随着信息技术的不断发展,数字信息的价值不断增加,成为一种重要资产,地位甚至超过了承载信息的磁盘、存储和IT基础架构。人员越来越强调对信息进行周密的保护,防止出现未经许可的泄露、丢失或盗窃。从美国零售业巨头TJX公司465万个信用卡信息被盗窃,到前一段时间的艳照门事件,信息防泄漏和防护无不引起人们的重视。
更为严重的是,所有信息泄漏事件中,源自内部人员所为的占了绝大部分。根据FBI和CSI对484家公司进行的网络安全专项调查结果显示:超过85%的安全威胁来自公司内部,在损失金额上,由于内部人员泄密导致了6056.5万美元的损失,是黑客造成损失的16倍,是病毒造成损失的12倍。另据中国国家信息安全测评认证中心调查,信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪,而非病毒和外来黑客引起。
那么,如何才能够有效的进行信息的防泄漏和信息保护呢?网御神州认为至少要从以下三个角度来考虑:
首先,是对静态信息的保护。最基本的静态信息保护就是数据加密。此外,更为重要的是要建立数据的统一安全策略,贯穿数据产生、流转、销毁的全生命周期。例如,我们可以针对员工的工资信息制定这样一套安全策略:工资信息必须加密后才能通过email传输,禁止通过http或者https协议传输,只能存储在指定的服务器和数据库中,只有人力资源部门授权的帐号列表才能访问工资信息,等等。只有建立统一的信息安全保护策略,才能有效地进行信息保护,否则就可能出现策略真空,导致某个环节发生信息泄漏;或者出现策略冲突,使得信息的传递效率大大降低,影响正常工作。
其次,是对动态信息、也即信息在网络传输过程中的检测和保护。这是信息防泄漏和信息保护的最重要环节。由于网络技术的充分普及,信息传递的速度和传播的范围都极大提升。信息一旦透过网络造成泄漏,后果几乎无法挽回。动态信息保护有两个环节。
1) 防止重要信息由高安全区域向低安全区域的扩散:各种帐号、密码、客户信息、财务信息、工程图纸、设计文档、核心代码等机密信息一般都是存储在特定的服务器和数据库中。动态信息保护要求对这些服务器、数据库系统的网络连接进行监控和审计、借助统一的安全策略,检查各种违规的网络访问行为,例如通过FTP和Telnet指令获取服务器上的重要文件;通过SQL语句获取数据库系统重要的库表字段数据;等等。
2) 防止重要信息由内部网络向外部网络的泄漏:这是信息防泄漏的关键一环。我们知道,随着Web2.0技术的兴起,现在内外网之间的连接方式多种多样,例如各种即时通讯工具(MSN、QQ等)、WEB邮件网站(163、Gmail等)、P2P应用(迅雷、电驴等),以及论坛、聊天室。这些内外部通讯手段都有可能成为信息泄漏的途径。并且,这些泄漏途径从技术上来看大多基于HTTP协议,或者更为底层的UDP协议,端口也不固定,与正常的业务传输通道相同,防范起来十分不易,过严则可能影响正常业务开展,过松则可能功亏一篑。动态信息保护要求我们采用具备应用层协议检测技术的设备、并且要采用具备信息匹配技术的内容过滤引擎,智能地进行网络流量甄别。
最后,就是要对信息的使用者及其载体——终端进行监控和审计,这也就是终端安全监控与审计。因为绝大部分机密信息的泄漏都是内部人员造成的,而这些内部人员往往都是从终端将信息传播出去。在这个层面,信息保护就是要对人和终端进行管理。对人,就是要加强人员的安全保密意识的培训,并且要制定令行禁止的安全制度。对终端,就需要建立一套面向终端安全的管理系统,包括终端接入的控制、U盘外设等的接入控制、终端加固和运行监控、终端用户行为的监控与审计,等等。终端管理的目的是一方面确保终端的合法使用者无法违规,另一方面确保其他非法人员无法利用终端自身的漏洞进行违规操作。
在上述三个层面中,统一安全策略始终是信息防泄漏和保护的核心。静态信息防护、动态信息防护、终端安全和人员安全管理都有赖于一致的、统一的、贯穿信息生命周期的安全策略。各种技术、工具和设备都是这些策略的执行者。
总结一下,信息防泄漏和信息保护体系架构如下图所示:
网御神州公司很早就关注到了信息泄漏给客户带来的危害,为客户提供了一个多层次,全方位的SecFox信息防泄漏和信息保护解决方案。网御神州SecFox信息防泄漏和信息保护解决方案包括了三款产品:SecFox-NBA网络行为审计系统上网审计型、SecFox-NBA网络行为审计系统业务审计型、SecFox-EPS终端安全管理系统。SecFox-NBA业务审计型产品采用旁路部署方式,实时检测所有针对核心服务器和数据库系统的网络访问,防止违规操作,审核信息扩散行为;SecFox-NBA上网审计型亦以旁路部署的方式实时审计所有内网用户的对外网访问,包括及时通讯、网络聊天、WEB邮件、P2P应用等,通过内容关键字匹配和URL地址库技术审查内部用户的违规行为,防止信息泄漏;SecFox-EPS终端安全管理系统则对内网的终端设备、外设、移动存储设备进行统一的安全监控与审计、防范终端使用者的违规行为;此外,SecFox-EPS还能够对终端上的重要数据进行加密,并制定复杂的授权方访问控制策略。最后,各种监控和审计信息统一在SecFox安全管理平台之下。借助统一安全管理平台,管理人员可以全面掌握网络信息的传播动向,做到统一监控、统一审计、统一响应和统一防护。