引言
计算机网络技术和信息技术的快速发展,推动了整个社会的进程,无论是政府、还是个人,越来越依赖于对电子设备的、处理和传输信息的能力。企业重要的数据资料信息,都以文件的形式存储在电子设备上,如计算机、移动存储设备、等。由于目前上存在大量的、以及伴随着黑客的攻击,都对企业重要信息带来巨大的外泄、破坏等威胁。因此,企业通过实施内网与外网的物理隔离,并且结合在内网部署及检测、防御设备的方式,以达到内网主机中存储的重要数据不会被病毒、木马等黑客程序的窃取及破坏。但是,企业重要数据在内网环境下传递的过程中,依然有可能造成数据的丢失和损坏,具体原因可包括企业内部工作人员有意或无意地通过移动存储设备、外围设备等将重要信息泄露或损坏。同时,外来办公人员也会造成企业内部重要数据外泄及恶意破坏企业数据的事故发生。
因此,对于如何实现企业内网终端数据的安全,应该首先对于企业内网终端数据所处的实际环境,进行细致地安全风险分析,通过风险分析确定相关的安全需求分析,并根据安全需求制定相应的安全策略,由制定的策略达到对于内网终端数据的保护,并对于终端数据有可能面临的风险做出检测,通过对风险保证内网终端数据的安全性。
1 内网终端数据风险分析
内网终端数据风险是由一个或多个潜在的威胁源,通过一种或多种方式或途径,对信息资产造成的不良影响。而内网的威胁通常来自于信息系统本身的脆弱性及存在的漏洞,从而导致了信息系统对安全威胁的防御能力很弱。内网非授权用户可利用系统脆弱性和漏洞进行攻击,导致系统信息内容可能会被篡改、伪造、窃取、删除及破坏。如图1所示,处在内网各个终端的计算机,都有可能连接外围设备,而因此容易造成数据的内容通过打印、复印、扫描等方式,造成信息外泄事故的发生。另外,移动存储设备、外来接入内网的计算机,都有可能造成数据及其内容的泄露或者破坏,威胁到企业内部重要数据的安全。
图1内网结构图
企业内部存在的威胁表现如下:
(1)企业内部人员
许多安全事故都是由企业内部人员因素引起的,包括内部人员的思想素质、职业道德和业务水平等因素。特别是长期出差外地的专业工作人员,由于思想素质和职业道德原因,有意识或无意识地将企业的重要数据外泄。而对于计算机管理人员,也会因为业务水平的问题造成数据的损坏或者遗失的事故,甚至影响更大的系统长时间停止运行的事故。企业离职人员,特别是重要岗位的技术、管理人员的离职,也会对企业的重要数据造成外泄。
(2)移动存储设备
移动存储设备是造成信息外泄最为方便的工具,非法用户可以通过移动存储设备如U盘、等将重要数据外带。对于普通合法用户也会因为移动存储设备的丢失导致重要数据的遗失以及外泄。
(3)外围设备
移动存储设备外,企业内重要数据可以通过打印机等外设,以纸质的形式外带,对于重要的纸质文件也会因为、扫描仪等外设,造成信息外泄的事故发生。蓝牙等的数据传输也会造成数据的丢失。
(4)移动计算机
移动计算机用作企业内网终端,主要针对的是外来工作人员,因为工作需求允许这些外来工作人员携带的移动PC接入企业的内部网络,但是如果没有相应的限制,放任外来人员可以任意使用企业内网的资源,对方可以连接到核心的应用系统,获取企业重要的业务数据,势必会给企业带来巨大的经济损失。
2 内网终端数据防护策略
基于数据保护的信息安全,可分为数据安全和数据内容的安全。数据安全除了包括数据本身的安全外,还应该包括数据载体(纸、、移动存储设备等)的安全。而数据内容的安全主要是指数据所表示的信息的安全保障,即信息的安全性。在一定的条件下,企业可以通过信息安全保障技术,实现对企业内重要数据的保护,避免重要的数据遗失。然而,由于企业内网资源整合、开放及共享的特点,结合对内网众多终端计算机管控不强的实际情况,使得数据内容的安全不能得到一定的保障。
因此,首先要对数据的安全进行分类,对数据的信息安全CIA属性(机密性、完整性和可用性)进行识别,并定义数据的安全等级。其次,需要通过对信息系统的风险分析,制定并执行相应的信息安全策略,保证信息系统数据的安全,从而降低数据风险的可接受程度,达到保障组织机构业务系统数据本身及内容安全的目的。
(1)数据保密性:通过采用加密、访问控制等技术确保数据本身及数据内容没有被非授权地泄露给未授权用户、实体或者进程的特性。
(2)数据完整性:是指数据未经授权不能被偶然或者蓄意地篡改、删除、伪造、重放等破坏和丢失的特性,确保数据接收端收到的信息与发送端发出的信息一致。可通过摘要算法(数字签名)来实现对数据完整性的检验,保证数据内容的真实性。
