网络窃密、监听和防泄密技术第12章网络安全防御与防泄密体系建设的基本目标课件

1、第12章 网络安全防御与防泄密体系建设的基本目标 12.1 实现高效的一体化智能防御能力12.2 实现对核心内网的统一安全管理12.3 实现对内部数据的全程监管12.4 实现对内部用户行为的有效约束第1页，共70页。12.1 实现高效的一体化智能防御能力12.1.1 概述如图12-1所示，实现高效的一体化智能防御能力包含四个不断演进的发展阶段：(1) 深度防御，即全层次、全地域、全模块、涵盖网络内外的安全能力集成。网络中的每一个组件，包括物理环境、系统设备、网络设施、系统、应用、数据和人员都有各自的安全措施，实现“组件各自安全”。第2页，共70页。(2) 一体化防御，即整个网络中各安全组件高度

2、协同，安全防御能力高度融合。网络本身的安全机制和各类安全系统分别在网络中各个层次、各个模块、各个区域实施防护的同时，相互之间还可实时共享安全信息、协调响应动作，对潜在的威胁进行多方位、多角度、全过程的联合监视、分析和防御。(3) 智能化主动防御，即在检测和响应机制中的智能性、适应性。网络能够不依靠传统的静态策略和特征判别等技术，而是采取类似人类思维的综合、分析、关联、演绎、推理和判断等方法，准确识别网络中出现的威胁，尽量减少对人工干预的依赖，主动改进并自行适应新的安全策略，使安全体系能够快速应对新出现的威胁。 第3页，共70页。(4) 面向关键业务的高效防御，即在防御过程中充分考虑安全成本和对

3、正常业务的干扰，优化安全策略，尽量减少对系统计算、存储和网络通信容量的占用，保证关键业务的运行效能。 第4页，共70页。图12-1 新型安全防御理论的四大阶段 第5页，共70页。12.1.2 深度防御深度防御体现的是“全面系统”的防御，其核心是增大监视、检测和保护实施的范围，提供网络中所有层次、所有模块和所有对象的集成安全性，实现从边界到内网，从物理层到数据的“组件各自安全”。(1) 保证物理环境和基础设施，如服务器设备、路由器、交换机和终端的自身安全。只有首先保证基础平台自身是安全的，才能为运行其上的业务和应用提供进一步的安全性保障。因此可通过强化操作系统，禁用不必要的系统功能，或/和改变系

4、统缺省配置，提高可维护性，缩小系统受攻击面来实现。对于终端，可配备独立的主机防火墙、主机入侵防护系统及病毒防护软件。 第6页，共70页。(2) 保证网络边界，包括采用防火墙、安全网关等设备的安全。在网络边界处进行持续的监控和检测，以发现潜在的网络攻击和测试网络的易攻击性，确定合法网络流量，过滤非法访问，防范来自Internet上的攻击(包括来自公共的网络服务器的攻击)，减小资深黑客仅需接入互联网和编写程序就可访问企业网的概率。(3) 要保证内网安全。对于内网的防护是近几年刚提出的新概念，主要用于防止因内部管理不善和非法渗透造成的信息失窃。从终端接入网络开始，由主机到局域网，再到网关，层层布控，

5、防止黑客或内部人员非法控制内部服务器或终端，以此为基地，对内网其他主机发起攻击。 第7页，共70页。(4) 保证应用层安全。应用程序是许多网络攻击的主要目标，也是近年来新的安全方向，防御包括恶意软件、病毒、木马、垃圾邮件、即时消息等带来的挑战，它代表了信息保护的较高层次。(5) 实现数据保密，对存储信息和传输数据流进行有效管理，构建安全可控的使用、存储和交换环境。数据的移动性正日益加强，因此数据安全防护至关重要。防护的焦点在于数据本身，其目的在于确保数据安然无恙，而不论其传播途径如何。 第8页，共70页。12.1.3 一体化防御 一体化防御体现的是“高度协同”的防御，目的是实现“联合防御”。一

6、方面对来源广泛的全方位监视数据进行融合，形成一致的安全图景，提高分析和预测的准确性；另一方面更实现了面对威胁的系统化对抗，能够调动大量资源从多个角度和层次对威胁进行联合防御，提高响应和保护力度。 第9页，共70页。互联网世界中的产品与系统普遍存在着脆弱性问题，很多网络在设计初期，缺少对安全防护的考虑，特别是没有从整体上规划安全设备和系统的布局，导致面对新的威胁时只能被动招架，哪里有问题就补哪里，采取“头痛医头，脚痛医脚”的“救火式”离散的单点静态防御安全加固办法。现阶段保证计算机网络安全的主要方法和途径包括实体保护、加密技术、存取控制、防火墙、入侵检测和安全审计、防病毒设置、系统备份和恢复等，

