违规外联事件解决办法

《违规外联事件解决办法》由会员分享，可在线阅读，更多相关《违规外联事件解决办法（9页珍藏版）》请在装配图网上搜索。

1、会议对今后试验所信息安全工作明确四项工作：一是继续严格执行试验所信息安全管理制度，特别是加大对电脑维修制度的监 督，禁止个人擅自联系维修人员进行电脑维修，一经发现将按照规定严肃处理；二是各班组长要对各班组网络信息安全进行全面 的梳理，对于发现的问题要积极妥善处理，确保我所信息安全工作不留死角；三是加大信息安全监管力度，定期对所内所有内外 网机进行桌面终端注册、 防病毒软件安装和弱口令密码修改、违规软件卸载执行情况进行认真检查； 四是继续加强人员的安全意 识教育，定期组织人员进行信息安全培训，提高人员信息安全工 作的主动性和自觉性。防止非法外联的解决方案需从多角度防护发布：田野2010年11月2

2、日10:50 来源：融信 我要评论（0）访问次数1362本文分数 1木马是当前用户信息化所面临的头号杀手，根据CNCER年度报道，木马引起的安全事件长期位居各类安全威胁之首，特别是一些安全性较高的内部网络（如政府部门、军事部门的网络），虽然采取物理隔离的措施来确保外部网络和内部网络之间不存在任何可能的物理 链路。但是，假如这样的网络中有某个主机通过拨号或其他形式私自接入外部网络，这种物理隔离就会被破坏。木马极可能通过该主机进入内部网络，进而通过嗅探、破解密码等方式对内部的关键信息或敏感数据进行收集，或以该主机为”跳板”对内部网络的其他主机进行攻击。本文从边界、主机、管理等几个层面，分别分析了针

3、对木马防护常见的安全问题，并提出了具体的解决方案。方案背景当前，一些具有较高安全性的内部网络 （如政府部门、军事部门的网络）常常采用和外部 网络（如In ternet） 实施物理隔离的方法来确保其网络的安全性。物理隔离确保了外部网络 和内部网络之间不存在任何可能的物理链路，切断了信息外泄的通道。 但事实恰恰相反，由于管理制度的不健全或缺乏有效的终端监控技术，内部网络中个别用户利用电话拨号、即插即用的互联网接入设备，外连互联网进行私人操作，物理隔离环境被破坏。另外，终端内外网混用情况较为普遍，导致内部网络出现隐蔽通道，被黑客或病毒利用后， 将导致泄密或影响信息系统性能。这些行为可定义为-非法外联

4、”。安全需求终端作为信息系统的基本组成部分，具备分布广，数量巨大等特性，信息系统设备中有85鳩上由其组成，由于终端操作的随意性，难以利用技术措施实行管控，终端安全保护能 力成为安全短板，因此终端成为恶意攻击的对象，病毒传播、信息失窃的源头之一。在内部网络（如政府部门、军事部门的网络 ），一旦物理隔离环境被打破，将导致安全事件的发生， 后果不堪设想。非法外联”使原本封闭系统环境与外部网络出现隐蔽通道，内部网络将面临病毒、木马、非授权访问、数据窃听、暴力破解等多种安全威胁，导致网络结构、服务器部署、安全防护 措施等信息被泄露，甚至进行跨安全域、跨网络破坏。综上所述，降低非法外联”风险需从多角度进行

5、防护， 形成层次化、有纵深的防御能力。 首先应确保终端系统配置安全性，对木马与病毒抵御能力，提高终端安全强度；其次采取实时监控、智能阻断或隔离等措施，消除 ”非法外联”途径。设计思路非法外联”主要表现为内网终端交叉使用内外网线；内网终端使用拨号、无线网卡、双网卡等方式接入外网；便携电脑内外网混用。这些人为有意或无意行为，将使外部黑客攻击、 病毒与木马攻击绕过当前安全保护屏障，即使有部分安全措施发现”非法外联”网管员也无法及时阻断，无法挽回信息泄露、病毒入侵造成的损失。控制非法外联”必须从根源下手，对终端行为、访问信息特征进行监管， 建立综合的网 络和终端技术防护体系，采取分层防护、纵深防御的思

