了解自己网络安全设置情况,通过分析安全策略的设置发现可能出现的安全问题,使用者对自身网络安全心中有数。重点解决了如下问题:
4.1 确保内部信息与网络资源受控合法使用;
4.2 确保内部重要信息的安全与保密;
4.3 实现了接入终端用户的身份认证;
4.4 实现对重要信息的加密处理;
4.5 实现存储介质(包括硬盘、软盘、移动存储介质等)的保护;
4.6 实现对终端计算机端口和设备(如并口、串口、USB口、红外端口和蓝牙设备等)的控制;
4.7 实现终端用户的安全连接,防止非法接入和非法外联,保证网内数据的安全使用;
4.8 实现对终端计算机网络行为和用户行为的控制;
4.9 实现登录身份认证,保证用户的合法性;
4.10 实现对打印的控制和审计;
4.11 实现事前控制、事中报警和事后审计的完整体系。
5 结论
本解决方案的设计目标是在最小安全投资的前提下,在对网络结构不改变的情况下,不添加更多的硬件设备,不对用户的使用造成不便,最大限度地管理内部网络系统和终端信息的安全,通过以事前防范为主并结合事中巡查和事后审计等相关技术,能够有效地对企事业单位的终端数据进行综合安全防护管理。
[1] 王良.终端安全防护产品的设计及其安全性分析[EB/OL].http//www.rier. com. cn/showjiush.asp?id=163
[2] 沈昌祥.基于积极防御的安全保障框架[J].计算机研究与发展,2003,(10).
[3] 赵勇,刘吉强,韩臻,沈昌祥.信息泄露防御模型在企业内网安全中的应用[J].计算机研究与发展,2007,(5).
