煙草在線專稿　　摘要：煙草行業(yè)信息系統(tǒng)IT服務(wù)管理工作實(shí)行統(tǒng)一領(lǐng)導(dǎo)、分級管理的制度；早在2006年，湖北省就對地面骨干網(wǎng)統(tǒng)一進(jìn)行了安全評估，并根據(jù)評估結(jié)果統(tǒng)一實(shí)施了防火墻、入侵檢測、防病毒和漏洞掃描等安全防護(hù)系統(tǒng)，實(shí)現(xiàn)了網(wǎng)絡(luò)層的基礎(chǔ)信息安全防護(hù)。可與此相反，行業(yè)對企業(yè)內(nèi)網(wǎng)的信息保密問題，卻一直沒有好的防范措施。本文在引進(jìn)防水墻（Water　Wall）概念的同時，對煙草行業(yè)內(nèi)網(wǎng)安全存在的問題進(jìn)行了分析；此外，論文在對防水墻的結(jié)構(gòu)作簡單介紹的情況下，結(jié)合煙草行業(yè)實(shí)際，對如何利用防水墻技術(shù)保證內(nèi)網(wǎng)安全做了前景展望。

　　1.引言

　　1.1研究問題的提出

　　防火墻、入侵檢測系統(tǒng)（IDS）、訪問控制、內(nèi)外網(wǎng)隔離、虛擬專網(wǎng)以及其它針對外網(wǎng)的訪問控制系統(tǒng)，可有效防范來自網(wǎng)絡(luò)外部的進(jìn)攻，但對于煙草行業(yè)內(nèi)部的信息保密問題，卻一直沒有好的防范手段。如果管理不善，內(nèi)部人員可以輕松地將計(jì)算機(jī)中的機(jī)密信息通過網(wǎng)絡(luò)、存儲介質(zhì)和打印等方式泄露出去，這將會給國家和社會造成重大損失。目前，湖北省局在煙草行業(yè)信息系統(tǒng)上制定了一系列管理辦法和工作要求，明確表示，煙草行業(yè)的涉密計(jì)算機(jī)必須采取相應(yīng)的安全防護(hù)措施。為了保障內(nèi)部信息系統(tǒng)安全，響應(yīng)國家對煙草行業(yè)信息系統(tǒng)安全等級保護(hù)建設(shè)整改工作的要求；除了依靠傳統(tǒng)的行政管理措施外，對保障內(nèi)網(wǎng)安全的技術(shù)研究，也勢在必行。而防水墻的出現(xiàn)，正好對實(shí)現(xiàn)內(nèi)部安全監(jiān)管提供了有效的技術(shù)手段。

　　1.2國內(nèi)的研究現(xiàn)狀

　　防水墻（Water　Wall）是相對于防火墻（Firewall）的一個概念，它處于內(nèi)部網(wǎng)絡(luò)中，可隨時監(jiān)控內(nèi)部主機(jī)的安全狀況，是一個用來加強(qiáng)信息系統(tǒng)內(nèi)部安全的工具，其最早是由山麗網(wǎng)安在2004年提出來的用于內(nèi)網(wǎng)防泄露產(chǎn)品。時至今日，它已成為內(nèi)網(wǎng)防泄露產(chǎn)品的代表。

　　目前，國內(nèi)市場上，在防止內(nèi)網(wǎng)信息泄露的技術(shù)研發(fā)產(chǎn)品上，較為成熟的有“山麗防水墻”系統(tǒng)和“中軟防水墻”系統(tǒng)。不少政府機(jī)關(guān)、涉密的企事業(yè)單位、軍工企業(yè)，都通過應(yīng)用部署此類系統(tǒng)，對內(nèi)網(wǎng)安全進(jìn)行了防護(hù)。而在煙草行業(yè)，由于全省對形成統(tǒng)一的信息化規(guī)劃和統(tǒng)一建設(shè)的指導(dǎo)綱領(lǐng)仍處于探討時期，信息化建設(shè)和應(yīng)用水平發(fā)展雖迅速，卻存在著參差不齊的問題，全省內(nèi)網(wǎng)安全整改工作至今仍然處于起步階段。

　　2.內(nèi)網(wǎng)安全隱患分析

　　內(nèi)網(wǎng)安全是近年來漸漸興起的網(wǎng)絡(luò)信息安全研究與應(yīng)用領(lǐng)域。通過身份驗(yàn)證、訪問控制和審計(jì)跟蹤等技術(shù)手段約束、限制、監(jiān)控企業(yè)內(nèi)部人員對計(jì)算機(jī)網(wǎng)絡(luò)的使用，使得對涉密信息和技術(shù)專利等內(nèi)部信息交換可控，從而保障內(nèi)網(wǎng)安全。我省煙草行業(yè)一直是按照國家相關(guān)保密制度的要求和自身的網(wǎng)絡(luò)安全體系現(xiàn)狀，將整個網(wǎng)絡(luò)按照重要程度劃分為不同的網(wǎng)段，在不同級別的網(wǎng)段之間設(shè)置防火墻，并配置一定的訪問控制策略。此外，為了保障對外訪問的相對安全，整個網(wǎng)絡(luò)采取內(nèi)外網(wǎng)隔離的方式，但其仍然避免不了“可信的”內(nèi)部人員信息泄露問題，具體可分為以下幾種方式：

