本文介绍了信息安全现状和防信息泄密技术应用,深入分析了信息泄密途径,从泄密主体防护入手,提出了防信息泄密的木桶理论,重点阐述了防内部信息泄密的难点问题。此文对关注或从事信息安全领域的工作者提供一种实际有效的内外兼防的解决方案,具有一定的参考价值。
1.信息安全现状概述
进入二十世纪九十年代以来,社会信息化正成为世界的潮流。信息产业也开始由先导产业转变为主导产业。围绕信息的获取、使用和控制的斗争愈演愈烈,信息安全成为了维护国家安全和社会稳定的一个焦点。随着美国正式开始实施“信息战”战略,网络安全已提升到维护国家主权、保护国家安全的高度。信息安全保障体系研究和信息安全支撑软件及平台研究已经列为国家“863”重点项目、应急项目。
据国际权威机构CSI/FBI提供的统计数据,在众多的攻击行为和事件中, 主要的、 多的安全事件是信息泄漏事件;攻击者主要来自企业内部,而不是来自外部的黑客等攻击者;安全事件造成的经济损失 大的,也是 主要的是内部人员有意或无意的信息泄漏事件造成的经济损失。
黑客攻击明显地被新闻媒体关注、炒作、宣传得过于玄乎,而信息泄漏事件往往不被人们所关注,没有引起企业主管领导、技术人员足够的重视和关注;针对外部黑客攻击的防范措施、解决方案、技术和产品较多较成熟,而针对内部员工的失泄密行为,目前还没有成熟的、全面的解决方案。对于来自内部信息泄密的安全问题,一直是整个信息安全保障体系的难点和弱点所在。
2.信息泄密途径有哪些?
要做到有效防范信息泄密,首先要深入了解信息泄密的途径有哪些?然后对每个泄密途径进行管理和控制。计算机泄密途径多种多样,归纳起来有网络泄密、存储介质泄密、电磁波辐射泄密、工作人员违规操作泄密等。
2.1网络泄密
信息的网络化,极大地增加了联网计算机信息泄密的风险和防范难度,窃密者利用系统的漏洞,只要在网络中任意信道、节点、端点进行截取,就可以获得网络输送的信息。如果不注意操作口令保护和及时更换,入网权限不严密,信息传输不进行加密处理,局域网和互联网没有做到完全的物理隔离等都有可能遭到网络攻击,导致严重的信息泄密事件发生。
2.2电磁波辐射泄密。
计算机设备工作时辐射出的电磁波,可以借助仪器设备在一定范围内收到,尤其是利用高灵敏度的装置可以清晰地看到计算机正在处理的信息。计算机辐射主要有四个部分:显示器的辐射、通信线路(联接线)的辐射、主机的辐射、输出设备(打印机)的辐射。
2.3存储介质泄密
U盘、移动硬盘、光盘、MP3/4、相机、手机存储卡,等移动存储介质,如果随意接入内网计算机,极易带入木马等而已代码;载有涉密信息的移动存储介质,如未实施有效加密处理,丢失后直接导致泄密。删除存储介质中的文件,删掉的仅仅是文件名,原文还原封不动地保存在存储介质中,一旦被利用,就会造成泄密。
2.4工作人员违规操作泄密
一是计算机操作人员无意识行为泄密,二是规章制度不健全或者违反规章制度泄密,三是利用职务之便有意泄密。
3.信息泄密的主体分析
信息泄密的途径很多,层层设堵并不容易,而且随着时间推移,新技术发展,泄密方式层出不穷。要有效防范计算机信息泄密,不能一味地防外,更要防内。从泄密主体进行分析,对泄密主体进行管理和控制。从信息泄密的主体看,信息泄密分外部入侵和内部泄密两种。
3.1外部入侵泄密
外部入侵又分外部网络入侵和外部实体入侵。外部网络入侵是指对方利用系统漏洞或安全防护薄弱环节,通过一定的计算机技术手段进入内部网络,拦截网络传输信息、攻击计算机或窃取计算机上存储的机密信息。外部网络入侵窃密途径有病毒感染、黑客入侵、木马窃密、传输拦截等;外部实体入侵是指外部人员通过各种方式接近或进入信息安全防护实体,直接对保护实体进行盗窃,非法获取载有涉密信息的计算机、光盘、硬盘、U盘、移动硬盘、纸质文件等,或者使用移动存储介质进行非法拷贝,对加密文件进行解密破解、利用存储介质剩磁进行数据还原等。
3.2内部人员泄密
内部信息泄密是指单位内部的工作人员,在工作过程中无意识地泄露单位机密,或者利用职务之便有意地窃取单位机密。内部信息泄密分有意泄密和无意泄密,无意泄密如存储介质遗失或失窃,在上网、拷贝、存储、共享、刻录、打印等活动中因缺乏保护意识在无意中泄密;有意泄密如非法外联、非法内联、非法拷贝、非法共享、非法打印、上网外发、邮件外发、聊天外发等诸多方面。
4.如何防范来自外部入侵的信息泄密?