7、但仍然经常出现以下问题：第10页，共70页。(1) 网络安全各个组成部分相互独立，各占资源，效率低下，甚至相互干扰；(2) 对小范围出现的新型攻击、病毒和蠕虫等缺乏有效的识别能力，只能被动响应；(3) 即使怀疑潜在的威胁，也只能各安全系统分别“管中窥豹”，缺乏全面的监视、跟踪、隔离和分析的能力。 第11页，共70页。随着信息化的深入，用户和厂商认识到，单独解决一个个点的脆弱性，并不能够带来整体的安全性。网络安全体系的构建必须通过一体化的建设思路，在理解不同类型、部署于不同位置的安全系统在防御能力的不同侧重点的基础上，充分发挥各系统的优势，先实现安全信息共享和系统间的互操作，达到“联防联动”水平

8、。而后实现在整个安全体系范围内的优势互补，每个系统都能明确自身在体系中的作用、地位和责任，从而实现高效分布协同、构建统一的“网络威胁全景视图”。 第12页，共70页。12.1.4 智能化主动防御智能化主动防御体现的是“精确灵敏”的防御，目标在于更进一步提高对威胁进行分析和预测的精确度，减少检测时间，实现在面对新型威胁时，核心安全策略的快速适应能力，自动完善安全体系响应和保护模式，充分体现优化的生命周期模型中将“运行管理”和“完善改进”进行融合的目标。 第13页，共70页。随着企业将多种安全措施嵌入网络的各个层次，集成到所有设备中，每个安全组件都能为异常流量检测、威胁反应和分析提供独立的事件日志

9、和警报记录。因为安全系统机械地执行预定检测策略，导致每天都能产生数百兆的海量日志信息，为安全管理人员带来了巨大的工作压力，同时也不可避免地产生许多对实际攻击和正常的网络访问行为的错误判断，容易转移网络管理人员有限的注意力。威胁变得越来越复杂，越来越不可预测，这使得网络更容易受到诸如混合威胁之类的有目的性的攻击。这个挑战不仅要求威胁处理方案要适应新情况，更重要的是要能够准确预测未来网络安全状态，预防未知威胁，以保持网络的高度安全性。 第14页，共70页。智能防御技术是依据网络访问行为，自主识别和判断网络访问是否非法的一项新技术。它通过对网络访问行为的规律进行分析、归纳、总结，并结合安全专家判定病

10、毒的经验，提炼出网络访问识别规则知识库；模拟专家发现恶意行为的机理，通过分布在网络上的各种监视设备、动态监视网络访问的所有动作，并将其一系列动作通过逻辑关系分析组成有意义的行为，再结合网络访问识别规则知识，实现对入侵的精确识别。主动防御技术指自动化的完善安全策略以适应新威胁，即“自适应性”。它是实现高效率网络防御的关键，它远远超过了手动安全策略的功效，利用一种自动检测、分析、跟踪、策略变更和自适应的模式来面对网络攻击行为中的各种变更，将大大提高对于新型未知攻击行为，特别是目前愈演愈烈的应用层攻击的防御能力。 第15页，共70页。12.1.5 面向关键业务的高效防御面向关键业务的高效防御体现了“

11、面向服务(应用)”/“以服务(应用)为中心”的“高效可控的”思想，其核心是优化安全体系的响应和保护措施，在很大程度上保障网络中关键的应用系统，如高考/考研系统、作战指挥系统、远程IP电话/电视系统等的可用性。这也是未来安全技术发展的方向。 第16页，共70页。目前，很多集成在受保护设备内部的安全措施，如主机防病毒软件、主机IDS/IPS系统、路由器中的嵌入式深度数据包检测模块等，以及采用in-band 形式实现一体化防御的安全系统，都存在和正常应用争抢资源的问题。某些声称“可完全防御任何威胁”的安全系统，也常常会因为需要进行复杂的分析、判断和信息交互过程而“完全占用系统和网络资源”，导致“安全

12、条件下的业务瘫痪”，从损失和后果而言，这与“攻击条件下的业务瘫痪”并无差异，这应叫做不成熟的安全体系。 第17页，共70页。一个成熟的安全体系，对于受其保护的信息系统来说，应实现最大程度的“透明”。即实现对于正常业务流程的最小干扰，尤其是必须保证在任何时候、任何情况下，关键业务应用对于计算、存储、网络通信容量和网络质量的需求都能够得到最大程度的满足，而且自动化、智能化的自适应安全机制能够将有限的安全专家资源从海量数据的枯燥分析中解脱出来，实现对关键业务、关键威胁的集中保障。 第18页，共70页。大型企业/机构网络的安全考虑一般都有择优问题。不同的服务器或终端对于网络整体而言具备不同的效益，必须

