信息安全，刻不容缓

　　信息发展至今日，互联网资源的双刃剑效应日渐凸显。来自网络的安全威胁日益严重，如病毒传播、网页/邮件挂马、黑客入侵、网络数据窃贼，甚至系统内部泄密，已经使信息安全成为各行业信息化建设中的首要问题。最近网上报道的中国某军工科研所潜艇科研项目资料被间谍网攻窃取的事件新闻，将网络信息安全话题又一次推到风口浪尖。

　　据国家安全部门负责人透露，我国有63.6%的企业用户处于“高度风险”级别，近21.8%的行业对网络信息安全没有采取任何管理措施。截至09年9月，我国每年因网络泄密导致的经济损失高达上百亿。信息安全已成为与国家、组织、个人利益攸关的命题。

　　泄密途径，外攻内侵

　　根据国家《保密法》，最有效的防泄密办法是“上网不涉密，涉密不上网”，让有保密内容的电脑和互联网物理隔绝。然而，在许多组织的日常工作中，彻底隔绝和互联网的连接既不方便，也不现实，正因为如此，采用技术手段对连接到互联网的用户终端施行防泄密策略显得尤为重要。

　　防范联网终端泄密，需要解决如下几个方面的问题：

　　►用户安全意识薄弱，终端安全级别低下。

　　组织一再强调，而部分人员依然缺乏安全防范意识：不按要求按照杀毒软件，安装了杀毒软件不定期升级，从不及时打操作系统补丁，私自卸载网络管理软件，造成部分电脑的安全防护等级过低。既浪费了组织投资，又成为“向情报机关敞开泄密之门”的安全短板。然而，管理员苦于没有技术手段，无法主动发现、自动提醒用户，或者为终端自动安装升级相应的软件。

　　►网络策反，主动泄密。

　　组织内部人员未能经受住竞争对手、谍报组织高额回扣的诱惑，将组织红头文件、研发资料、市场规划、客户资料等机密信息主动外发，导致国家、组织受损，个人付出惨痛代价。在主动泄密行为中，泄密人员通过FTP、HTTP、IM传送文件至外网，通过BBS、BLOG等途径散播组织内部信息，在正常的业务邮件中夹带携带有机密信息的邮件，故意篡改文件名、后缀名、压缩加密后才发送等行为屡见不鲜。

　　而管理员若缺乏管控手段，事前无法防御，事发不能拦截。

　　►间谍入侵，被动泄密。

　　据瑞星统计，09年一季度平均每天有889万余人次网民访问挂马网站，;McAfee的研究报告显示09年一季度黑客新劫持了1200万台电脑，其中18%位于美国，13.4%位于中国。

　　城堡最容易从内部攻破，若用户不慎点击挂马网页、挂马邮件、不经意地安装恶意插件、脚本而被监控，威胁被引入内网，电脑变成黑客手中的“肉鸡”，组织机密不知不觉地拱手送给竞争对手。

　　所谓“明枪易挡，暗箭难防”，由于人员不当的上网行为导致的危险更是让人无法预知和防范。

　　►缺乏泄密证据，事后难以追踪

　　缺乏对泄密证据的留存和有效追查手段，一旦发生安全事件，无法定位责任人、无法判断泄密程度、无法追踪泄密文件去向。网络管理漏洞依然存在，也不能对潜在泄密者形成威慑，无形中助长泄密者的侥幸心理。

　　►采用国外产品，风险难以预知

　　国外谍报组织对崛起中的中国的一切都很有兴趣。近年来大量国外厂商推出“云”概念，通过集中本公司遍布全球的产品网收集到的信息，为客户提供共享服务。但开放与安全是一对矛盾体，共享的可能不仅仅是可以公开的内容，存在难以预知的泄密风险。

　　规避泄密，以网络行为为本

　　针对如上安全风险，基于用户需求的上网行为管理产品研发经验，有如下的解决方案：

●可禁止网页粘贴、论坛留言、WEB邮件等所有通过HTTP协议的网络外发行为，使单位领导不再担心员工利用单位电脑在网上发布不恰当的网络言论，不再担心企业商业秘密或重要文档通过互联网外泄。