(3)数据可用性:是指数据可被授权用户、实体、程序等访问并能按需使用的特性。数据是需要按照一定的标准的情况下进行访问的,而一旦授权者对数据的访问超过合理的标准,就可能对源数据造成一定的破坏,导致可用性攻击的发生,如拒绝服务攻击。
为了提高企业内网终端数据的安全性,可以通过在企业内网采用动态安全模型,如P2DR模型在整体安全策略的控制和指导下,采用适当的安全防护及检测工具了解和评估内网终端数据的安全状态,通过安全的反应措施将数据的安全风险的状态。P2DR模型体系是以安全策略作为总体指导,由防护、检测、响应组成一个完整的、动态循环的安全模型(图2),达到保证内网终端数据安全的目标。
图2 P2DR模型
2.1策略(Policy)
根据基于数据加密和访问控制技术的安全策略,在公司企业内网环境下,综合应用防护工具对内网终端数据进行监控管理,严防非授权用户对内网终端重要数据进行非法操作,同时防止授权用户造成的重要数据的泄露和破坏。
2.1.1加密技术
利用一定的密码技术,把内网终端重要信息变为加密(乱码)数据传送,当数据到达目的地后,通过相应的解密手段对数据进行还原。一种方式是通过对源文件直接进行加密,无论是采用对称加密还是非对称加密的方式,加密的源文件都是需要与之相对应的解密密钥来进行解密,授权用户才可以对于源文件进行读写操作,防止非授权用户对源文件的获取、篡改及破坏。另外一种方式为对存储源文件的本地磁盘进行加密,从磁盘内非授权获取的数据,均为加密或者乱码状态,可降低磁盘丢失后造成的重要数据外泄的可能性。通过加密技术的使用,可以限制企业内网重要数据,通过网络及移动存储设备传输造成的数据外泄事件的发生。
2. 1. 2访问控制技术
目前,对于实施了内外网物理隔离的企业,其信息安全的最大威胁主要来源于内部人员的有意或者无意的操作。因此,访问控制技术的采用,是在为用户提供最大限度的系统资源共享的基础上,为用户对数据的访问权和使用权进行管理。通过采用多种安全模型相结合的方式,实现对数据访问的安全控制。常见模型如下:
(1)BLP模型
通过利用信息敏感度来划分信息资源的安全级别,并按照安全级别采取相应的强制访问控制措施,通常将信息的敏感等级划分为公开、敏感、秘密、机密和绝密。同时,B LP模型基于“不上读”、“不下写”的原则,对于访问数据的主体没有权限访问更高安全级别的数据,不能对低安全级别的数据进行修改。但是BLP模型没有提出对于被访问数据完整性的保护,主体访问的数据可以被越权篡改。因此可以采用另外一种安全模型:
(2)BIBA模型
BIBA模型通过对授权用户和提供用户类型级别的划分,实现对信息完整性的访问控制,防止非授权用户对数据的修改。BIBA模型通过对信息访问主体及客体划分完整性级别,只有在被访问的客体的完整性级别高于访问主体的完整性级别时,主体才可以对客体进行“读”,操作即为“不下读”;并且仅当主体的完整性级别高于客体的完整性级别时,主体才可对客体进行“写”操作,即为“不上写”。
2. 2防护(Protection)
根据企业内部网络结构特点,在企业内部的应用系统间构建多级防护体系,包括人机交互、内网安全模块以及边界模块。
2. 2. 1人机数据交互模块
通过采用身份认证和访问控制技术,能够实现在计算机网络中确认系统访问者身份的合法性,以便于系统分配相应的访问权限给访问者,当系统识别为非法用户时,则禁止用户访问系统一切资源。对于存储在内网主机中的数据,实时都会与内网中的合法授权用户进行交互,在交互过程对数据的保护是至关重要的,需要保证数据不被外泄、破坏及篡改。
2.2.2内网数据安全模块
加密技术和访问控制技术相结合,按照数据敏感等级划分不同的磁盘空间来存储这些数据,而对每块独立存储数据的磁盘空间进行加密,从磁盘中提取出来的数据都为加密文件。因而对于访问数据的主体只能读取其安全权限对应的数据,如果访问的数据客体安全级别高于访问主体权限,访问主体不可以获得数据或者获得的数据为密文。按照访问主体的权限、企业内网网络结构以及企业的组织机构,将不同访问权限的主体划分到不同的虚拟安全域(virtual security domain)中。虚拟安全域是根据访问数据权限的等级,在企业内网网络结构的基础上,由系统管理员设定的一组计算机(访问主体)的集合。在同一域中的访问主体具有相同的访问权限,且可以通过网络或者移动存储设备进行域内的信息传递,但不可将域内数据通过移动存储设备直接传递到域外。不同域之间的,存在信任与非信仟两种关系,对于实际工作中确实存在的不同域之间计算机通讯(如邮件、即时通讯等)时,可以通过设置信任关系来实现。而非信任关系则保障重要信息无法从高访问权限的域流失到低访问权限的域中。
