信息外泄報警系統(tǒng)產(chǎn)品白皮書

全球眼信外泄報

警

系

統(tǒng)

白皮書目錄TOC\o"1-5"\h\z\o"CurrentDocument"一、網(wǎng)絡(luò)安全背景 3\o"CurrentDocument"二、信息外泄報警系統(tǒng)設(shè)計思想 3\o"CurrentDocument"三、信息外泄報警系統(tǒng)的體系架構(gòu) 4四、信息外泄報警系統(tǒng)主要功能 5、核心功能 5\o"CurrentDocument"、報表統(tǒng)計 6\o"CurrentDocument"、客戶端管理 6\o"CurrentDocument"、查詢 7\o"CurrentDocument"五、信息外泄報警系統(tǒng)的特性 8\o"CurrentDocument"、隱蔽性 8\o"CurrentDocument"、針對性 8\o"CurrentDocument"、穿透性 8\o"CurrentDocument"、準(zhǔn)確性 8\o"CurrentDocument"六、信息外泄報警系統(tǒng)的優(yōu)勢 8\o"CurrentDocument"、現(xiàn)有的防間諜軟件系統(tǒng) 8\o"CurrentDocument"、和傳統(tǒng)防間諜軟件進(jìn)行比較 9\o"CurrentDocument"、信息外泄報警系統(tǒng)的優(yōu)勢 10\o"CurrentDocument"七、產(chǎn)品的實(shí)際應(yīng)用與適用范圍 10\o"CurrentDocument"、產(chǎn)品的實(shí)際應(yīng)用 10\o"CurrentDocument"、產(chǎn)品的適應(yīng)范圍 10一、網(wǎng)絡(luò)安全背景在當(dāng)前復(fù)雜的國際形勢和國際網(wǎng)絡(luò)安全形勢下，網(wǎng)絡(luò)由于具有全球性、隱蔽性、靈活性、高速性和便捷性等特點(diǎn)，因此被越來越多的組織和個人用于開展問諜活動。區(qū)別于傳統(tǒng)的間諜活動，這種新型的網(wǎng)絡(luò)間諜活動有以下兩個特征：首先，計算機(jī)網(wǎng)絡(luò)間諜隱蔽性好、不易暴露。用計算機(jī)網(wǎng)絡(luò)竊取情報幾乎不留任何痕跡，通常也不會對目標(biāo)計算機(jī)網(wǎng)絡(luò)造成損害，因此很難被發(fā)現(xiàn)和分辨出來。其次，計算機(jī)網(wǎng)絡(luò)間諜工作效率高、威脅大，一旦計算機(jī)網(wǎng)絡(luò)間諜侵入重要的計算機(jī)系統(tǒng)，特別是獲得訪問特權(quán)，他們就能夠以此為基地，源源不斷地獲得大量的高度機(jī)密的信息，而受害者一方往往還不清楚自己所受的損失。計算機(jī)網(wǎng)絡(luò)間諜受空間、時間限制小，工作十分靈活。國際互聯(lián)網(wǎng)遍布全球，可以從網(wǎng)絡(luò)的任一終端甚至通過公用電話進(jìn)入目標(biāo)計算機(jī)網(wǎng)絡(luò)。 從理論上講，計算機(jī)網(wǎng)絡(luò)問諜可以從世界上任何一個有計算機(jī)網(wǎng)絡(luò)的地方嘗試進(jìn)入敵方計算機(jī)網(wǎng)絡(luò)。如今，計算機(jī)及其網(wǎng)絡(luò)以極快的速度滲透到社會的各個部門，越發(fā)達(dá)的國家越依賴于計算機(jī)網(wǎng)絡(luò)。而計算機(jī)網(wǎng)絡(luò)恰恰是機(jī)密最集中的地方。隨著計算機(jī)網(wǎng)絡(luò)的廣泛使用，大量機(jī)密信息在計算機(jī)網(wǎng)絡(luò)中存儲或傳輸。網(wǎng)絡(luò)安全的重要性可見一斑。二、信息外泄報警系統(tǒng)設(shè)計思想信息時代，計算機(jī)網(wǎng)絡(luò)為間諜提供了快速、高效的手段，同時也引發(fā)了一場“反間諜”手段的革命。信息外泄報警系統(tǒng)正是由此而設(shè)計。根據(jù)積極防御的戰(zhàn)略思想，信息外泄報警系統(tǒng)采用“誘敵深入”、“人不犯我我不犯人，人若犯我我必犯人”的方針。針對網(wǎng)絡(luò)間諜活動的特點(diǎn)，運(yùn)用了一系列的監(jiān)視、追蹤和控制的技術(shù)與手段，只要間諜活動的觸角伸過來，就能使他行蹤畢露，顯出原形。信息外泄報警系統(tǒng)的戰(zhàn)術(shù)策略是發(fā)現(xiàn)但不攔截，秘密收集對方間諜行為特征并實(shí)施反跟蹤；采用“將計就計”，“放長線釣大魚”的辦法，使網(wǎng)絡(luò)攻防戰(zhàn)中的“敵在暗我在明”的被動地位調(diào)轉(zhuǎn)成“我在暗他在明”的主動地位。上提問：信息外泄報警系統(tǒng)好像不阻止間諜軟件運(yùn)行？4回答：信息外泄報警系統(tǒng)的設(shè)計思路是“積極防御”，這就是在處理小偷和間諜的不同之處了，如果我們在間諜還未開始動作之前，先阻止了,那我們就無法發(fā)現(xiàn)他的后續(xù)行動，這臺終端是阻止了，但是其它終端有可能被繞過了，看似安全了，實(shí)際上，還是非常危險。 “不入虎穴焉得虎子”。但信息外泄報警系統(tǒng)還是會提供阻止策略，但默認(rèn)情況下是不使用的。三、信息外泄報警系統(tǒng)的體系架構(gòu)信息外泄報警系統(tǒng)由客戶端、控制臺、應(yīng)用服務(wù)器和升級服務(wù)器四個部分組成（如圖1）:.升級服務(wù)器：位于第一級，主要是升級間諜軟件特征和應(yīng)用程序，接收攻擊信息和收集的軟件特征，增強(qiáng)系統(tǒng)發(fā)現(xiàn)和處理隱藏風(fēng)險的能力；.應(yīng)用服務(wù)器：位于第二級，主要是查看客戶端的使用情況，并且作為開級服務(wù)器和客戶端之間的數(shù)據(jù)中繼；.控制臺：位于第二級，用于查詢統(tǒng)計竊密信息，管理客戶端；.客戶端：位于第三級，客戶端靜默安裝于需要被感知的計算機(jī)系統(tǒng)，主要是采集間諜軟件訪問敏感文件的行為，實(shí)施反追蹤。

