行業(yè)現(xiàn)狀
隨著電子政務(wù)的普遍應(yīng)用,政府黨政機(jī)關(guān)內(nèi)部網(wǎng)絡(luò)的建設(shè)發(fā)展并進(jìn)入實(shí)質(zhì)性的運(yùn)用,,在安全措施上也采取了一些措施進(jìn)行保護(hù),如:防火墻、入侵檢測(cè)系統(tǒng)、防病毒系統(tǒng)、安全網(wǎng)關(guān)等等。從不同的層面,維護(hù)著用戶(hù)的網(wǎng)絡(luò)系統(tǒng)及數(shù)據(jù)安全。盡管如此,但是依然不能有效解決內(nèi)部網(wǎng)絡(luò)安全和泄密的問(wèn)題。大家發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)的安全問(wèn)題日益突出,如網(wǎng)絡(luò)資源被濫用造成的網(wǎng)絡(luò)阻塞,重要信息的非法拷貝和傳播等,機(jī)密泄露、數(shù)據(jù)丟失、身份冒認(rèn)、非法入侵層出不窮,給政府黨政機(jī)關(guān)造成了重大的損失。
面臨問(wèn)題
1、非授權(quán)的網(wǎng)絡(luò)接入。非授權(quán)人員可以隨意接入內(nèi)網(wǎng);且政府單位網(wǎng)絡(luò)環(huán)境復(fù)雜,辦公網(wǎng)、涉密網(wǎng)和外網(wǎng)等多個(gè)網(wǎng)絡(luò)并存,經(jīng)常在不同網(wǎng)絡(luò)間交換數(shù)據(jù)時(shí)出現(xiàn)有意或無(wú)意的接入,造成數(shù)據(jù)泄密情況。
2、移動(dòng)存儲(chǔ)介質(zhì)難管理。缺乏有效的技術(shù)手段對(duì)移動(dòng)存貯介質(zhì)使用進(jìn)行管控,部分用戶(hù)U盤(pán)內(nèi)、外網(wǎng)混用,將外網(wǎng)病毒、木馬等帶入內(nèi)網(wǎng),并容易成為信息擺渡工具。
3、業(yè)務(wù)系統(tǒng)敏感信息難以分類(lèi)分級(jí)保護(hù),政務(wù)網(wǎng)內(nèi)的計(jì)算機(jī)硬盤(pán)上分散存放著大量的涉密信息,不清楚這些敏感數(shù)據(jù)存放在哪里? 敏感數(shù)據(jù)是如何使用?是否經(jīng)過(guò)授權(quán)使用?是否進(jìn)行了安全傳輸以及存儲(chǔ)?是否能夠追蹤敏感數(shù)據(jù)的流轉(zhuǎn)流程?
4、部分終端系統(tǒng)存在安全漏洞。由于用戶(hù)計(jì)算機(jī)水平不一,各單位的技術(shù)力量也有差異,部分終端維護(hù)不夠及時(shí),系統(tǒng)存在漏洞,比如,沒(méi)有安裝并及時(shí)更新防病毒軟件,沒(méi)有及時(shí)進(jìn)行系統(tǒng)補(bǔ)丁更新,存在弱口令,共享可寫(xiě)目錄等,由于缺乏統(tǒng)一檢測(cè)與批量修復(fù)的手段,管理、維護(hù)工作量大,容易帶來(lái)安全隱患。
5、用戶(hù)行為缺乏審計(jì),發(fā)生信息外泄事件時(shí)難以追蹤。雖然有部分單位對(duì)某些重要信息系統(tǒng)部署了審計(jì)系統(tǒng),對(duì)用戶(hù)訪(fǎng)問(wèn)服務(wù)器行為進(jìn)行記錄。但是部署、監(jiān)控范圍小。另外,象U盤(pán)直接拷貝、郵件發(fā)送、網(wǎng)絡(luò)文件共享、光驅(qū)刻錄、打印等,這些信息外泄手段大多發(fā)生在終端或終端之間,只在服務(wù)器端進(jìn)行審計(jì),不能對(duì)用戶(hù)的行為全程進(jìn)行記錄,發(fā)生問(wèn)題時(shí)很難進(jìn)行有效追蹤和定位。
6、違規(guī)外連行為的屢次發(fā)生;雖然明確規(guī)定內(nèi)網(wǎng)電腦禁止連接互聯(lián)網(wǎng),但由于部分用戶(hù)安全意識(shí)薄弱,存在一機(jī)兩用的情況,即一臺(tái)機(jī)器既在內(nèi)網(wǎng)使用也在外網(wǎng)使用,甚至將內(nèi)、外網(wǎng)聯(lián)通。一方面可能將互聯(lián)網(wǎng)上的病毒、木馬等帶入內(nèi)網(wǎng),影響網(wǎng)絡(luò)安全,另一方面終端可能會(huì)成為信息擺渡工具,將內(nèi)網(wǎng)政務(wù)敏感信息發(fā)散到外網(wǎng)。內(nèi)部人員的過(guò)失行為造成的信息泄密極易造成重大負(fù)面影響,甚至危及國(guó)家安全和社會(huì)穩(wěn)定。而每年的保密檢查主要針對(duì)一些重要黨政部門(mén),檢查范圍不能覆蓋所有的用戶(hù),難以及時(shí)、全面地發(fā)現(xiàn)違規(guī)外聯(lián)的情況。