对于外部入侵的防范,关键在管理和控制好外部网络入口,使入侵者不得口而入。
外部入侵包括外部网络入侵和外部实体入侵。对于来自外部的安全防范,一直受到普遍重视和关注,技术比较成熟,产品比较丰富,并且大多具备技术规范和标准。
4.1外部实体入侵的防范
依据保密法规定,涉密计算机要进行网络隔离,不允许上外网,以此杜绝外部网络入侵的各种通道。为了获取机密信息,窃密者不得不使用各种手段,想法设法接近和接触信息安全保护实体,伺机盗取载有涉密信息的计算机、光盘、硬盘、U盘、移动硬盘、纸质文件等,或者安装无线拦截转发器。为防范实体入侵窃密,需要采取如下措施:
4.1.1建立健全严格的保密规章制度,对载有涉密信息的计算机、光盘、硬盘、U盘、移动硬盘、纸质文件等的使用和保管按保密法要求进行管理和控制;
4.1.2对内外网进行物理隔离,切断与外网的物理连接,彻底杜绝通过外网入侵的途径;因为涉密计算机一旦连接到外网,便存在严重的安全隐患,其安全性很难有保证。
4.1.3对信息安全保护实体采取防盗措施,使窃密者不能轻易接近和接触被保护实体,不能轻易得到机密信息;
4.1.4对计算机设备采取防电磁辐射信息保护,安装电磁辐射干扰器;在电磁辐射的有效范围内,清查电磁辐射秘密接收器;
4.1.5使用电子文件粉碎机对电脑中待删除文件进行粉碎,使用纸质文件粉碎机、存储介质粉碎机销毁涉密载体,做到“坚壁清野、无密可窃”;
4.1.6采取文件加密、密码机、传输加密处理,即使窃取了机密载体也无法得到机密信息。
4.2外部网络入侵的防范
计算机一旦联网,信息泄密的风险和防范难度大大增加。外部网络入侵可以像幽灵一样游走在网络中,随心所欲地非法访问任意一台电脑,而不为人察觉。与外部实体入侵相比,外部网络入侵的方法更为隐蔽,手段更为多样,攻击范围更大。
针对外部网络入侵的特点,不仅需要建立健全安全保密制度,对网络入口进行严格管理和控制,还需要采取各种技术手段,及时发现网络入侵活动,杜绝网络入侵行为。目前外部网络入侵的产品有杀毒软件和防火墙产品、数字证书和身份认证产品、漏洞扫描和入侵监测产品等,以及文件加密、密码机、传输加密、外部访问控制等产品。
外部网络入侵的主要方式有:
4.2.1木马攻击:通过植入木马程序,对计算机内信息进行分析,对鼠标和键盘操作进行监控,收集并向外发送机密信息;
4.2.2远程控制:通过渗透,植入僵尸、木马等恶意代码,控制服务器或终端,收集和发送机密信息,或者利用远程维护连接实施入侵攻击;
4.2.3嗅探攻击:通过端口扫描监听、抓包甚至冒充合法用户等手段收集、分析和发送机密信息;
4.2.4网络钓鱼:通过间谍软件、DNS欺诈、跨站脚本、钓鱼网站等设置陷阱诱骗,截取机密信息;
4.2.5后门程序:利用网络或计算机系统中留有的后门程序,实施远程控制,分析和收集机密信息;
4.2.6无线泄密:计算机无线入网、卫星、微波通信,以及蓝牙设备、红外线设备等无线通讯信息被截获、破译;
4.2.7传输泄密:拦截网络传输的数据包,对数据包进行分析,收集和发送机密信息;
4.2.8共享泄密:扫描网络内共享文件资源,对文件内容进行分析,直接窃取机密文件,并向外发送;
5.如何防范来自内部人员的信息泄密?