6、路，基于多种设备建立自动可控的监测、审计、预警、阻断”安全机制，阻断”非法外联”终端对内部网络对威胁。-终端防护非法外联”使终端暴漏于不安全环境下， 面对黑客入侵、病毒与木马等安全威胁。 如果 终端系统或应用存在软件漏洞、未安装或及时升级防病毒软件等安全弱点，将轻而易举的被攻击或控制。终端的防护必须全面、及时，否则将导致直接的安全事件。系统与应用软件补丁管理；终端物理资源控制；病毒与木马的检测和查杀能力保障移动存储介质控制；终端安全状态审查；行为审计。-网络安全防护在封闭环境下的内部网络（如政府部门、军事部门的网络）常常由多个具有不同安全保护 需求的系统、设备或信息资源组成的安全域构成，在安全

7、域内和边界采取了相应的安全保护。事实证明，多数的安全入侵或攻击事件，往往具有显著的商业或政治目的，或窃取其它组织机构的重要信息或破坏其系统影响其业务活动，仅有少数事件为恶作剧性质。在内部网络环境下，”非法外联”终端在外联过程中极易被黑客控制、种植木马或病毒，此类用户绝非仅仅一次非法外联”，事后连入内部网络。 这种情况导致了终端成为内部网络信息收集、破坏行为的风险点，甚至跨网段、跨安全域非法收集重要信息。必须在网络内建立监控预警与访问控制机制。入侵行为检测预警；病毒过滤；终端对重要区域的访问控制，如服务器区域；安全域边界防护；网络可信接入；-系统安全管理设计为防止泄密事件的发生， 除了加强安全技

8、术的管控外，也要加强安全管理。 首先要引入第三方安全服务，定期查看关键计算机设备的状态，发现与定位计算机中已经感染的木马， 防止木马的泄密等破坏行为发生 ；其次要建立应急响应机制，在泄密事件发生后定位与隔离 涉及的主机，使安全事件能够追查到责任人。安全审计系统（TA-L）安全管理平台系统（TA）-根据设计思路，方案设计图如下：OO部署措施-终端系统防护统一部署终端防火墙和终端 IDS,通过集中管理与日志收集系统，掌握网络中威胁源, 同时加强终端对入侵和攻击行为的抵抗能力。统一部署TopDesk，根据内网管理制度统一制定下发终端管理策略，如终端系统补丁检 查与安装、移动存储介质控制、物理接口封闭

9、或监测、系统安全性评估、基线防护措施检查 等，提高系统安全强度， 减少终端远程拨号、 无线上网途径，对违规上网行为进行审计和预警警0统一部署终端病毒防护软件，采取集中软件更新、病毒库更新、远程查杀和远程病毒诊 断协助能力，汇总并分析终端病毒查杀日志， 形成全网终端病毒防护系统， 降低大规模病毒 爆发事件的发生。-网络安全防护TopDesk与交换机的互联互通技术，实现纵向防御机制，借助对接入者身份验证、终端病毒防护软件及病毒库、系统及应用补丁安装情况进行核查能力，实现网络可信接入。在网络运行过程中，实时监控终端安全状态， 随时切断不符合或违反 TopDesk策略的终端与网络 的链接，实现状态监控

10、、行为管控等能力，降低安全事件对网络的影响。存有上网记录并连入内网进行操作的终端，采用TopDesk与802.1x或opt联动机制，通过防火墙或交换机限制终端网络连接或访问能力，阻断对重要区域的访问能力，女口：杜绝访问服务器区域破坏业务系统。避免由于该设备而导致内网遭到更大的破坏。在不同安全域间部署防火墙，实现不同安全域间的逻辑隔离和双向访问控制策略，根据策略明示允许通过、拒绝通过的细粒度可降低反向链接等攻击行为；通过与入侵检测、TopDesk等安全措施联动，提高防火墙对流量管理和隐式攻击阻断能力。入侵检测/入侵防御系统主要从网络连接状态、数据包协议、数据包有效负载内容特征对网络中传输的数据包