　　（1）由計(jì)算機(jī)外設(shè)接口（如：開放的USB，DVD/CD-ROM驅(qū)動器，打印機(jī)驅(qū)動器等）造成的信息泄露。

　　（2）由計(jì)算機(jī)的存儲媒體、介質(zhì)（如：移動硬盤，U盤等）造成的信息泄露。

　　（3）對文件或文件夾進(jìn)行不當(dāng)共享造成的信息泄露。

　　（4）內(nèi)部人員在使用互聯(lián)網(wǎng)服務(wù)，如QQ、電子郵件、FTP時，將本單位內(nèi)部敏感信息傳送到外部或被竊取造成泄密。

　　（5）由屏幕拷貝（照相）、打印機(jī)直接打印進(jìn)行信息竊取造成的信息泄露。

　　（6）由于工作人員的無意，造成的信息泄密。如將一臺發(fā)生故障的計(jì)算機(jī)送修前既不做消磁處理，又不安排專人監(jiān)修，造成敏感數(shù)據(jù)的泄密。

　　（7）惡意泄密。這里是指對單位不滿或被他人金錢收買的個別員工采取惡意竊取單位內(nèi)部信息的行為。

　　因此，為了保障煙草行業(yè)內(nèi)部信息數(shù)據(jù)的安全，除了依靠必要的行政管理措施，還必須依靠技術(shù)手段加強(qiáng)內(nèi)部網(wǎng)絡(luò)的監(jiān)管。而防水墻的應(yīng)用，將能很好地解決此類問題。

　　3.防水墻的構(gòu)成及功能

　　3.1防水墻的系統(tǒng)構(gòu)成

　　防水墻一般由三部分構(gòu)成：防水墻服務(wù)器，控制臺（防水墻控制工作站）以及客戶端代理軟件。它能提供集中式的管理、分布式的防護(hù)，能夠?qū)⑺茌犗到y(tǒng)的全部個人桌面系統(tǒng)納入管理范疇，不遺漏可能的泄密途徑，周密監(jiān)管、保護(hù)網(wǎng)絡(luò)資源，并可動態(tài)獲取更新和審計(jì)。詳細(xì)內(nèi)容如下：

　　（1）防水墻服務(wù)器：包括服務(wù)器端軟件和支持?jǐn)?shù)據(jù)庫，是防水墻系統(tǒng)的核心部分。通過安全認(rèn)證機(jī)制，建立與多個客戶端系統(tǒng)的連接，實(shí)現(xiàn)對多個客戶端系統(tǒng)的配置、策略制定、資產(chǎn)管理操作審計(jì)等功能。

　　（2）控制臺（防水墻控制工作站）：是系統(tǒng)管理員、操作員、審計(jì)員等和防水墻系統(tǒng)交互控制的界面，實(shí)現(xiàn)系統(tǒng)管理、參數(shù)配置、策略管理和系統(tǒng)審計(jì)等功能。控制臺采用分權(quán)分級的授權(quán)模式，嚴(yán)格限制對敏感信息的訪問權(quán)限，保證系統(tǒng)信息安全。

　　（3）客戶端代理軟件：安裝與受監(jiān)控主機(jī)上的檢測軟件，強(qiáng)制執(zhí)行來自服務(wù)器的安全策略，根據(jù)安全策略檢測客戶端用戶的行為。客戶端軟件采用了嚴(yán)密措施，防止本地用戶自行卸載、關(guān)閉監(jiān)控程序。

圖1　防水墻結(jié)構(gòu)圖

　　3.2防水墻的功能介紹

　　防水墻的功能是保護(hù)用戶敏感信息不被非法外傳，防止泄露事件發(fā)生，從而保證內(nèi)部信息安全。其主要從以下五個方面著手：

　　（1）擴(kuò)展身份認(rèn)證：如果接管Windows身份認(rèn)證，只需輸入合法的防水墻用戶名和口令即可登錄Windows系統(tǒng)。

　　（2）文件安全服務(wù)：它提供了對敏感文件的加解密安全防護(hù)，充分利用對稱和非對稱算法的優(yōu)點(diǎn)對文件和密鑰進(jìn)行管理。

　　（3）系統(tǒng)資源管理：其多用于收集受控主機(jī)上的軟硬件信息，并上傳至服務(wù)器作為初始資源信息備份。系統(tǒng)管理人員可以隨時獲得所管理部門的主機(jī)的系統(tǒng)資源信息。

　　（4）運(yùn)行狀況監(jiān)測：對受控主機(jī)，監(jiān)控其歷史運(yùn)行狀況，包括：用戶刪除文件、系統(tǒng)服務(wù)、屏幕截取等記錄，方便系統(tǒng)管理員查看管理。