对于来自内部人员信息泄密的防范,关键在管理和控制好内部网络出口和本机出口,使机密信息不得口而出。
针对外部黑客攻击的防范措施、解决方案、技术和产品较多较成熟,而针对内部员工的失泄密行为,目前还没有成熟的、全面的解决方案。对于来自内部信息泄密的安全问题,一直是整个信息安全保障体系的难点和弱点所在。对于无意识行为泄密和规章制度不健全泄密的情况,可以通过健全规章制度、教育和行政管理手段来加强防范;而对于故意泄密的情况,防范难度较大,即所谓“家贼难防”,需要行政手段和技术手段双管齐下。
5.1计算机操作人员无意识行为泄密
由于不知道木马等而已代码的危害,在工作用机、甚至涉密用机与互联网用机之间交叉使用移动存储介质,或在工作用机、涉密用机上插入不明来源的U盘、移动硬盘、MP3、相机、手机存储卡等移动存储介质,带入木马而导致泄密。
5.2规章制度不健全或者违反规章制度泄密
内部联网计算机违规接入互联网;不按保密制度使用移动存储介质,特别是载有涉密信息的介质插入互联网;载有涉密信息的笔记本电脑接入互联网,或者上过互联网的笔记本电脑接入内网;机房管理不严格,无关人员随意进出机房;外来技术支持人员管理不严,造成秘密数据被窃取;涉密信息与非涉密信息不加区分地存储在、使用,甚至将所有文件都存储在一个公共目录里,也没有进行加密处理,使涉密信息处于无密保的状态。
5.3内部工作人员故意泄密
内部人员可以轻松地从自己使用的计算机中复制机密信息,或者先从内部文件服务器下载机密信息,然后通过移动存储设备或者网络发送到组织外部,却可以不留下任何痕迹。内部人员可以在一个没有内网安全产品支撑的网络中,轻松地对服务器进行攻击,而不留下任何痕迹。或者与外部人员勾结,故意泄露口令或密钥等。机密文件、敏感信息、重要数据、设计图纸、配方、软件源代码等通过不同的途径、方法和手段流失到竞争对手和无关人员手中。
6.防范内部泄密的技术手段
目前对于内部人员信息泄密的防范,主要通过制定规章制度和行政管理手段来进行,依靠职业道德、个人行为自律,出现问题很难取证,往往无法追究,泄密风险很低。因此,采用技术手段进行防范是必要的。
6.1“木桶理论”
防内部信息泄密应遵循全方位防泄漏的“木桶理论”,基于“事前主动防御、事中灵活控制、事后全维追踪”设计思想,做到事前防范、事中巡查和事后审计,综合采用一系列先进的计算机技术如设备驱动技术、文件驱动技术、防火墙技术、密码学技术、身份识别技术、访问控制技术、网络通讯技术等,从操作系统内核入手,全方位层层堵住每一个可能泄漏的通道。犹如一个“装满水的木桶”,哪块木板短了,哪里有裂缝了,都使其安全性能就大幅度降低或者几乎为零。
6.2现状概述
由于每个单位的涉密等级不同,以及单位领导对信息泄密安全意识的认识程度不同,所采取的技术手段差别很大。有的单位只要求控制USB拷贝,或者上网控制,或者邮件控制,或者打印控制、或者QQ聊天控制等一个或几个要求,有的单位要求全面控制,完全杜绝信息泄密。
对于单一功能的软件,可以从网上搜索到比较多的产品;对于功能全面的软件,成熟产品尚不多见,使用效果不尽人意。究其原因,主要因素有:技术难度大,软件稳定性、可靠性、成熟度不足,降低了系统性能并影响正常工作效率。
6.3功能要求
对于一个具备完备功能的防内网泄密软件,应该具备如下功能:文件保险柜、内部短消息、防非法拷贝、防文件外发、上网控制、日志黑匣子、报警监控、移动存储控制、U盘特许控制、打印控制、硬件控制、文件共享控制、系统安全控制、QQ/TM聊天控制、程序黑名单、网站黑名单、网站白名单、邮箱白名单、端口白名单、协议白名单、USB拷贝自动备份、报警事件查询、操作日志查询、文件拷贝查询、上网记录查询、违规事件报警、无痕抓取证据、远程资源审计、远程屏幕监视、远程桌面控制、远程文件传输、端点准入控制、防非法接入内网。
6.4技术难度
