随着基于内部网络(Intranet)的业务应用迅速普及,如OA系统、ERP系统、财务系统等,内部网络的安全稳定已经成为企业正常运营的必要前提条件。目前的一个基本事实是,当我们已经在内部网络中部署防火墙、IDS、杀毒软件等安全产品后,仍然出现内网病毒泛滥、恶意攻击时有发生、网络资源被滥用等问题,这是为什么呢?
内网安全问题的产生根源都是来自于桌面计算机,而防火墙、病毒网关都侧重于网络边界的安全防 护,不能消除用户桌面的安全隐患。
蠕虫病毒、木马程序、间谍软件、骚扰广告、垃圾邮件等恶意代码进入内网主要是利用桌面计算机的安全漏洞,攻击方式大多是通过诸如HTTP等标准网络协议进行的。一方面,网关防火墙等过滤设备不会拦截这些(看似)正常的网络通信;另一方面,杀毒软件在清除这些恶意代码时具有先天的滞后性,往往是在病毒已经大范围传播并造成损失以后才能够提供升级病毒库。
内部网络资源利用不合理是一个显著特点。例如员工花费大量时间在新闻浏览、网络聊天、电影下载等与工作无关的活动上,不但造成网络资源浪费、工作效率底下,更重要的是,由于大部分员工缺乏专业的安全知识,往往无意中将病毒和木马程序带入内部网络,成为内网安全问题产生的主要因素之一。
信息系统主管部门在对内网的运行情况进行判断时信息不足,通常只能够通过网络设备获得网络流量、协议分布等简要信息,而对网络信息的制造者-内部员工的计算机的基本信息、健康状况、运行的软件等基本上一无所知。这样,管理部门就很难及时发现网络中的异常行为,提前采取预防措施。当内网安全问题已经严重影响企业的正常运营时才发现问题的存在,此时采取补救措施已经为时已晚!同时,由于没有强有力的管理手段,使网络管理的规章制度流于形式,造成运营故障责任不明确的严重后果!
(桥盟创联)北京原创鑫科技有限公司在业界率先提出“可信赖内网计算环境”的概念,一个可信赖的内部网络需要满足“可知”和“可控”两个基本条件。“可知”是内网安全管理的基本前提;“可控”是内网安全的必要手段。BTA IntraSec系列安全产品正是该先进思想的核心体现,它采用集中策略管理方式,通过在内网员工计算机上安装BTA客户端安全助理形式落实单位的安全策略。IntraSec系统不但能够使信息管理人员能够清除了解内网应用的基本状况,客户端安装助理还可以自动发现其计算机的漏洞并自动安装补丁程序。由于应用了“PatchShare”、“Peak checking”、“异常隔离”等先进技术,系统还能够在最短时间内发现用户计算机的异常情况,将存在问题计算机的网络通信“冷冻”在本地,从根本上改变内网病毒泛滥、发生网络异常而束手无策的状况!
BTA IntraSec系列安全产品包含策略服务器(硬件)和客户端安全助理两部分。
客户端安全助理包含以下五个功能模块:
NetHelper: (必备)
分布式防火墙系统,可实现TCP/IP、网络应用程序、网上邻居等访问控制
SysMonitor: (必备)
桌面信息收集和异常侦测、自动免疫隔离、用户行为学习、实时监控等功能
Apparitors: (必备)
支持用户个性化策略及动态安全需求实现,VBScript和PilugIn方式
SmartPatcher: (可选)
系统漏洞扫描与补丁的智能分发和安装,支持软件分发
DigitalCoffer: (可选)
为用户数据安全提供高强度的加密支持,如财务文档、设计文档
BTA Intrasec 产品的特点:
1. 面扫除内网管理的“盲区”
信息主管部门制定任何安全策略和管理措施都以对内部网络的了解为前提,IntraSec改变了只能通过网络设备获取匮乏的内网信息的尴尬局面。它能够为管理员提供两方面的信息:1)静态信息,如每个员工计算机的硬件配置、操作系统信息、网络配置信息、安装的软件列表等;2)动态信息,使管理员能够及时了解内网的最新状况,为其决策提供大量的数据支持。动态信息是由客户端安全助理自己学习得到的,如用户能够进行网络通信的应用程序、运行的应用程序、网络流量统计等。
2. 智能、高效的补丁分发技术
IntraSec使用了独创的PatchShare技术,解决了大规模补丁分发的效率问题。SmartPatch能够自动根据注册表、文件版本等信息扫描用户计算机中存在的漏洞,并自动根据用户操系统类型为其下载并安装补丁程序,补丁安装支持静默方式,安装过程不需要用户参与。PatchShare技术将补丁分发的范围限制在VLAN中,在进行大规模的补丁和软件分发时,该技术确保最低的网络带宽和服务器资源占用,以免对内网的正常业务应用造成影响。
3. 自动异常发现和问题计算机的本地“冷冻”技术
任何一款安全产品都不能保证内部网络永远不出现安全问题,关键是能够在“第一时间”发现问题并发出告警,同时最大限度地降低其影响范围。SysMonitor提供了此项服务,它采用统计学上先进的“Peak &#118alue checking”技术,不需要挂接特征库,就能够自动发现用户计算机的异常情况和未知蠕虫病毒,如当网络发送数据量是接收量的数倍且CPU的利用率长期居高不下(显著的网络蠕虫病毒特征),客户端自动向管理员发送报警,然后能够根据策略将用户所有的网络通信“冷冻”在本地,避免其继续感染内网中的其它计算机。“第一时间”发现并及时“隔离”是解决“传染问题”最有效的手段!
