信息化解决方案-天融信防止非法外联的解决方案.doc

信息化解决方案-天融信防止非法外联的解决方案 核心提示：木马是当前用户信息化所面临的头号杀手，根据CNCERT年度报道，木马引起的安全事件长期位居各类安全威胁之首，特别是一些安全性较高的内部网络（如政府部门、军事部门的网络），虽然采取物理隔离的措施来确保外部网络和内部网络之间不存在任何可能的物理链路。但是，假如这样的网络中有某个主机通过拨号或其他形式私自接入外部网络，这种物理隔离就会被破坏。木马极可能通过该主机进入内部网络，进而通过嗅探、破解密码等方式对内部的关键信息或敏感数据进行收集，或以该主机为“跳板”对内部网络的其他主机进行攻击。 　　 　　方案背景 　　当前，一些具有较高安全性的内部网络（如政府部门、军事部门的网络）常常采用和外部网络（如Internet）实施物理隔离的方法来确保其网络的安全性。物理隔离确保了外部网络和内部网络之间不存在任何可能的物理链路，切断了信息外泄的通道。但事实恰恰相反，由于管理制度的不健全或缺乏有效的终端监控技术，内部网络中个别用户利用电话拨号、即插即用的互联网接入设备，外连互联网进行私人操作，物理隔离环境被破坏。另外，终端内外网混用情况较为普遍，导致内部网络出现隐蔽通道，被黑客或病毒利用后，将导致泄密或影响信息系统性能。这些行为可定义为——“非法外联”。 　　安全需求 　　终端作为信息系统的基本组成部分，具备分布广，数量巨大等特性，信息系统设备中有85%以上由其组成，由于终端操作的随意性，难以利用技术措施实行管控，终端安全保护能力成为安全短板，因此终端成为恶意攻击的对象，病毒传播、信息失窃的源头之一。在内部网络（如政府部门、军事部门的网络），一旦物理隔离环境被打破，将导致安全事件的发生，后果不堪设想。 　　“非法外联”使原本封闭系统环境与外部网络出现隐蔽通道，内部网络将面临病毒、木马、非授权访问、数据窃听、暴力破解等多种安全威胁，导致网络结构、服务器部署、安全防护措施等信息被泄露，甚至进行跨安全域、跨网络破坏。 　　综上所述，降低“非法外联”风险需从多角度进行防护，形成层次化、有纵深的防御能力。首先应确保终端系统配置安全性，对木马与病毒抵御能力，提高终端安全强度；其次采取实时监控、智能阻断或隔离等措施，消除“非法外联”途径。 　　设计思路 　　“非法外联”主要表现为内网终端交叉使用内外网线；内网终端使用拨号、无线网卡、双网卡等方式接入外网；便携电脑内外网混用。这些人为有意或无意行为，将使外部黑客攻击、病毒与木马攻击绕过当前安全保护屏障，即使有部分安全措施发现“非法外联”网管员也无法及时阻断，无法挽回信息泄露、病毒入侵造成的损失。 　　控制“非法外联”必须从根源下手，对终端行为、访问信息特征进行监管，建立综合的网络和终端技术防护体系，采取“分层防护、纵深防御”的思路，基于多种设备建立自动可控的“监测、审计、预警、阻断”安全机制，阻断“非法外联”终端对内部网络对威胁。 　　方案设计 　　终端防护 　　“非法外联”使终端暴漏于不安全环境下，面对黑客入侵、病毒与木马等安全威胁。如果终端系统或应用存在软件漏洞、未安装或及时升级防病毒软件等安全弱点，将轻而易举的被攻击或控制。终端的防护必须全面、及时，否则将导致直接的安全事件。 　　系统与应用软件补丁管理； 　　终端物理资源控制； 　　病毒与木马的检测和查杀能力保障； 　　移动存储介质控制； 　　终端安全状态审查； 　　行为审计。 　　网络安全防护 　　在封闭环境下的内部网络（如政府部门、军事部门的网络）常常由多个具有不同安全保护需求的系统、设备或信息资源组成的安全域构成，在安全域内和边界采取了相应的安全保护。事实证明，多数的安全入侵或攻击事件，往往具有显著的商业或政治目的，或窃取其它组织机构的重要信息或破坏其系统影响其业务活动，仅有少数事件为恶作剧性质。在内部网络环境下，“非法外联”终端在外联过程中极易被黑客控制、种植木马或病毒，此类用户绝非仅仅一次“非法外联”，事后连入内部网络。这种情况导致了终端成为内部网络信息收集、破坏行为的风险点，甚至跨网段、跨安全域非法收集重要信息。必须在网络内建立监控预警与访问控制机制。 　　入侵行为检测预警； 　　病毒过滤； 　　终端对重要区域的访问控制，如服务器区域； 　　安全域边界防护； 　　网络可信接入； 　　系统安全管理设计 　　为防止泄密事件的发生，除了加强安全技术的管控外，也要加强安全管理。首先要引入第三方安全服务，定期查看关键计算机设备的状态，发现与定位计算机中已经感染的木马，防止木马的泄密等破坏行为发生；其次要建立应急响应机制，在泄密事件发生后定位与隔离涉及的主机，使安全事件能够追查到责任人。 　　安全审计系统（TA-L） 　　安全管理平台系统（TA） 　　部署措施 　　终端系统防护 　　统一部署终端