應(yīng)用M控制臺客戶端客戶端局域網(wǎng)因特網(wǎng)四、信息外泄報警系統(tǒng)主要功能4.1、核心功能1.識別2.捕獲對可疑行為進(jìn)行分析，獲取行為信息，并通知管理員3.應(yīng)用M控制臺客戶端客戶端局域網(wǎng)因特網(wǎng)四、信息外泄報警系統(tǒng)主要功能4.1、核心功能1.識別2.捕獲對可疑行為進(jìn)行分析，獲取行為信息，并通知管理員3.追蹤應(yīng)用最新的追蹤與反追蹤技術(shù)，對攻擊者進(jìn)行追蹤、定位與反控制客戶端采用行業(yè)領(lǐng)先的行為判斷及主動防御技術(shù)結(jié)合海量木馬特征庫， 第一時間發(fā)現(xiàn)間諜行為篩選敏感文件記錄間諜程序行為猿息捕獲訪問文件行為識別間諜程存采集行為信息報表統(tǒng)計根據(jù)信息外泄報警系統(tǒng)終端客戶機(jī)提交的感知信息， 由信息外泄報警系統(tǒng)應(yīng)用服務(wù)器對間諜軟件的攻擊信息進(jìn)行自動統(tǒng)計分析，對結(jié)果以報表形式顯示，可以方便直觀的的查看到最近一年，半年內(nèi)，當(dāng)月，部署終端的機(jī)器所攻擊的情況（被攻擊機(jī)器數(shù)，次數(shù)，和被盜的文件所在機(jī)器的路徑），從全局來了解整個的安全態(tài)勢。數(shù)據(jù)ID客戶端ID攻擊信息123123100010001624C:\dciA聯(lián)系人.doc213142200010001625年終總結(jié).doc312312300010001624年終總結(jié)1.d□匚312312400010001624C:\XXX項(xiàng)目、項(xiàng)目人員安排.sis|312312500010001627C: 項(xiàng)目\宓技術(shù)研究報告.doc312312600010001625C:\d",年終總結(jié).doc312312700010001622C:\d0人年終總結(jié).dm客戶端管理信息外泄報警系統(tǒng)作用于對所有客戶端的即時動態(tài)監(jiān)測，客戶端也是所有問題出現(xiàn)的源頭，對客戶端進(jìn)行管理變得非常重要，像系統(tǒng)的操作系統(tǒng)、 ip、網(wǎng)卡等基本信息與每個客戶端的每天的上下線等擴(kuò)展信息，都能為以后一旦事故的發(fā)生提供最直接的查找、追蹤依據(jù)。另外，系統(tǒng)的控制臺還可以對所有客戶

