安全需求分析泄密事件是由一系列事件构成的,包括内网非法外联、木马通过外部网络进入内部网络、木马感染主机、泄密、发现泄密事件等阶段。要防止泄密事件的发生,就要阻断木马传播、主动预防、检测和清除木马,形成一个纵深的防御体系。1、对边界防护的需求木马都是由外部网络传入内部网络的,必须在边界处进行有效的控制,防止恶意行为的发生,实现拒敌于国门之外。针对边界防护,需要考虑加强防护的方面有:1)内网和外网间的边界防护在条件允许的情况下,实现保密内网与外网的物理隔离,从而将攻击者、攻击途径彻底隔断。即使在部分单位,内网、外网有交换数据的需求,也必须部署安全隔离和信息交换系统,从而实现单向信息交换,即只允许外网数据传输到内网,禁止内网信息流出到外网。2)对核心内部服务器的边界防护内网中常包括核心服务器群、内网终端两大部分,核心服务器保存着大部分保密信息。为避免内网终端非法外联、窃密者非法获取核心服务器上的保密数据,就要实现核心服务器与内网终端间的边界防护。感染木马时,核心服务器的边界安全网关能够阻止终端的越权访问,并检查是否含有木马,然后进行清除。但在实现网关的封堵、查杀木马的同时,要防止对系统带宽资源的严重损耗。3)防止不安全的在线非法外联内网与外网的连接点必须做到可管、可控,必须有效监控内网是否存在违规拨号行为、无线上网行为、搭线上网行为,避免内用户采取私自拨号等方式的访问互联网而造成的安全风险。4)防止离线非法外联或不安全的接入行为要限制终端设备,如 PC 机、笔记本,直接接入并访问内网区域,对于不符合安全条件的设备(比如没有安装防病毒软件,操作系统没有及时升级补丁,没有获得合法分配的 IP地址或离线外联过),则必须禁止进入。2、对主机安全的需求内网终端非法外联后木马入侵的目的都是最终的主机。主机的防护必须全面、及时。1)木马病毒的查杀和检测能力的需求由于内部网络中的计算机数量很多,要确保网络中所有计算机都安装防木马软件,并实施实施统一的防木马策略。防木马软件至少应能扫描内存、驱动器、目录、文件和LotusNotes 数据库和邮件系统;具备良好的检测和清除能力;支持网络远程自动安装功能和自动升级功能。2)系统自身安全防护的需求木马在主机中的隐藏、执行和攻击最后都是体现在操作系统层面。要确保操作系统及时升级,防止漏洞被木马和病毒利用。在及时升级操作系统的基础上,要实时对计算机进程、访问端口的进行监...