13、明确最重要的服务器、客户端、网络基础设施等资产的位置、防护水平、资源需求等重要参数，在面临任何安全威胁时，都具备对于整体防御格局的“宏观调控”能力。在不影响安全大局的情况下，协调、平衡、转移和优化安全系统的资源占用，避免出现因为遭受大规模攻击而导致安全系统自身资源和整个网络资源全部耗尽、网络瘫痪、业务停止的状况出现。 第19页，共70页。12.2 实现对核心内网的统一安全管理 12.2.1 统一安全管理的必要性统一安全管理模式是针对“分布式管理”、“区域自治”、“用户自我管理”等模式而言的。目前早已适应了P2P应用的用户可能会认为回归到传统CS时代的统一安全管理模式是网络发展的倒退，但本小节将

14、和读者一起讨论在新的安全威胁形势下，为什么统一安全管理模式是新形势下核心内网安全管理的必要选择。 第20页，共70页。网络安全防御是安全技术和安全管理的综合。我们需要解决一个长期困扰的问题：大型网络系统越来越复杂，对大量网络基础设施、安全设备和应用的管理维护工作已几乎耗尽了网络管理部门有限的专家和人才资源，海量的各式安全警告和日志信息的处理让网络管理人员无暇顾及普通终端的安全；与此同时，很多企业/机构试图单纯依靠行政命令，以“十不准”、“二十严禁”、“十六注意”的形式，对内部网络的用户进行控制和规范。这种毫不考虑用户计算机和网络知识水平、过度信任行政管理制度效果的管理模式在过去已经造成了大量安

15、全事故。 第21页，共70页。大型内部网络的长期管理维护，特别是安全防御保障的代价是极为高昂的，主要体现在对高水平安全专家和技术人员资源的雇佣、计算和存储资源的占用上，有限的安全管理资源通常只能集中部署在最关键的区域和节点附近进行保障，往往无法顾及所有的网络单元。这样就注定了，如果实施非统一的集中管理模式，很多的终端管理和维护工作要在管理部门的政策约束和技术指导下，由用户自行完成。 第22页，共70页。网络安全管理人员经常遇到这样的情况：在很多病毒或安全漏洞出现不久，管理部门会及时公布相应的杀毒程序或补丁，但还是无法控制威胁的蔓延。这类安全响应机制对用户的知识水平和安全意识提出了很高的要求，在

16、很多用户根本没有主动维护系统安全的习惯或完全不了解安全理论的情况下，期望其主动参与杀毒软件升级之类的终端维护工作是不现实的。这样自然造成了网络系统整体安全态势的不平衡发展：某些拥有高水平网络管理人员/用户的部门能够时刻保持最新的安全信息和更新，迅速正确地应对威胁；而某些部门则因为无人懂安全管理而造成安全状态的发展停滞，成为整个网络系统的“短板”。长此以往，局部位置积累了大量漏洞或重大安全隐患，容易导致失泄密事故的发生。 第23页，共70页。此外，很多内部员工因为个人爱好、长期工作习惯、贪图方便甚至恶意报复等原因，无视管理制度的规定，在存储和处理敏感信息的终端/服务器内安装盗版应用软件、游戏、即

17、时通信软件、P2P软件，或干脆恶意破坏安全控制软件，私自接入私人的移动存储设备甚至无线上网设备，在影响内部网络正常运行效率的同时，形成了完全失控的“隐蔽通道”，为外来攻击/窃密者提供了捷径。 第24页，共70页。目前无中心的P2P直接通信模式因其大幅度提高的网络通信能力、灵活性、高可用性等带来的用户感受，已经受到越来越多用户的青睐。但与此同时，其大范围分布时所呈现的匿名性和不可控性特点，降低了内部通信的可信度，给网络管理带来了巨大的挑战。对于某些物理危险性较高、网络层次的攻击较为困难的应用场合，如战场通信网络系统、受灾地区临时架设的机动通信网络系统等，P2P模式可有效克服CS模式所存在的“对关

18、键结点的高依赖性”及“中心节点网络拥塞”两大缺陷，保证网络的高可用性。但在物理危险性低、网络攻击频繁的场合，广泛存储于不可信、不可控节点的敏感信息将成为黑客窃密的重点目标。因此，对于数据安全性极其敏感的企业、政府、军队网络系统而言，经过性能优化的统一安全管理模式所带来的安全方面的收益，要远高于类似于P2P的大规模端到端通信和自我控制模式所带来的性能收益。 第25页，共70页。12.2.2 统一安全管理的内容和作用基于设备的单个管理或基于多个设备的区域管理需要为设备或小型独立区域进行逐个管理及配置，这项工作非常费时、费力，还容易出错。基于策略的统一安全管理方法可通过集中的策略管理器集中管理，产生