11、进行深入分析，通过对已知威胁过程或状态的定义或对合法数据包状态的定义，实时监测数据流中潜在的威胁并进行处置与预警。在当前的安全技术背景下， 可作为防火墙安全功能的合理补充，完善网络边界防护措施的基础；另外，通过人工对事件记录进行分析可及时掌握受保护网络潜在漏洞信息的，进而扩展了安全管理员/网络管理员的风险的管控能力。在终端较为集中的安全域边界部署，实时对数据流量进行监控， 并杀灭安全域间传播的病毒与木马，有效遏制病毒的跨地域、跨网段的扩散。-安全管理设计安全审计是既是发现安全问题的重要手段，也是对内部人员行为管理的威慑手段。对没计划部署安全管理平台的用户一定要安装安全审计系统，通过引入集中日志

12、审计的技术手 段，对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全 设施运行日志等进行统一安全审计，及时自动分析系统安全事件，实现系统安全运行管理。安全管理平台将管理多种异构的网络、安全软硬件，整合多种事件日志与安全日志，通过智能关联分析，集中、可视化展现网络当前的运行状况，便于管理者掌控信息安全方向， 使安全管理员、安全操作员以及安全专家根据经验进一步分析发现潜在的网络威胁。完全体现了信息安全”三分技术、七分管理”的指导思想，是单位安全管理团队非常必要的技术支撑 系统。方案效果针对一些安全性较高的内部网络（如政府部门、军事部门的网络），根据其管理特性与系 统安全需

13、求，本方案设计时融入全面的防护理念， 突出安全防护重点， 为目前出现或存有潜 在非法外联行为的用户，解决如下问题：解决安全终端的可信接入，杜绝非法接入网络。解决终端系统漏洞引发的安全风险。解决终端病毒、木马程序滋生。解决终端分布广、难以集中监控与策略执行等管理问题。屏蔽终端物理接口，减少”非法外联”途径。解决终端”非法外联”后，重新接入内部网络，攻击或窃取内部重要信息。解决在处理安全为时，人员与信息资源的浪费。解决异构安全软硬件产品间技术互联互通问题，通过联动强化了网络间的访问控制。避免网络发生大规模病毒爆发。解决安全域或网络间合法用户在内部发起的攻击。为了更加安全、可靠、顺利地使用信息内网，

14、防止办公电脑违规外联， 加强对信息安全的管理工作，根据上级的要求，该所对全所的办公电脑使用人员签订乐清市供电局员工内网使用责任承诺书，按照相关的规定使用信息内网，对电脑更新、修理、重装软件等按照规定 办理相关手续后，方可进行对电脑更新、修理、重装软件；同时，该所开展不定期的信息安 全检查，严格要求“涉密不上网、上网不涉密”的原则，加强违规外联的管理，落实安全责任制，把安全责任和安全措施落实到每个环节、每个岗位和每位职工。（卢明钿）随着电子政务与电子商务的不断发展，企业内部大量信息资料也以信息化、数字化的形式存在，然而在工作便捷的同时，也给政府和企事业单位的安全保密工作带来了极大的挑战，单位的信

15、息管理人员必须应对日益多样化的数字化窃密手段。于是在一些对安全性要求较高的政府和企业中都有内网计算机不允许连接互联网等外网的规定，但是一些非法外联和非法接入等行为，很容易破坏这些管理规定，造成重大的安全隐患。涉及国家安全的机密文件，严重影响到国家的安全和利益。涉及企业的机密文件，通常与企业的决策甚至生存有着密切的联系，如产品设计图面、产品开发相关数据、专利及工程计划、市场开拓计划等，这些文件的泄露轻则导致企业利润 下滑，信誉受损，严重的会导致企业破产。一、当前违规外联造成的安全隐患1. 内部人员通过 Modem拨号、ADSL拨号和无线拨号等方式，使用禁止联网的计算机违规外联，从而破坏管理规定，