●不仅可对每台电脑上网流量进行统计查询，而且还可以根据工作需要对它们进行流量带宽控制，控制BT下载并报警，防止网络带宽被大量无效占用，使互联网资源真正得到有效合理分配。

●可实时记录MSN、Yahoo、ICQ、QQ聊天室等即时通讯工具的聊天内容，并对QQ号码以及其聊天过程进行全程记录。

●网络中机器名和IP地址的任何改动都会进行自动报警提示，在线报警信息实时反映网络出现的不良状况，使网络安全危险和隐患能在第一时间发现和解决，管理者还可通过系统向违规者发送短消息以进行警告。

●在线动态显示当前上网和未上网的机器，使管理者对整个局域网电脑使用状态一目了然。在线动态显示机器上网信息、聊天内容、QQ信息、邮件日志、上传下载日志，并可针对某台机器或某组机器的网上行为实现在线实时监控。

●可对VIP机器进行不做任何监控的放行设置，也可对相关网址或端口进行不做任何监控的放行设置。.

●可在任意时间段对任何组和单机建立各种管理规则进行控制管理，操作灵活方便，使管理者能对互联网实现最大限度的个性化管理。

●基于网络层进行控制，对IP地址进行控制管理，可以只允许通过指定的IP也可以阻止指定的IP段。基于传输层进行控制，对端口进行控制管理，可以只允许通过指定端口，也可以阻止指定的端口范围。

● 通过对不同级别、不同用户分配不同的管理权限，可实现多级别、多用户对系统进行远程操作控制，使整个互联网管理有条有序，层次分明。

●不仅可禁止所有HTTP、FTP文件的上传或者下载（各种上传或者下载方式）。而且可针对上传或下载的文件格式进行各种形式的控制，使上传下载的控制管理更加灵活和有针对性。

●可对通过SMTP协议发邮件和通过POP3收邮件的收发邮箱进行任意控制，如只能收发到指定的邮箱或指定的邮箱才能收发。

●完善库管理，程序自带色情反动库、聊天库、游戏库、财经证券库、搜索引擎库、招聘库、电影休闲库、过滤关键词库、自定义网址库等9大网址库，用户还可以自己管理相应的9个自定义网址库，和9个系统自带网址库协同工作，完成整个网络管理的过滤工作。

●完整记录所有机器的上网信息且可进行，包括机器名、源MAC地址、源IP地址、源端口、目的MAC地址、目的IP地址、目的端口地址、操作类型、服务类型、协议类型、标题、内容以及时间。

●可以将机器按IP或者VLAN分成不同的组进行系统管理，可以增添和删除组。

●在实时显示每台机器的IP地址、机器名和MAC地址的基础上，管理员可以将每台机器进行标志名设定以方便对系统进行统一管理。

●可统计和查询各组或者每台电脑的上网字节数和整个网络的总流量。

●可以对单机或者组查询统计其在任意时间段上的具体上网行为和内容。

●可分别针对TCP协议、UDP协议、ICMP协议、IGMP协议四大协议进行网上日志和内容的统计查询。

●可分别针对WEB浏览、WEB张贴、文件上传、文件下载、发送邮件、接收邮件、游戏记录、远程登录、QQ聊天、MSN聊天、ICQ聊天、YAHOO聊天、P2P信息、报警日志等各种服务类型进行统计查询。

●方便实用的日志导出功能，使管理员可将监控日志导出做统一存储或分析。

●所有日志文件不仅可另存为文本文件，而且可另存为EXCEL文件，且都可打印输出。

●可将整个局域网管理软件的设置信息导出另存，方便以后安装就不用再设置。

互联网上没有绝对的安全，也没有完美的解决方案，提高用户安全意识，配合技术手段，才是防范泄密风险的根本应对之策。