端進(jìn)行分組管理，不論是按原有部門還是新規(guī)則的分組方式，都能為客戶端的管理帶來極大的便捷查詢查詢可分為攻擊信息查詢與客戶端信息查詢兩大塊：.攻擊信息查詢在攻擊信息查詢界面，你可以按日、月來來圖形化展示某日、某月的全部攻擊信息，也能按自定義的關(guān)鍵字來查詢特定的攻擊信息。 每條攻擊信息詳細(xì)記錄了被攻擊的時間，客戶端，主動攻擊的程序及被攻擊的對象等信息。次客rwi到次客rwi到rjjvrr72如■SZSE『■Jim即口口[|Rletdxjv￡L*1nZE-HDDEXE"fecLLn：EL二12S05靛wAlia41252見OCuiKE』J】gHIkciuiTL[Rind。.一■iJiib...v41V.LlzllJ彥6?瞌6利籍心用,訃處.曲口1Z58□0庇6IIFlLcroE*ftHindD...nkdll：QLSIMM■iTiie-..■dl,:工口諄？一工iW. .-.Ji.1in:r>kJai.\dl?■nL詹Ift巾熱物 事更爆前*IT H領(lǐng)如w昆三號一次加Ift-HIij-^11.1..1nl^JI—T-.S強(qiáng)%件 工『訊商血汗匯 ZEi3-n9-?i,lmJoe am看出博加生”:三小.iHlz口 so第力薩23[?oo鋪火具進(jìn)F計玨皿 2JO3-D9-E5L7e5H頊Ii&i士“ 2龍州捫省tt.oe.?aTOC\o"1-5"\h\z/.，「i博T茹- 2KliF1S3k09 鉤火星港--什戈Iinc ZJM-J9-SLT.09 5E火工酎應(yīng)計劃編 3M-DD-aLT.M ST什=進(jìn)育濘刊幼c FOSTSYSLT09 57.客尸端查詢在客戶端信息查詢界面，可以直接根據(jù)IP、MA曲基本信息來查詢定位客戶端；也可以按客戶端每日的上下線時間信息來進(jìn)行查詢，這可以了解到每臺客戶端開關(guān)機(jī)時間，以及各客戶端是否在正常的時間上下線，或在非正常的時間上下線。五、信息外泄報警系統(tǒng)的特性、隱蔽性本系統(tǒng)可利用控制臺來掌控全局，而對于作為信息外泄報警系統(tǒng)感知觸手的客戶端來說，它對于被安裝的用戶和竊密者則是透明的，隱蔽存在，不影響客戶端機(jī)器的正常運(yùn)行，被安裝的用戶和竊密者不會知道本系統(tǒng)的存在。、針對性如果把所有系統(tǒng)對象都列入感知范圍，那相應(yīng)產(chǎn)生的數(shù)據(jù)信息將很龐大，冗雜的數(shù)據(jù)里分析出有效信息的幾率會降低。針對這個問題，系統(tǒng)提供可配置選項(xiàng)，可以對指定的敏感類型的對象進(jìn)行監(jiān)控感知，做到有的放矢，以達(dá)到事半功倍的效果。、穿透性穿透間諜軟件的隱藏方法，跟蹤最終操作，捕獲間諜真實(shí)目的。