16、造成敏感信息泄密的可能；2. 违规连接互联网等外网，带来病毒木马等，使整个局域网受到感染；3. 外部移动计算机等设备，通过接入内部交换机网络，访问内部信息，造成安全隐患；4. 企业人员在违规外联时，造成文件流失，无法及时查证，难以对责任人进行追究。二、和安解决方案和安威视违规外联监控系统根据企业对违规外联的管理要求，提供对内部网络主机监 视网络用户的In ternet接入行为，有效防范不安全因素对涉密网络的威胁，确保企业核心数 据安全。1. 实时扫描内部网络内所有在线主机情况，预防外部移动计算机设备非法连接到内部 网络造成安全隐患，并查看客户端安装情况，杜绝意外发生。2. 实时监视网内受控计算

17、机通过普通电话线、ISDN、ADSL等方式的拨号上网；检测使用双/多网卡联通内外网，从而破坏内外网隔离的行为；检测通过无线方式非法上网的行为 ；3. 对拔掉内网网线或禁用本地网卡等进行非法外联的主机能报告其客户端ID号从而准确锁定非法外联主机，在单机环境下也能实现阻断并报警；4. 对非法外联的主机按照预定的策略实施阻断并立刻禁止并向管理员报警，严格控制 连接互联网行为。5. 日志记录审计：包括 U盘使用日志、管理员操作日志记录。提供对介质使用的日志 记录功能，已备日后有据可查，而且当异常情况发生后，可以确定违规人员和违规行为。三、系统结构介绍该系统由三部份组成：客户端、中心服务平台、中心管控平

18、台。1. 中心监控平台：添加可信任的主机和网络，实时配置监控计算机的网络连接策略；接受和处理网内非法连接互联网的报警，生成审计数据。2. 中心服务平台：扫描局域网内的所有在线主机和非在线主机并区分在线主机是否安装智能客户端；上传和下发管理员设置网络连接策略；接收日志和报警信息。3. 客户端：实时开启和关闭客户端的各种网络连接；实时开启、关闭客户端各种外部设备；根据策略要求，实时阻断客户端外联行为 ；实时违规外联报警、详细的客户端登录、外联 日志；防止用户采用非法手段结束客户端。四、和安威视违规外联监控功能1. 实时开启和关闭客户端的各种网络连接；2. 实时开启、关闭客户端各种外部设备；3. 根

19、据策略要求，实时阻断客户端外联；4. 详细的客户端登录、外联、日志；5. 防止用户采用非法手段结束客户端；五、三种策略1. 允许连接外网与内网：如果客户端配置的策略（如下图所示）是 允许连接外网与内网”则这台机器可以连接局域网也可以连接互联网，不会产生报警，机器开机时会在服务 器中出现一条 主机上线”的日志，机器关机时会在服务器上出现一条主机下线”的日志。（服务器端对客户端机器的详细描述记录在服务器内，包括机器的主机名、 用户名、工作组、所属地区、IP地址、MAC地址等）。2. 允许连接内网，禁止连接外网：如果客户端配置的策略是允许连接内网，禁止连接外网”则这台机器可以连接局域网，但是不能连接

20、互联网，并安装客户端时就自动将网 络断开。如果客户通过各种方式联网的话，系统将会检测到互联网信息，并在服务器中产生一个报警。机器开机时会在服务器中出现一条主机上线”的日志，机器关机时会在服务器上出现一条 主机下线”的日志。（服务器端产生报警，在服务器右下角弹出提示框，提示管理 员处理报警，管理可以查看报警类型以及报警机器的详细信息）。3. 禁止连接内网与外网 ：如果客户端配置的策略是禁止连接内网与外网 ”则这台机器即不可以连接局域网，也不可以连接互联网， 并安装客户端时就自动将网络断开。如果客户通过各种方式联网的话，系统将会检测到互联网信息，并在服务器中产生一个报警。 若用户试图想非法连接内网时，系统也会在服务器端产生一条报警。机器开机时会在服务器中出现一条 主机上线”的日志，机器关机时会在服务器上出现一条主机下线”的日志。原文出自【比特网】，转载请保留原文链接：http:/sec.chi 原文出自【比特网】，转载请保留原文链接：http:/sec.chi