19、所有必要的管理策略和指令，对所有设备进行配置，而与数量或位置无关。这种管理可以合理配置有限资源，减少错误，确保网络一致性，减少时间和成本。 第26页，共70页。统一安全管理模式的核心在于“集中治理”，即把对所有潜在隐患、弱点、数据和网络资产等的监视和控制功能，集中到一个标准的公共平台上来，使安全管理部门可以集中使用有限的专家和技术人员，对全网范围的安全态势的实时动态掌握，避免“两不管地区”、“专家疲于奔命”等现象的出现。在实现上，它将各种网络管理设备、平台、安全防护设备等，整合到一个统一的管理平台上，利用类似SOA(面向服务的体系架构)的“企业数据总线”形式，通过标准化的接口和内部消息方式进行

20、相互通信，执行统一的控制、管理、监测、分析、协调和部署。 第27页，共70页。统一安全管理主要包括两方面内容：(1) 不同安全应用/产品的统一；(2) 安全产品与网络设备的统一。安全技术的统一目前主要侧重于安全接入、补丁管理、认证授权、访问控制、防火墙、防病毒、主机安全代理和IDS/IPS等技术的整合。安全技术的整合并不是不同产品的简单堆砌，通过创新安全理论，整合各种安全解决方案，整合网络安全资源，构建综合的动态网络，并融入安全专家的管理经验，使安全防护的效果最大化。 第28页，共70页。在统一的安全管理模式下，管理部门将可以高效地完成以下的标准安全事故/威胁处理步骤：(1) 预防准备。提前对

21、设备、资源、工具等进行标识、分析、评估，制定安全计划。(2) 威胁识别。通过智能/人工分析监视数据，根据安全策略，迅速识别发生的事故/威胁。(3) 威胁控制。通过临时、短期或长期的安全措施，对事故/威胁进行处理。在统一的管理平台辅助决策和控制下，改变交换机、线路状态；更改防火墙、主机安全策略等。 第29页，共70页。(4) 消除影响。在已采集到足够法律证据的前提下，如果无法完全恢复到事故前状态，可通过镜像恢复、重建系统、关键数据恢复等手段，将出现事故的系统尽量恢复到可正常工作状态。(5) 恢复工作。将替代系统或恢复后的受损系统重新投入运行，并加强对其安全监控等级。(6) 事故总结。对整个事故处

22、理的全过程进行回顾和总结，对过去的安全策略、控制手段、安全流程等进行检讨，进一步提出有效的网络加固和事故预防措施。 第30页，共70页。12.2.3 统一安全管理体系的基本体系架构过去，我们通常认为采集到足够的日志信息就可以应付任何威胁，喜欢把所有设备的日志功能都打开。结果，在日常的管理工作中，有限的技术人员必须处理来自各种设备、主机、应用等产生的海量日志信息，工作量极大。而且，这些信息缺乏统一标准，数据格式不同，有的容易阅读和理解，而有的内容加密根本无法人工阅读。此外，不同类型的日志信息，例如路由器、交换机、防火墙、IDS/IPS和服务器等收集到的日志信息通常由彼此独立的多个监视系统分别进行

23、管理，使用单独的控制台完成信息收集和报告功能，缺乏跨设备的信息关联能力。因此，管理人员需要手动监控这些设备，从数以吉计的数据中寻找潜在的安全事件。 第31页，共70页。为从容应对日益增加的安全威胁，解决大量安全设备共存条件下专职安全管理或安全审计人员不足的问题，我们提出“统一安全管理平台”的概念。统一安全管理平台中着重强调强大的多设备安全信息融合、关联、分析和辅助决策能力，它包括以下功能：(1) 事件日志信息采集和关联：从不同的安全组件(例如路由器、交换机、防火墙、IDS/IPS和服务器等)接收、采集并关联安全日志和NetFlow等类型的信息，也可根据用户定义的模板来分析来自非支持设备的事件信