根据信息敏感等级的划分,与之相对应将虚拟安全域的划分可分为五级,由低到高对应公开信息的访问、敏感信息的访问、秘密信息的访问、机密信息的访问以及绝密信息的访问。但是为保证信息的保密性,对于高访问权限域内的主体,不可以访问更高权限的信息客体及不可修改低级别的客体。如表1中域4不可以访问绝密级的信息,且可以访问和修改机密级数据,但是可以访问但不能修改秘密及以下的信息。
表1 域主体访问数据的保密性
企业的系统管理者都应对所有的访问主体划分角色,而每一角色访问权限都应与敏感信息的等级对应,明确各个角色所拥有访问数据等级的权限。通过对域内主体的身份进行判别认证后,确定访问主体是否可以对客体进行读取或者修改操作。另外说明的是,域所拥有的访问权限域内访问主体的权限相比,以域的访问权限优先,如域3内的某主体的访问权限被设为机密级,那么该主体在域3的情况下,只能访问到秘密级的数据,这样可以防止用户非法获得高访问权后对数据保密性和完整性的破坏。
2. 2. 3边界数据安全模块
所谓边界是指内网终端(服务器、客户端计算机)与移动存储设备、外围设备(打印机、复印机、扫描仪等)连接所形成的边界。处在边界区域的数据,由于企业工作人员(包括企业内部员工、外来人员)的有意或无意,造成企业重要数据通过移动存储设备、外围设备和移动PC造成信息外泄事故的发生。因此,需要通过相应的安全策略和防护系统,对处在内网的各个终端移动存储设备、外围设备进行全面而有效的监测和管理控制。对于作为内网终端的移动PC,可使其在安装安全防护系统后无法在外网正常使用,并定期对本地磁盘进行敏感信息扫描,扫描结果上报到服务管理端,对于企业外来办公人员的移动PC,可通过防护工具对其访问的内网区域进行限制。在企业内网部署终端防护系统,可对边界设备进行如下管理如表2。
表2 边界设备管理
通过在内网部署的防护系统,对内网重要数据存储的磁盘空间加密,终端用户无论是通过移动存储设备还是移动PC外带文件时,均需要进过流程化的申请一审批程序。
2. 3检测(Detection )
根据内网终端数据的风险评估,针对终端数据所面临的威胁,应用相应的防护系统对内网终端进行检测。通过在内网部署服务器并在终端计算机安装客户端程序,通过服务器与终端客户端程序间的相互通讯,控制台端的系统管理员可以检测到终端计算机的信息、网络状态、访问的文件及文件外带审批流程等。
2. 4响应(Response)
响应往往是与检测相对应的流程,当检测到内网终端的数据受到威胁时,已制定好的响应系统就开始工作,对发生的事件进行处理。对于遇到的重大事故或灾难事件所导致的数据损失,响应机制应该在第一时间内做出有计划的应急响应及恢复处理。
图3 系统结构
图4 外带文件的管理
3 安全防护策略的实现
通过加密技术和访问控制技术相结合,以C/S架构为基础,在内网搭建数据器,并在终端计算机安装安全客户端程序,通过服务器端的控制台程序向各个客户端计算机下发相应的安全策略,形成安全的环境加密区域。在加密的区域内,客户端计算机所连接的外围设备、本地磁盘、移动存储设备以及数据网络传输都进行了相应的加密管理控制,并对外来接人公司内网的计算机设定管理工作模式,限制该计算机对内网服务器的访问及重要数据的使用。通过在系统中注册合法用户,服务器程序会根据客户端计算机使用者的身份,相应地分配数据访问权限,如果使用者是非系统注册用户,则服务器默认该用户为非法用户,该用户无法访问、外带相关的数据。
对于系统注册用户数据的外带,可通过上级管理者的审批授权许可,方可对内网的重要数据外带。而外带的文件也可以明文或者密文的方式携带,并通过外带文件的使用期限、外带计算机的控制等方式,来保证外带文件的安全性。
4 总结
由于内网终端计算机的分散特性,不利于统一管理,而且与内网终端设备紧密相关的工作人员、移动存储设备、外围设备等,都存在一定的信息外泄的风险;外来工作人员接人企业内网的移动PC,也是造成企业重要数据丢失的重要原因。通过对于内网终端的风险分析,根据P2DR动态安全模型,制定解决内网终端数据的安全风险需求策略,采用加密技术、访问控制技术及身份认证等技术,在企业内网综合部署数据安全防护系统,达到对企业内网终端数据保护的目标。