4. 因人而异的管理措施“强制”落实机制
由于员工对于内网计算资源的需求不同及应用各异,因此需要根据每个人(或部门)的实际业务情况量身定制安全策略。IntraSec系统按照单位的树状组织结构对用户进行管理,任何一条安全策略都可以应用到该树状结构的任何一个节点上,可以是某个部门,也可以是某个员工,策略管理非常方便。
5. 全面支持个性化的策略和动态安全需求
满足用户全部需求的安全产品是不存在的,每个用户根据本单位的实际情况存在不同的安全需求,IntraSec的Apparitors组件用户定制个性化策略提供完整支持,包括两个方面:1)自定义的VBScript脚本策略;2)Apparitor DLL PlugIn ,IntraSec开放PlugIn的开发接口和知识版权,提供完整开发文档,管理员可以按照Apparitors标准开发部署安全插件。同时,用户还可以访问我们的在线技术支持站点,免费下载通用的Apparitors插件部署到系统中。
通过Apparitors组件平台可以给用户提供应对“突发安全事件”的应急响应机制!
6. 为桌面数据安全提供额外的加密保护
数据安全是信息安全的重要组成部分,DigitalCoffer为员工的敏感资料的加密保存提供额外支持。它基于内置X.509标准数字证书的SecuToken的专用USB电子钥匙认证用户身份,采用虚拟磁盘加密技术,使用RSA1024、IDEA等高强度加密算法对用户的重要文件进行加密。使用现有技术手段,要破解和窃取DigitalCoffer加密的文件是不可能的!
7. 用户零知识
对于内部员工来说,不需要专业知识操作客户端安全助理,除DigitalCoffer模块外,所有其它模块的运行都不需要用户的参与。客户端安全助理开机自动运行,系统资源占用小,用户不能关闭和卸载此程序,也不能强行中断安全助理的运行或更改其配置。系统管理员通过WEB方式在策略服务器上集中配置安全策略,由客户端自动下载并运行适合自己的安全配置。
BTA IntraSec产品功能列表:
客户端信息收集:操作系统及Service Park、机器名、内存、磁盘、CPU类型、屏幕设置、IP地址、MAC地址、网关、已安装软件列表、共享信息、网络应用程序列表、网络流量(收、发、总量)
分布式防火墙策略:策略时间定义、网络区间定义、可控制QQ、MSN、BT等网络应用程序、可根据目的IP、通信方向(进、出、双向、广播、监听)、通信端口、协议类型等进行通信过滤、根据域名进行URL过滤、网上邻居访问限制、Ping限制、IP/MAC地址绑定、内网计算机接入发现和强制隔离
漏洞扫描和补丁和软件分发:根据注册表、文件扫描系统漏洞、自动下载并安装补丁程序,支持静默安装、不需重启计算机、软件分发、补丁安装报告
系统异常检测及监控:网络流量异常(进、出)、CPU异常、内存异常、异常计算机的自动隔离、异常告警、实时监控(CPU、内存、应用程序)、监控抓屏
数据安全:各种文档类型加密、应用程序加密安装、口令、帐户加密管理、USB电子钥匙身份认证、支持自解密可执行文件、关闭默认共享
其它功能:可定制VBScript脚本策略、可定制DLL PlugIn、实用统计报表