网络安全已经得到越来越多人的重视,很多企业都根据自身条件在网络中部署了防火墙,安装了杀病毒软件等等来防止外界威胁。然而,是否有了防火墙、安装了杀病毒软件,网络就安全了呢?大部分企业都很容易忽视内部安全威胁。伴随着移动存储设备、电子邮件等技术的发展,许多企业、设计院、学校、金融机构、高科技研究所等单位的重要资料很容易流失到网络外部。重要数据的泄露,给企业造成无法估计的损失。有数据显示,网络安全事件有70%以上是来自于内部。
因此,我们在考虑网络安全的时候,不仅仅要考虑外部网络安全,还要考虑内部网络安全。内外有机结合,才能更好的防患于未然。
理工先河的剑鱼网络安全监控审计系统,是一款内网安全管理工具。它可以对企业局域网络中的计算机用户的行为进行监控、审计,防止内部机密信息的泄露,并能帮助企业高层管理人员监督员工合理并高效的使用计算机。
1.用户情况
某企业为高科技研究机构,其科研从设计到生产都实现了计算机信息化管理,对信息安全的要求比较高。该单位本身已采取了一些安全措施,保障网络安全。在内外网已应用物理隔离,而且不同部门之间部署了防火墙,对重要服务器和重要网段也部署了入侵检测系统。然而却一直没有杜绝内部泄密的问题,曾发生过若干次内部泄密事件,为企业带来巨大的经济损失。为加强安全监控,防止机密信息泄露,提高安全等级,该单位决定对现有网络进行改造。
2.用户网络环境及需求
2.1用户网络情况
企业内已建有100/1000M光纤局域网,100M到桌面。网络采用2层结构,核心交换机为CISCO4506,接入交换机为CISCO2900系列。现有WEB服务器、数据库服务器、防病毒服务器共3台,连网单位近8家,提供信息点近200个。目前按单位划分3个VLAN网段。网络已部署安装网络杀毒软件、防火墙及入侵检测。
2.2功能需求
(1)主机监控功能要求
监控主机的操作,支持Windows98以上操作系统。
软件稳定可靠,中文界面,操作简便。
支持实时监视和记录局域网上计算机上的屏幕快照、归档保存,并能方便快速地调出和查阅所保存的历史记录。
能够对IP与MAC地址进行管理、控制。
监控非授权拨号上网,能禁止非法外联。
控制应用程序,可禁止指定程序运行
控制主机(含笔记本电脑)的非法接入等问题。
控制系统的各种输出设备:软驱、光驱、刻录机、串/并口、USB口、红外线端口、PCMCIA等,防止信息泄密。
支持报警、响应功能。能自动保存现场,并按给定规则自动响应处理,支持自定义报警方式和规则库。
(2)用户行为和主机信息审计
实现对文件(共享文件、本地文件)操作的安全审计。
支持IT资产的集中管理,如汇总、统计、查看所有计算机的软硬件配置信息,硬件设备更换的详细审计记录。
支持对系统管理员的行为的监督和审计
3解决方案
根据对用户需求的分析,我们认为将主机监控和安全审计统一起来,采用一种产品就能实现用户期望达到的效果。
针对用户环境多设备(200个点)、多网段(划分多个VLAN)、多操作系统(有Windows 98,Windows 2000,Windows XP,Windows 2003等多种操作系统)的特点,我们推荐使用剑鱼网络安全监控审计系统V2.0版。该产品不仅功能卓越,完全满足用户对安全监控与审计功能的需要,而且性能和稳定性在同类产品中也是出类拔萃。
我们建议在内网的所有计算机,包括服务器,都安装剑鱼网络安全监控审计系统的客户端,在防病毒服务器上安装了剑鱼服务器模块,在单位主要主管领导和计算机中心主任的机器上安装控制台,如下图。
[图1]剑鱼网络安全监控审计系统部署拓扑图
在安装完成后,采取如下措施:
对所有计算机,都禁止使用拨号进行非法外联,防止出现安全隐患;
对所有计算机,都禁止非法主机接入,保证整个网络都与外界严格隔离,又不影响正常使用;
对所有计算机,都禁止访问除内部网站外的其他网站;
对所有计算机,都禁止运行聊天和游戏软件;
对所有计算机,都禁止修改网络属性,包括IP地址等;
对所有计算机,都强制关闭了系统的默认共享,防止出现漏洞;
对大部分计算机都禁用了通讯设备、输出设备和外接存储设备,保证从这些计算机无法将网络中的数据复制或打印。
对试图违反以上安全策略的行为以及试图改变都进行报警和采取锁定计算机的响应策略;
由主管领导亲自掌握设置屏幕监视的权限,对指定的计算机进行屏幕监视;
定期汇总统计文件操作记录、应用程序记录、网站访问记录、硬件设备记录和报警记录,检查是否有违反安全策略的行为。
4实施效果
经过一段时间的使用,用户发现剑鱼网络安全监控审计系统不仅能完全满足监控和审计的要求,而且系统有很多功能和性能优势。
通过对员工电脑使用情况监视和控制,详细记录了文档的操作、打印以及相应的屏幕图像,有效地防止了内部文档被非法复制出去,控制了信息资料流向,及时发现可疑行为,将机密外泄的风险降到最低。
