某单位的网络分为内网(涉密网)和外网(公开网站)两个部分,出于安全考虑对内、外网进行了物理隔离,两个网络的数据不能相互通信,并且涉密网也与因特网隔离,通过这种方式来保证涉密数据不外泄。
在日常工作中,涉密网中的某员工想在因特网上查询数据,由于去外网计算机中查询不太方便,于是该职员便想到了在涉密网终端上通过连接外网网线的方式上网的捷径。
在该职员连接到因特网进行网页浏览时,访问了某个经济论坛,不巧该论坛已被黑客进行了攻击,网页上被挂了利用「网页木马生成器」打包进去的灰鸽子变种病毒。
黑客利用「自动下载程序技术」,在该职员不察觉的情况下种植了木马,涉密网的该终端被远程攻击者完全控制,远程黑客可轻易的复制、删除、上传、下载保存在被控电脑上的文件,机密文件在该涉密网职员毫不知情的情况下被窃取,最终造成了重大泄密事件。
这起安全事件是典型的由违规外联引起的泄密事件。违规外联是指接入单位内网的计算机非法连接到互联网或其它网络的行为。
违规外联相当于在内网的安全区域之间、内网与外网之间建立了一条新的通道,使原本封闭的系统环境暴露在互联网中,内部网络将面临病毒、木马、非授权访问、数据泄密、数据被篡改等多种安全威胁。
常见的违规外联的途径主要有以下方式:
使用3G上网卡上网;
修改IP地址后上网;
使用手机代理上网;
内网PC违规接入外网;
使用无线热点进行上网;
使用无线网卡进行上网;
使用虚拟网卡等其他网卡上网。
违规外联所带来的潜在威胁和危害十分严重:
内网重要数据可能被非法篡改;
有可能造成内部网络瘫痪和应用系统渗透。
敏感数据可能被非法获取,从而造成重大泄密事件;
可能将大量病毒、木马带入内网,使内网其他计算机受到感染的风险增加;
面对如此种类繁多、花样百出的违规外联行为,单位在做内网安全建设时该如何加以防范跟应对呢?金盾软件建议:
事前预防,防患于未然
管理员通过安全策略,对终端用户使用无线网卡、无线上网卡、手机代理、无线热点共享、USB存储介质、光驱介质、便携式设备、打印机、蓝牙设备等可能的违规外联途径加以规范,对需管理的终端PC对象禁用外联设备,做好提前预防工作。
事中监控,及时发现及时处理
对终端网络的连接进行主动探测,并对已连接的网络进行被动分析,实时监测终端是否存在违规行为或能力。若发现有非法外联操作的终端计算机,报警中心及时发出报警和告警,并自动执行管理员设定的关联响应措施,如断网、将终端用户放置隔离区、关闭终端用户计算机、发送报警邮件、发送报警短信等。
事后审计,可追溯可跟踪
实时对网内出现的网络异常接入、网络通信异常、终端操作系统安全隐患、恶意攻击服务器和终端用户异常操作等重要的安全事件进行审计记录,包括事件发生的主体、客体、时间、用户真实姓名、具体行为描述、风险类型、事件结果等相关信息。一旦网内发生了违规外联的行为,即可定位问题源、追溯到违规行为的相关责任人。
除此以外,可对每日的审计日志按照分布图、趋势图等形式形成统计报表,根据每日安全曲线的变化情况观察网内安全状况,当安全曲线发生异常变化时及时查找问题原因,提前处理。上医治未病,未有形而除之,为管理员增加一双眼睛,将安全隐患扼杀在襁褓中才是上策。