解決方案
準(zhǔn)入控制系統(tǒng)
邊界完整性檢查:禁止非法內(nèi)連/非法外連行為,有效阻止非法終端惡意接入敏感數(shù)據(jù)區(qū),敏感數(shù)據(jù)區(qū)惡意外接其他網(wǎng)絡(luò)。
身份鑒別:提供基于USBkey硬件身份識(shí)別及Windows用戶(hù)綁定,對(duì)系統(tǒng)登錄身份進(jìn)行唯一識(shí)別。
結(jié)構(gòu)安全:通過(guò)準(zhǔn)入控制的動(dòng)態(tài)授權(quán)訪(fǎng)問(wèn),將內(nèi)網(wǎng)系統(tǒng)劃分多個(gè)安全域,安全域之間實(shí)現(xiàn)不同的安全策略訪(fǎng)問(wèn)。
桌面安全管理系統(tǒng)
桌面安全管理:進(jìn)行統(tǒng)一終端安全漏洞檢查、安全加固,安全隔離體系;
訪(fǎng)問(wèn)控制:實(shí)現(xiàn)主體對(duì)客體的訪(fǎng)問(wèn)控制,依據(jù)安全策略的控制,對(duì)設(shè)置敏感標(biāo)記的重要信息文件賦予相應(yīng)的讀、寫(xiě)、另存權(quán)限,且對(duì)系統(tǒng)默認(rèn)共享權(quán)限進(jìn)行控制。
數(shù)據(jù)安全管理:實(shí)現(xiàn)對(duì)數(shù)據(jù)泄密途徑的嚴(yán)防管控,主要針對(duì)存儲(chǔ)數(shù)據(jù)外發(fā)行為(移動(dòng)存儲(chǔ)介質(zhì)拷貝、打印、違規(guī)外連、光驅(qū)刻錄行為、3G網(wǎng)卡撥號(hào)、隨身wifi熱點(diǎn)等行為)、網(wǎng)絡(luò)外發(fā)行為(http網(wǎng)絡(luò)外發(fā)、郵件外發(fā)、即時(shí)通訊工具外發(fā)等行為)進(jìn)行管控;
安全審計(jì):基于自建用戶(hù),對(duì)操作系統(tǒng)上的所有文件操作記錄都可審計(jì),包括重要敏感信息。象U盤(pán)直接拷貝、郵件發(fā)送、網(wǎng)絡(luò)文件共享、光驅(qū)刻錄、打印、網(wǎng)絡(luò)外發(fā)等用戶(hù)行為進(jìn)行審計(jì)。
合規(guī)進(jìn)入:網(wǎng)絡(luò)層合規(guī)進(jìn)入控制與應(yīng)用層合規(guī)進(jìn)入控制,只有內(nèi)部合法的設(shè)備、合法的用戶(hù)、合法的程序才能訪(fǎng)問(wèn)業(yè)務(wù)系統(tǒng);
發(fā)現(xiàn)管理,敏感數(shù)據(jù)雜而亂,模式匹配來(lái)顯示;
自動(dòng)發(fā)現(xiàn)終端設(shè)備的敏感數(shù)據(jù),并統(tǒng)一遷移到授權(quán)磁盤(pán);
分類(lèi)分級(jí):根據(jù)業(yè)務(wù)敏感數(shù)據(jù)的特征,自動(dòng)對(duì)敏感數(shù)據(jù)分類(lèi)、分級(jí);
輸出管控:對(duì)業(yè)務(wù)敏感數(shù)據(jù)的輸出管道進(jìn)行管控,未經(jīng)授權(quán)禁輸出;
授權(quán)使用:防止業(yè)務(wù)負(fù)責(zé)人賬號(hào)被濫用、冒用;基于賬號(hào)權(quán)限進(jìn)行字段級(jí)高敏感信息屏蔽;
加密傳輸:對(duì)業(yè)務(wù)敏感數(shù)據(jù)文件內(nèi)部流轉(zhuǎn)全程采用加密傳輸;
安全存儲(chǔ):對(duì)業(yè)務(wù)敏感數(shù)據(jù)進(jìn)行安全存儲(chǔ),自動(dòng)遷移至虛擬安全磁盤(pán)進(jìn)行保護(hù);
審核輸出 :所有文件輸出可以審核;所有數(shù)據(jù)輸出都有控制手段;
記錄流程: 所有輸入輸出操作都有記錄、文件泄露可以快速定位泄露源頭。
數(shù)據(jù)交換系統(tǒng)
可以實(shí)現(xiàn)在多個(gè)網(wǎng)絡(luò)間進(jìn)行數(shù)據(jù)文件交換,避免了一機(jī)兩用的情況發(fā)生,確保了網(wǎng)絡(luò)安全,且可以對(duì)交換的文件進(jìn)行審查和審計(jì)。 內(nèi)置防病毒軟件,可以進(jìn)行安全檢查,防止病毒、木馬侵害內(nèi)網(wǎng)。