什么是防水墙系统？（网络监控审计与防泄密系统）

关键词：木桶理论 内网安全 防止泄密 存储控制 USB控制 监控审计 上网行为管理

 

摘要：本文介绍了信息安全现状和防信息泄密技术应用，深入分析了信息泄密途径，从泄密主体防护入手，提出了防信息泄密的木桶理论，重点阐述了防内部信息泄密的难点问题。此文对关注或从事信息安全领域的工作者提供一种实际有效的内外兼防的解决方案，具有一定的参考价值。

 

一、防水墙与防火墙的区别
      和传统的防火墙理念完全不同，防水墙是基于防泄密的设计理念，旨在防止内部信息像水一样外泄。而防火墙的诞生是为了防范外部病毒、黑客、木马的非法侵入。
二、防水墙系统的由来
      据国际权威机构CSI/FBI提供的统计数据，在众多的攻击行为和事件中，最重要的、最多的安全事件是信息泄漏事件。攻击者主要来自内部，而不是来自外部的黑客。那么，有没有现成的技术或者产品能够堵住信息外泄的水龙头呢？防水墙系统这样的产品就应运而生了。

三、防水墙系统用途

为了防止敏感信息、重要数据、机密文件、财务资料、客户资料、会议记录、设计方案、专利技术、创新技术、设计图纸、配方、软件源代码等通过不同的途径、方法和手段流失或扩散，同时能够进行网络管理、网络监视、日志审计和上网行为管理。

四、防水墙系统概述

遵循全方位防泄漏的“木桶理论”，基于“事前主动防御、事中灵活控制、事后全维追踪”设计思想，综合采用一系列先进的防泄密控制技术，全方位层层堵住每一个可能泄漏的缝隙和口子，同时为管理者提供远程监视、日志审计、桌面资源管理、操作行为管理，以及各种管理数据和报表。

防水墙系统是由防水墙服务器和防水墙终端组成，是一款终端安全防护和管理类产品，它以内网安全等级保护为基础，终端安全管理为目标，采用设备驱动技术、文件驱动技术、防火墙技术、密码学技术、身份识别技术、操作系统核心技术和自有专利技术，从安全域边界管理、移动存储介质管理、外联管理、硬件资产管理、软件使用管理、终端外设管理、操作行为管理和终端操作审计等方面对数据的存储、传输和使用整个生命周期进行控制、保护和审计，确保数据的完整性和保密性，从而使人、权限、行为和日志有机准确的结合在一起，做到事前防范、事中巡查和事后审计，全方位的确保涉密信息的安全。

防水墙这种以“封堵”为主要特征的终端安全防护和管理类软件，称之为“本地监控类产品”。这类产品叫法比较多，如桌面安全管理系统、内网监控审计系统、内网安全管理系统、终端安全管理系统、内网防水墙系统等，都属于本地监控类产品。

五、防水墙系统的关键性技术指标

    防水墙系统这类产品发展比较早，目前技术相对成熟，功能完善，各家产品的功能大同小异，但防水墙系统是否真的可用好用的关键性技术不在于功能模块多少，而在于看不见的后台底层技术上如：

1、CPU占用率要低，安装本软件后CPU占用率没有明显增加，或增加<1%。如果CPU增加>3%，表明将影响系统运行，是系统反应变慢，导致产品不可用，或不好用。

2、内存占用率要低，应采用能够减低内存占用率的先进技术。若内存占用大，将导致系统响应变慢。

3、网络的占用率要低，应采用尖端的网络通讯技术，能够适用K级规模的网络。以保证网络正常通讯，不会出现网络拥堵现象。

4、应具备极强的反卸载和破解能力，保证客户端监控软件不被非法卸载、破坏、删除、挂起、杀死。软件一旦被删除后失效、自启动失败，将导致完全失控。这是纯软件产品存在的一个最致命缺陷，也是最重要的技术指标。

365信息安全发布了一款免费的软件下载，经过强力测试，关键性技术指标过硬，是此类产品中的佼佼者。

六、防水墙系统的主要功能

A、上网管理

1、可禁止一切上网活动

2、可限定只浏览某些特定网站

3、可自由浏览网站，而不能外发文件、网络视频、网络游戏、网络炒股

4、可记录浏览网站的全部内容

5、网站黑名单和白名单

B、邮件管理

1、可允许/禁止网页邮件（WebMail）

2、可允许/禁止收发邮件（POP3/SMTP）

3、可限定只使用特定的邮箱收发邮件，而不能使用其它邮箱

4、可设置邮箱为只收不可发，或只发不可收

C、聊天管理

1、可禁止/许可使用MSN

2、可禁止/许可使用QQ

3、可禁止/许可其它即时通讯工具

D、端口外设控制

1、可允许/禁止所有USB接口的设备

2、可只禁止USB接口的存储设备

3、可允许/禁止软驱

4、可允许/禁止光驱

5、可允许/禁止串口和并口

6、可允许/禁止网卡

7、可允许/禁止拨号上网

8、可允许/禁止PCMCIA设备

9、可允许/禁止1394设备

10、可允许/禁止红外线设备

11、可禁止蓝牙设备

E、日志黑匣子

1、记录上网情况

2、记录外部存储设备使用情况

3、记录共享资源访问情况

4、记录文件拷贝情况

5、记录文件操作情况

6、记录软件使用情况

F、硬件设备控制

1、可禁止使用未认证硬盘

2、可禁止使用未认证网卡

3、可禁止使用未认证主板

G、系统安全控制

1、禁止修改计算机名

2、禁止修改网络配置及IP地址

3、禁止使用多操作系统

4、可关闭系统默认磁盘共享

5、可禁止使用系统附带的MSDOS

6、禁止使用系统注册表

7、禁止系统控制面板

H、打印控制

1、可禁止本地打印机

2、可禁止共享打印机

3、可禁止网络打印机

I、拷贝和刻录控制

1、从设备驱动层禁止外部存储设备拷贝、刻录

2、从文件驱动层禁止外部存储设备拷贝、刻录

3、可禁止USB及其它形式的存储设备

4、只读不可写的单向拷贝控制

J、网站黑名单

1、 可将网络股票、游戏、视频、黄毒赌等无工作无关的网站加入黑名单。

2、 可将含有某些特定关键词的网站加入黑名单,实现智能识别模糊控制的目标。

K、程序黑名单

1、将有害程序、可疑程序、与工作无关的程序文件加入到黑名单列表。

2、自动智能识别从加入黑名单的程序，即使改换路径、文件名或升级也仍然受控制。

L、远程监视

1、可实时动态地监视客户机的操作

2、可保存特定图片以备日后查阅

M、资源审计

1、审计硬件资源如bios信息、硬盘信息、显卡信息、键盘信息、主板信息、显示器信息、端口设备信息、桌面信息。

2、审计系统资源如系统配置信息、操作系统信息、环境变量信息、各种程序信息、共享资源信息。

3、审计进程信息如当前进程列表、服务程序清单。

4、审计最近操作活动如最近几天的访问过的网站、下载过的FTP地址、访问过的文档、运行过的命令。

N、自身安全保护

1、没有安装痕迹，无法非正常卸载。

2、多重加密通讯，拦截破解难度大。

3、采用多重保护程序文件和进程。

4、使用独创的自动复活技术。

 

●版权声明：原创博客，独家发表，版权所有，若需转载，务请注明出处。热诚欢迎探讨交流，作者宣以政：13980997654  936341875@qq.com