24、息。(2) 报告。通过直观的用户界面接收用户指令并迅速反馈重要的相关信息。(3) 告警。当发现异常事件或系统入侵时，通过电子邮件、日志消息、SNMP陷阱信息甚至短信等形式，实时向用户发送告警信息。第32页，共70页。(4) 会话识别。从不同主机、安全组件、网络设备中采集相关事件，从中识别出与某个特定通信流量(会话)有关的所有事件，对这些事件进行综合后，为用户提供概要描述。(5) 拓扑感知。能够了解安全组件、网络设备等在网络中的相关位置，以便评估安全事件，分析攻击行为是否成功。(6) 威胁反应。针对网络中的异常和恶意流量进行迅速反应，基于拓扑感知信息，为管理人员提供正确的防御辅助决策，降低安全专

25、家工作压力。 第33页，共70页。如图12-2所示，统一安全管理平台包括两个核心组成部分：统一安全组件管理平台和统一网络监听管理平台。(1) 统一安全组件管理平台。统一安全组件管理平台提供对于安全组件，包括独立监视与分析设备、安全集成路由器(交换机)、防火墙、VPN管理器、IPS和网络基础设施等的中心化的统一策略管理功能。通过相互的“按需订阅”模式的安全信息获取过程，统一安全组件管理平台可以与统一网络监听管理平台进行互联互通，通过对安全策略、法规和网络访问情况的监视数据进行分析，识别安全威胁/事故。 第34页，共70页。图12-2 统一安全管理平台实例图 第35页，共70页。统一安全组件管理平

26、台能解决日志收集问题，它自动从与之集成的设备中采集事件数据，存储到数据仓库中，智能遍历和分析数据以找出特定的用户行为、访问时间、用户位置等信息，并可通过三种视图进行统一安全组件管理： 设备视图：对网络中不同的安全组件进行分别的配置和管理； 策略视图：通过预定义的安全策略对分组的安全组件进行管理； 区域视图：通过将各安全组件划分到不同的逻辑区域中，可以分别管理、执行不同的安全设置和策略。第36页，共70页。统一安全组件管理平台可为网络中部署的安全组件提供统一的策略发布和管理能力，并支持对设备功能、运行状态的管理和配置。一般具有以下功能： 以标准化的统一安全管理界面，支持对防火墙、各类VPN、IP

27、S、UTM、交换机和路由器等多种对象的自动发现、配置清单报告(设备状态、嵌入系统版本、平台、策略版本)、原始事件采集、会话识别、事故检查、安全策略管理、管理连通性测试； 基于网络拓扑图的网络可视化； 支持对大量远程站点的扩展； 支持分布式部署以增强扩展性；第37页，共70页。 监督并强制执行机构安全规则和最佳实践； 先进的规则分析和优化能力； 协调网络中的规则制定、配置、监视、防御和身份认证等功能； 可与网络监听与分析系统互联互通； 通过图表、查询、报告、通知等形式，向用户交付一致的信息； 从IPS设备提交的攻击报告中获取分布威胁特征签名集，并作为知识库存储这些特征签名，为其他安全组件提供下载

28、； 与其他独立的安全组件管理平台集成； 详细的用户行为报告功能； 对网络访问和安全策略遵从情况的自动审计和分析。 第38页，共70页。(2) 统一网络监听管理平台。如图12-3所示，统一网络监听管理平台主要用于对各型号网络监视探针、防御代理和网络协议分析系统的中心化管控。 图12-3 统一安全管理平台逻辑图 第39页，共70页。统一网络监听管理平台以单一用户界面形式，对两个以上的、分布于不同站点/区域的网络监听与分析系统进行中心化的管理，支持添加新设备、规则检查、报告和查询等功能。在不增加各独立网络监听与分析系统负载的情况下，将安全监视和分析能力扩展到新增加的网络区域中。此外，统一网络监听管理

29、平台还支持跨所有分布式网络监听与分析系统的全局认证、统一报告生成、统一规则生成和部署、全局网络视图等功能。 第40页，共70页。统一网络监听管理平台具有中心化的用户数据库，能对来自大型网络中的信息进行关联和合并，将用户定义的规则、分析模板和报告自动推送到分布在各处的单个网络监听与分析系统，简化管理和更新过程。此外，它还支持基于事故类型的告警定制，可针对不同威胁等级的安全事故对管理部门发出不同类型的告警，通常包括电子邮件、系统日志、SNMP陷阱消息、短信息、带详细事故描述附件的电子邮件等。 第41页，共70页。借助统一网络监听管理平台，网络监听与分析系统可以“分布部署、中心控制”，分布式的单个网

30、络监听与分析系统接收海量区域内的安全信息，包括各种会话、事件等，对其进行基于会话的事件比较和关联，并通过规则引擎进行处理，从会话中识别出预定义的事故，而后将生成的事故信息以小数据量报告的形式发送给统一网络监听管理平台，借助该统一网络监听平台所提供的标准化数据访问接口、用户界面和报告文档，统一安全管理平台和网络管理人员能获得其所需的各种信息。这种方式将来自整个大型网络中众多设备产生的海量信息分析处理负载平衡分布到更多的网络监听与分析系统中，提高整体存储、分析和处理能力，支持未来网络规模扩展。第42页，共70页。此外，这种模式也有利于未来支持更多的分布式网络监听与分析系统，支持跨WAN的大型网络。

