驹宝平

信息泄露是局域网的主要安全隐患之一。所谓信息泄露，就是被故意或偶然地侦收、截获、窃取、分析、收集到系统中的信息，特别是秘密信息和敏感信息，从而造成泄密事件。面对一桩桩网络泄密事件，人们在寻求安全保护……

局域网在保密防护方面存在三点先天的脆弱性：一是数据的可访问性。数据信息可以很容易被终端用户拷贝下来而不留任何痕迹。二是信息的聚生性。当信息以零散形式存在时，其价值往往不大，一旦网络将大量关联信息聚集在一起时，其价值就相当可观了。三是设防的困难性。尽管人们可以层层设防，但对一个熟悉网络技术的人来说，下些功夫就可能突破这些关卡，这给保密工作带来极大的困难。

三大因素

造成信息泄露

根据CSI/FBI提供的统计，已有的网络安全事件中，数量最多、危害最大的是信息泄露事件；而且主要的信息泄露因素都来自企业内部，而不是黑客等外部攻击。

那么，这些内部信息泄露事件是怎样发生的呢？根据专家们细究原因，发现内部泄露信息主要途径有三类，一是计算机网络化后，信息通过网络传播造成的遗失、泄密；二是信息通过计算机系统的外围设备复制出去造成的泄密；三是文档通过打印途径造成的泄密。

具体问题表现在外来计算机随意接入、IP地址盗用、非法外联、外围设备违规使用、网络共享和随意打印文件等方面。

一、外来计算机随意接入的问题。接入内网的计算机应该是专用计算机，其他外来用户随意接入内网网络，可能会造成重要机密数据泄露等危险。

从传统的网络管理手段来说，可以通过在交换机上进行MAC地址与端口的绑定来达到防止外来用户随意接入的目的。但是这种方法会给管理人员带来比较大的工作量，特别是大型网络，且这种方式的灵活性也不够，对于任何一台新接入的设备都必须要在相应的交换机上进行配置，管理非常不便。

内网安全系统应该能够及时发现外来用户的接入，自动阻断或通知管理人员，提供将其从网络上断开的技术手段。

二、IP地址盗用问题。内部网络存在IP地址盗用的危险。一些内部用户将合法主机修改IP地址后接入网络，盗窃网上的资源，甚至对主机发动攻击。对违反规定或禁止上网的计算机及网络设备，应当能从技术手段上限制其上网。

三、非法外联问题。作为内网计算机，应该是专网专用，禁止与互联网等其他网络发生直接或间接的连接。但是可能有个别的工作人员，将专用计算机挪作他用，为上网、玩游戏、发私人邮件等目的与Internet连接，从而造成外网与内网或互联网发生直接或间接的连接。由此可能造成以下后果：一是破坏整体安全防护体系。非法外联行为看似小事，但却是对整体安全防护体系的严重破坏。它在内网与其他外部网络之间，开辟了一个不经过安全防护机制检查的“后门”，这个“后门”使整个网络的安全性大大降低。二是引入恶意的入侵。非法外联具有一定的隐蔽性，管理人员不易发现，没有一定的手段，很难对此进行必要的防护，容易遭受恶意的入侵。来自互联网的恶意入侵者可以轻而易举地入侵和控制这台计算机，使入侵者获得网络内的合法身份，它可以访问网络中的信息资源，可以对重要服务器进行漏洞扫描、入侵尝试。如果这些服务器没有采取入侵检测等进一步的防护措施，恶意入侵者就可以比较容易地获取这些服务器的访问、控制权限，随意地窃取、篡改和删除重要敏感的数据，安装木马程序、病毒程序，中断其正常的服务，使单位蒙受巨大损失。

从上边的分析可以看出，非法外联具有很大的危害性，因此作为安全管理及监控系统，应该对非法外联的行为进行监视，一旦发现这种现象要及时通知各级管理人员，在必要的情况下可自行将这些连接断开，保护内部网络的整体安全。

四、外围设备违规使用问题。计算机的外围设备（包括软驱、光驱、U盘、并行口、串行口、红外口、1394端口、Modem等）为各种信息在不同的计算机设备之间交流提供了一个方便的途径，通过它们可以将各种信息复制到不同的计算机中，也包括病毒、木马等。与此同时，内网中的主机上保存着一些涉密的内部信息，这些信息不能够随意地被传播。