　　（5）失泄密防護(hù)：可對網(wǎng)絡(luò)傳輸、移動存儲帶出和打印打印機(jī)到紙介質(zhì)文稿三種情況，根據(jù)實(shí)際情況選擇啟用或禁用，還可選記錄日志以備事后追蹤。

　　4.防水墻的應(yīng)用

　　防水墻將所有與安全相關(guān)的內(nèi)容劃分為三個階段管理，即事前預(yù)防、事中監(jiān)督、事后審計(jì)；事前預(yù)防包括策略的定義、策略的有效時間和生命周期、策略的維護(hù)、策略的繼承以及分級分權(quán)管理和相應(yīng)得配套規(guī)章制度的建立等；事中監(jiān)督包括對四種主要泄密事件類型（網(wǎng)絡(luò)傳輸，媒介使用，計(jì)算機(jī)接口和打印控制）的狀況監(jiān)控和運(yùn)行狀況的紀(jì)錄；事后審計(jì)通過對防水墻系統(tǒng)記錄的運(yùn)行信息和用戶操作信息進(jìn)行事后審計(jì)，并提供詳細(xì)分析報(bào)表。結(jié)合此種管理方式和防水墻的兩大管理對象（信息和不可靠的人），我們可對前面所分析的煙草行業(yè)內(nèi)網(wǎng)信息安全方面存在的問題，應(yīng)用防水墻系統(tǒng)進(jìn)行分類解決：

　　（1）針對計(jì)算機(jī)外設(shè)接口（如：開發(fā)的USB，DVD/CD-ROM驅(qū)動器，打印機(jī)驅(qū)動器等）造成的信息泄露，防水墻提供了“主機(jī)資源信息管理”功能集中管理客戶機(jī)內(nèi)的硬件、軟件和其它資源。對計(jì)算機(jī)USB　接口、并口等外設(shè)接口進(jìn)行相應(yīng)的控制，將客戶端上的外設(shè)接口和軟硬件信息傳輸?shù)竭h(yuǎn)程服務(wù)器端，服務(wù)器根據(jù)管理員事先定制的安全管理策略對各種接口以及其它硬件進(jìn)行統(tǒng)一管理，包括禁用，卸載等。能有效防止計(jì)算機(jī)外設(shè)接口造成的信息泄露。

　　（2）因計(jì)算機(jī)的存儲媒體、介質(zhì)（如移動硬盤，U盤等）造成的信息泄露，可通過使用防水墻系統(tǒng)的“可信移動存儲介質(zhì)管理”功能，首先對移動存儲介質(zhì)進(jìn)行分級，并進(jìn)行統(tǒng)一認(rèn)證，使用加密存儲、密級訪問控制等手段，有效防止移動存儲介質(zhì)在計(jì)算機(jī)上跨密級使用。對于未經(jīng)認(rèn)證的筆記本電腦或移動硬盤、U盤等設(shè)施聯(lián)網(wǎng)時系統(tǒng)將自動作無效處理。同時系統(tǒng)還將操作涉及的信息及過程生成日志，以便進(jìn)行事后審計(jì)。

　　（3）關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)化（如使用QQ，電子郵件，FTP等）造成的信息泄露，可運(yùn)用防水墻所提供的“擴(kuò)展身份認(rèn)證”和“文件安全服務(wù)”功能，用戶首先通過身份驗(yàn)證機(jī)制登錄到防水墻客戶端，防水墻身份認(rèn)證系統(tǒng)會接管Windows　身份認(rèn)證系統(tǒng)，通過設(shè)置安全域、授權(quán)、對文件加密實(shí)現(xiàn)內(nèi)網(wǎng)用戶之間文件共享互傳。有效地防止了文件在傳輸途中可能造成的泄密，也防止了電腦丟失可能造成的泄密事件的發(fā)生。此外，防水墻的“運(yùn)行狀況監(jiān)控”功能，可以預(yù)先對某些網(wǎng)絡(luò)活動進(jìn)行阻止，防止通過網(wǎng)絡(luò)傳送敏感數(shù)據(jù)或?yàn)g覽無關(guān)工作的網(wǎng)站。也杜絕了內(nèi)部人員使用QQ、電子郵件、FTP等將本行業(yè)內(nèi)部敏感信息傳送到外部造成的泄密。

　　（4）對于由屏幕拷貝（照相）、打印機(jī)直接打印造成的信息泄露，可將用戶打印機(jī)按科室（部門）分類，放置到專門的機(jī)房內(nèi)，并根據(jù)需要設(shè)定不同的策略進(jìn)行控制。即使是在授權(quán)狀態(tài)下，使用者的打印操作也將受到監(jiān)控，打印內(nèi)容會由系統(tǒng)自動備案處理，以便事后審查。與此同時，管理員可根據(jù)機(jī)房的視頻監(jiān)控系統(tǒng)隨時監(jiān)視由顯示器造成的信息泄露。

　　（5）