31、当整个机构/企业网络由多个彼此通过WAN链路连接的远程区域网络组成时，能够将大数据量的事件信息在区域内处理完毕并通过小数据总结报告的形式提交至全局控制器，能大幅度降低远程WAN传输流量，提高处理性能，减少带宽占用。更特别的是，这种模式能够支持对不同业务单元的监控，能够满足某些特别的安全需求或法规遵从需要，对不同业务单元产生的安全事件进行隔离和分别处理。 第43页，共70页。综上所述，在针对大型企业/机构进行内网安全防御与防泄密体系的设计中，我们采用了这种基于统一安全管理平台的多型号安全系统“分布部署、中心控制”模式。当然，“统一安全管理平台”并不意味着它只有单台设备，为避免单点失效情况的发生并

32、提高处理性能，在后面的内容中我们会介绍采用基于大规模计算和存储网络的“统一安全管理云”模式，此模式能够提供最佳的可靠性和效能。 第44页，共70页。12.3 实现对内部数据的全程监管 12.3.1 内部数据全程监管的需求前面我们已经着重指出：人员和管理方面出现的问题已经成为内网中新出现的，而且是最大、最不可预料、最难以防守的漏洞。黑客可以利用很多技巧，如间谍技巧、社会工程学等，实现对具备顶尖防御系统和安全专家的重点机构内网的渗透。 第45页，共70页。国外安全研究报告显示，虽然大部分泄密事故都是外部攻击者所为，但是外部攻击之所以能够屡屡奏效，跟企业内部员工长期忽视安全问题也有很大的关系。大部分

33、安全泄密事故都是因为企业将安全大门敞开，让攻击者轻松攻入造成的。报告明显指出，这些泄密事故与安全保护措施的技术含量关系不大。对企业数据缺乏认识以及不知道那些数据储存在什么地方，这是数据泄露事故中的另一个很常见的问题。实际上，90%的泄密事故都可以归入下列原因中的一个：(1) 企业不知道自己运行的是什么系统；(2) 敏感信息储存在企业不知道的某个特别系统中；(3) 带有未知连接的系统或者带有未知账户或用户特权的系统。 第46页，共70页。与所有数据一样，敏感信息具有一个复杂的生命周期，在执行其业务功能时它通常会到处移动。我们必须在敏感信息的整个使用周期中对其进行准确监控、定位、合理分类和控制数据

34、。具体来说，就是要做到以下几点：(1) 确认一旦离开机构/公司后会带来严重问题的数据，比如包括社会保障号码、客户信用卡号码、销售记录和知识产权等；(2) 明确敏感信息保存位置；(3) 一旦明确敏感信息位置，就要制订相应策略，以明确如何创建、保存、访问、共享及保护数据；(4) 监控数据流出情况，执行针对电子邮件、网络邮件、即时通信及其他通信方法的数据保护策略；(5) 针对保存在终端及可移动存储介质上的数据实施进一步的保护。 第47页，共70页。12.3.2 数据定位和分级“数据在哪里”这样的问题可以通过周期性的检查全网存储和处理数据信息的各种位置，包括存储介质、桌面计算机和数据中心等来回答。有两

35、种识别内部存储位置的方法：(1) 人工询问数据库管理员、系统管理员和网络管理员，获得数据存储登记材料；(2) 自动数据发现技术。使用工具扫描网络数据库、文件共享或桌面计算机，寻找用户指定的详细的数据元素。建立的网络地图，表示数据元素的各个位置。全面数据定位是实施全程监管的前提，必须保证所有存储数据的设备都得到了详细而正确的识别、定位。 第48页，共70页。数据分级是“确定敏感信息知悉范围”的手段。数据分级是把数据分为从低价值到高价值的各种类型的过程。分级数据是一项耗费时间的过程，需要许多步骤并且具有商业和法律的意义。这项工作首先必须确定分级标准，然后为分级后的数据制定控制策略，策略将规定数据的