因而有必要对外围设备的使用进行控制，不允许随意地使用外围设备拷贝机密数据。应该实现对各客户机外围设备的集中监视和控制，通过在管理端进行设置，可禁止和启用各客户机的外围设备，有效地保护计算机上的信息。同时，应当对外围设备的文件操作进行审计，记录相关信息以便发生泄密事件时进行追查。

五、网络共享造成泄密的问题。计算机上开设的网络共享文件夹是内网中常用的资源共享的手段，方便而且快捷。但内网中共享文件夹的访问权限往往设置为普通用户均可访问，从而大大增加了信息泄露事件发生的可能性。

因而应当对网络共享文件夹中的文件操作进行审计，记录相关信息以便发生泄密事件时追查。

六、随意打印文件的问题。单位常有重要的文件，如设计图纸、报表等，对这些重要且必须保密资料的打印等操作无法监控，出现信息泄露事件也无从追溯。

同样，我们需要对打印行为进行控制和审计，严格管理打印的文件内容和份数，从而控制重要文档的传播。

ECop多方式

防止信息泄密

据介绍，宝信软件着眼于安全管理中最重要且最为薄弱的内网安全环节。2002年宝信软件率先提出“内网安全”的概念，并推出了内网安全管理产品——宝信网络巡警eCop。经过3年多的发展，该产品已在国内内网安全管理市场上占据领先地位。

该产品致力于网络接入安全、终端安全、服务器安全、应用安全等领域，提出了基于WEB浏览器管理的全面的内网安全管理解决方案，采取主动防御与控制的手段，帮助政府机关、制造业、研究院、电力、电信、金融机构等单位构建一个可信并可控的内网环境，杜绝泄密事件的发生。

首先，IP地址管理杜绝非法计算机接入，盗用IP地址进行窃密。

宝信网络巡警eCop通过实时扫描获取与分析在线计算机的IP、MAC地址信息，提供IP地址、MAC地址的合法性判定,警告和阻断不满足合法性判定的计算机，统计分析非法IP地址使用的历史情况，从而保证外来的主机不经许可无法接入内网，内网的计算机无法盗用IP地址进行窃密。

其次，非法外联监控限制内网计算机外联，防止内外网之间不受控制的信息交换。

宝信网络巡警eCop通过定期检测该计算机的网络连接情况，及时发现连接其他外部网络的行为，记录下其违规外联的信息并向控制器端发送违规记录和报警通知。非法外联监控对于连接在内网发生外联和脱离内网的发生外联均能够进行检测，管理人员可在控制器端进行监控策略的配置，选择上述某一种监控方式。对于发生非法外联行为的计算机，客户端可自动断开其各种网络连接，包括网卡连接、拨号连接、无线连接等，从而保证内网的计算机专网专用，不与外部网络发生信息交换。管理人员可在控制器端配置恢复该计算机网络连接的策略，可选择自动恢复网络连接和确认恢复网络连接两种方式。

再次，控制外围设备使用，防止通过外围设备进行的文件传输。eCop通过设定启用或禁用各计算机的外围设备，自动禁用或启用软驱、光驱、U盘、MODEM、串口、并口、红外口和1394口等外围设备和接口，从而防止通过外围设备进行的文件传输。

第四，文件操作审计，保证通过U盘和网络共享发生的泄密事件可以追溯。eCop通过记录从本机拷贝文件到移动存储设备或网络共享目录的操作，保证从U盘和网络共享中泄露的文件可以追述。

第五，打印审计和控制,杜绝通过文档打印发生的文件泄露。eCop通过记录完整的打印日志，控制用户的打印配置和打印行为，杜绝通过打印或多打机密文件发生的文件泄露，实现对打印资源的有效管理控制，降低打印成本。记录内容包括打印操作的用户、计算机、文件名、页数、份数、纸张类型等信息。

除此以外，eCop还具备软硬件信息管理、服务监视、操作系统补丁管理等功能。能够有效地加强内网安全管理，提高内网安全级别，降低泄密事件发生的可能，在泄密事件发生时保证有据可查。

作为国内内网安全管理产品市场的领导厂商，宝信软件经过3年多的自主研发，推出了宝信网络巡警eCop。目前，宝信网络巡警eCop已经在多家不同行业但同样具有信息保密需求的单位成功使用。