由于计算机系统和网络系统天然的开放性,使得管理和控制好信息出口并非一件易事;更由于广泛涉及到Windows操作系统底层,而Windows核心技术是不公开的。
6.4.1难度之一首先在于信息出口太多
根据防信息泄漏的“木桶理论”,只要存在任何一个泄密口子,或者存在安全漏洞,那么就无安全性可言。因此这种“堵漏”并不容易。常见信息出口包括:上网外发、邮件外发、FTP外发、聊天工具外发、移动存储拷贝、文件共享拷贝、文件打印、光盘刻录、传输拦截、蓝牙和红外线连接、挂接硬盘等;
6.4.2难度之二在于事前控制而不是事后追查
事后追查是指发生泄密事件后通过日志系统进行追查。首先是记录操作日志,通过网络发送到日志服务器,以备日后查询。比较尴尬的是:一是窃密者实施窃密前,往往事先断开网络,逃避日志记录和发送;二是窃密事件很难及时发现;三是即使发生泄密事件,也只能是事后追查。因此,“事前控制”杜绝发生泄密事件,才是防内部泄密的关键所在。然后这种事前控制的技术实现是有一定难度的。
6.4.3难度之三是涉及的技术领域广
要实现上述功能需求并非易事,需要综合运用数十种不同的计算机技术,并且广泛涉及操作系统核心技术,而Windows操作系统的核心技术是不公开的,需要克服重重困难,深入研究,长期摸索。
6.5关键性技术指标
作为产品应用基础、决定产品可用性的关键性技术指标包括:自身保护强度、系统资源占用率、技术可靠性稳定性和成熟度。关键性技术指标不过关,产品就失去了应用价值。对于防内部泄密产品的技术指标不能只看软件实现的功能是否强大,更应关注其关键性技术指标是否过硬, 好能事先测试。
尽管有不少产品声称具备上述所有功能要求,但稳定性、可靠性、成熟度不足,常常使系统响应变慢影响工作,或者在某些条件下功能失效,或者与某些软件发生冲突,或者被防火墙拦截阻止,或者被杀毒软件或木马扫描工具识别为有害程序,或者轻易被终止、卸载或破坏而失去作用。
6.6致命缺陷
由于安全保护的功能需求决定了必须要安装客户端监控软件,那么随之而来的难题是如何防非法卸载、终止、破坏。从理论上讲,凡是能够安装就能够被卸载。非正常的卸载的方法有很多,比如杀进程、暂停进程、进程挂起、文件删除、文件改名、文件破坏、注册表信息破坏使其无法开机自启动等。这也是此类产品的致命弱点。
一般此类软件都做了某种程度的自我保护措施,并声称一旦安装便无法卸载。笔者从网上下载了数十种此类软件试用,没有一个软件是不能被破坏的。如果在任务管理器里杀不死的进程,可以借用第三方杀进程工具如procexp.exe;文件不能正常删除的,也有第三方删文件工具如IceSword.exe;还有一个简单但很有效的方法是利用第三方工具监视安装目录和安装时释放的文件,然后开机从光驱动启动或者U盘启动,进入DOS删除相关程序文件。总之,有很多方法使客户端监控软件失效成为“皇帝新装”。
7.结束语
防信息泄密是一个有机的整体,是一个环环相扣的链条,缺少其中任何一个环节,其安全性能就大幅度降低或者几乎为零。因此信息安全需要采取综合性技术手段,既要防外又要防内,其重点和难点在于防内部信息泄密。
尽管有不少此类产品,然而却难以寻觅一款真正可用、好用的产品。安腾软件(www.iten.com.cn)致力于为客户提供高端信息计算机反泄密解决方案,研发出高稳定高安全性的文档加密软件和图纸加密软件等计算机反泄密产品,欲了解更多资讯,请登录www.iten.com.cn或者致电400-000-3720咨询。
通过上述有关企业信息安全和数据安全等加密相同资讯的介绍,大家对于这此有一定的了解和认识,安腾加密软件希望您在日后的工作中,如有文件加密软件、文档加密软件、图纸加密软件、文件加密、数据加密、文档安全分发、数据安全、文件防泄密、信息反泄密、数据安全等需求,欢迎随时访问安腾加密软件的官网:http://www.iten.com.cn 或拨打热线:400-000-3720 联系我们。