36、保留时间、保密方法、如何销毁和通过什么手段销毁等。 第49页，共70页。大多数企业经常有一些暂时不能利用的数据，为了控制信息的数量，企业将逐渐把资源分级保存，区分哪些信息是需要保护的，哪些仅仅是公司的负担。与数据保护有关的是数据使用。数据分级方面定义数据是否用于内部有选择的使用，广泛的内部使用，还是能够公开。分级必须能够为企业和机构找出影响较大的“敏感信息”，以便在之后制定控制策略，决定“谁应该看到”、“谁不应该看到”。每个企业的敏感信息都是不同的，在分级的过程中，企业也对自身存储的信息加深了认识，知道最隐密的数据在哪里、什么信息正在泄露到企业外部、泄露到谁的手中。应该对一切可能有风险的东西都

37、进行分级管理。一旦能控制它在合适的位置，数据损失的可能性就会呈指数降低。 第50页，共70页。分级数据时可以使用如下的标准：(1) 根据商务流程分级。这种分级标准便于针对特定的重要任务，把对数据的访问限制在参加某个商务流程的人员。(2) 根据部门和机构分级。这种分级标准便于针对不同部门工作中对信息的需求，把信息访问权限限制在某个部门或其中的一个组。(3) 按军事模式分级。这种分级标准针对不同信息对机构运行和未来发展的影响力，将信息定义为“公开、敏感信息、机密、绝密和最高机密”。如果存在海量的数据，而且希望更详细的控制访问粒度，还可进一步针对隐私数据等增加分级级别。第51页，共70页。12.3.

38、3 数据控制在成功地实现分级后，可以对不同类型的数据按照机密性、完整性和可用性三个评价标准进行定义，确定数据类型和其防护需求之间的关系，如表12-1所示。 第52页，共70页。完成对数据的分级和防护需求分析后，应该由具有相应权限的机关和授权部门，根据规定，确定对敏感信息知悉的具体界线。权限机构和授权部门必须具有绝对的权威性，充分了解信息的重要性和对机构、企业的影响。敏感信息的级别和控制范围既可由专门的授权官员负责决定，也可以根据具体情况接受上级机关的直接确定。一旦企业识别出确实需要保护的数据，这些信息便会作为企业内部数据全程监管的基础。企业便因此能够设计出流程来监控数据丢失事件，并评估该流程是

39、否能够始终确保降低风险。在发生泄漏时，明确责任分工十分关键。一旦发生灾难，正确的人员遵循正确的流程便能降低风险。 第53页，共70页。之后必须创建数据安全中心，运行按信息敏感度分级的系统，确定哪些数据是潜在的黑客最想获得的，针对不同的威胁级别施加不同的保护策略，对访问敏感信息的行为进行有效控制。比如确定在分级的过程中是否要对数据加密以及加密的强度。最后，确定数据要保留的时间长度。数据保存政策是以一个公司所处的行业和与其相关的规定和法律要求为基础的，确定何时销毁这个数据以及用来处理数据的销毁方式。一些公司采用一种默认的政策，销毁全部纸质的和包括硬盘在内的电子媒介的数据。这个政策是以相关的成本、数

40、据敏感度、销毁厂商的可用性和商业风险设置为基础的。 第54页，共70页。12.3.4 集中数据交换和审计桌面计算机I/O控制是企业内部信息系统安全保密工作技术防范的关键，桌面计算机I/O控制不严会大大增加安全保密的风险，导致企业内部信息系统安全保密技术防范措施千疮百孔，因此企业必须切实控制好桌面计算机的I/O。对于重要的核心内网与外界的数据交换，我们建议采用集中统一的I/O方案：(1) 按建筑物或部门设置统一集中的I/O机房，并配置专人负责管理；(2) 规定所有的打印输出必须到指定的I/O机房进行； 第55页，共70页。(3) 每台桌面计算机都安装网络版的主机监控审计软件客户端，并在主机监控审

41、计软件服务器配置主机监控和审计策略；(4) 禁止使用各类I/O端口，例如禁止使用USB端口的移动存储介质、调制解调器、各类光驱、红外端口、SCSI端口和打印端口等；(5) 只允许I/O机房的计算机使用I/O端口。 第56页，共70页。国内的主机监控审计软件容易被突破，因此也可以联合采用物理措施封堵计算机的I/O端口，例如更换专门的安全保密机箱并将机箱上锁，或用粘胶、封条等方式封堵计算机的输入/输出端口。同时为了防止病毒的入侵，避免用户随意安装软件和操作系统，确保整个内部信息系统的安全，甚至可以拆除计算机的只读光驱。为便于事故责任追究和对未来系统安全性进行改进等需求，我们对于核心内网的各种数据交

42、换或I/O操作等都必须采用严格的审计措施以进行有效监控和事件追踪、回放。审计措施包括典型网络应用协议审计、文件共享审计、自定义协议审计、数据库操作审计、流量审计、主机服务审计等。 第57页，共70页。我们在对计算机终端访问网络、应用使用、系统配置、文件操作以及外设使用等提供集中监控和审计功能的同时，要重点针对敏感信息流动进行监控和审计，能够在内网发生安全事件后，提供有效的证据，实现事后审计的目标。典型的审计需求一般有以下几项：(1) 通信协议的审计监控：对Telnet、HTTP、FTP、SMTP、POP3等应用进行还原分析；(2) 审计监控策略定制：对特定的协议端口和目标对象进行审计监控；(3

43、) 流量审计监控：对被监控的数据流进行流量分析统计，并以报表，图形等方式提供给管理员； 第58页，共70页。(4) 关键字过滤能力：对传输的主要内容，如邮件及其附件(压缩文档、Word文档、Text文档、WWW页面文档等)进行有效的匹配过滤，定义安全级别；(5) 网络共享审计：针对Windows的网络共享协议进行审计，提供主机间的共享行为和操作信息；(6) 审计查询：以多种形式提供查询方法；(7) 关键字定义：可按安全级别由用户自己定义关键字库；(8) 多级管理：安全审计监控系统使用了严格的用户身份认证与控制机制，根据用户的权限赋予该用户对系统功能的使用权限。 第59页，共70页。12.3.5

44、 加强对移动办公和出差人员的数据安全保护一旦敏感数据离开了核心内网，那么它就存在失控的危险。便携式电脑的丢失难以避免且容易发生，因此必须做好便携式电脑的数据安全保护工作，以减少因丢失而带来的风险。便携式电脑的数据安全保护措施主要包括：安装强身份认证系统，例如指纹或USBKey等，以确保盗窃者无法打开计算机；采用加密软件加密敏感数据文件，使盗窃者无法打开；规定便携式电脑中不能存储敏感数据文件，敏感数据文件存储在移动存储介质上，存储介质和便携式电脑分开存放。 第60页，共70页。目前国内主要采取第三条技术防范措施，要求便携式电脑中不得存储敏感数据文件，这种措施实施起来有一定的难度，需要定期检查便携

45、式电脑中是否存有敏感数据文件或曾经存储过敏感数据文件。一旦发现就需要用永久性删除软件彻底删除敏感数据文件以及记录，特别是用户已经删除了敏感数据文件但留有记录，需要对整个硬盘彻底清除。这里建议还要联合采用第一条和第二条技术措施。一方面可以通过多因素认证实现便携式电脑的强身份认证，另一方面如果确实需要将敏感数据文件存放在便携式电脑中，那就要求将其加密，使用完后应及时删除。第61页，共70页。移动存储介质和便携式电脑一样，丢失难以避免，因此，企业也必须实施好移动存储介质的技术防范措施。移动存储介质的技术防范措施主要是加密，使盗窃者无法打开移动存储介质中的敏感数据文件。针对核心内网的数据交换需求，必须

46、强制要求在使用前进行存储介质的认证，没有通过认证的移动存储介质在核心内网中不能读写，只有通过认证的移动存储介质才能进行正常读写，而且自动实现移动存储介质中文件的加密。携带认证的存储介质出差时，必须输入正确的密码才能够打开加密的文件，因此能保证移动存储介质中敏感数据文件的安全。 第62页，共70页。12.4 实现对内部用户行为的有效约束 12.4.1 人员管理面临的挑战对于企业/机构来说，不同的人其潜在的安全威胁是不同的，因此IT安全管理人员应当衡量每个可能接触信息的人员所带来的安全风险：(1) 决策者。很多决策者对信息系统的价值认识仅仅是一台服务器或者是信息系统的建设成本，为了这个服务器而增加

47、超出其成本的安全防护措施认为得不偿失。而实际信息系统遭受攻击之后，带来的间接损失往往不能用一个服务器或者信息系统建设成本来衡量，很多信息资产在遭受攻击之后造成无形价值的流失。 第63页，共70页。(2) 内部用户。这是因为得到公司的信任，拥有访问权，而且了解内情。个别内部用户会另有私心，但极可能发生的一幕是：毫不知情的员工受骗上当后，透露了公司机密，或者导致泄密事件发生，而其本意是想起到帮助作用。企业中每天都有大量数据传送，数据泄露可能在员工实施动机良好但实际危险的行为时发生，例如向个人电子邮箱发送工作文档，或者打开个人计算机发来的邮件。 (3) 流动人员。内部岗位的流动性对数据流失有着重大影响。临时工人和承包人需要接触敏感信息和系统。曾经无意中进入过实际不应该访问的网络，还有在内部调岗之后仍然可以用原来的账户登录。 第64页，共70页。(4) 外部人员。公司应当注意合约人、厂商、