、準(zhǔn)確性從未發(fā)生竊密事件時的未雨綢繆，到發(fā)生竊密事件后的跟蹤處理，信息外泄報警系統(tǒng)雖未攔截，但所有軌跡信息及行為動作都記錄在案。由此，當(dāng)失竊密事件發(fā)生后，可以明確了解失密文件的相關(guān)信息，為后續(xù)的應(yīng)對、決策提供依據(jù)。六、信息外泄報警系統(tǒng)的優(yōu)勢、現(xiàn)有的防間諜軟件系統(tǒng)目前主要的防間諜軟件系統(tǒng)包括蜜罐系統(tǒng)、殺毒軟件及主動防御。但在實(shí)際應(yīng)用中，蜜罐系統(tǒng)存在著難以大規(guī)模部署和無效信息較多等問題；而殺毒軟件，只能對間諜軟件進(jìn)行查殺，無法記錄被攻擊的情況和丟失的資料的信息；主動防御則規(guī)則較多，使用麻煩，很多用戶都是把主動防御關(guān)閉，且主動防御阻止了問諜軟件的下一步操作，同時也失去了獲取間諜真實(shí)目的的機(jī)會。還有一個問題不容忽視，以上三種系統(tǒng)是在明處，容易被攻擊。由于現(xiàn)階段主要采用的是以上的三種系統(tǒng)進(jìn)行防護(hù)， 導(dǎo)致到攻擊事件天天在發(fā)生，但是我們卻一點(diǎn)也沒有察覺，到底哪里被攻擊了，哪些資料被盜取了，哪里的電腦被控制了，黑客又是來自何方，什么樣的背景，我們都是一無所知。經(jīng)常都是攻擊事件發(fā)生了，我們的蜜罐系統(tǒng)記錄不到，記錄太多太雜，發(fā)現(xiàn)不了，或是被殺毒軟件查殺了，把攻擊事件給捂住了，無法及時發(fā)現(xiàn)。而在攻防的這一特定領(lǐng)域，信息外泄報警系統(tǒng)正好彌補(bǔ)了上述缺陷，從間諜行為的判斷，樣本的抓取，間諜動作的詳細(xì)記錄，整體攻擊信息的統(tǒng)計分析等都有案可查，同時及時的報警、對攻擊信息的統(tǒng)計分析、直觀的攻擊信息報表都可作為制定應(yīng)對措施的決策依據(jù)。、和傳統(tǒng)防間諜軟件進(jìn)行比較系統(tǒng)蜜罐系統(tǒng)殺毒軟件主動防御本產(chǎn)品環(huán)境精心偽裝的陷阱壞境，要求較高環(huán)環(huán)境無要對環(huán)境無要求對環(huán)境當(dāng)求部署根據(jù)不同的安全感脅和用戶特點(diǎn)進(jìn)行精心設(shè)置,不可能大規(guī)模部署直接安裝在終端直接安裝在終端直接安裝在終啊準(zhǔn)確性記錄的敖據(jù)量大,無效數(shù)據(jù)多比較準(zhǔn)確比菽準(zhǔn)確也較準(zhǔn)確攻擊性不具有攻擊性，不能對入侵者進(jìn)行反擊能殺死已知間諜軟件能阻止己知間諜軟件能對入侵者進(jìn)行追蹤信息統(tǒng)計無無無有，可以統(tǒng)計分析攻擊情況、信息外泄報警系統(tǒng)的優(yōu)勢應(yīng)對當(dāng)前網(wǎng)絡(luò)間諜活動，使用信息外泄報警系統(tǒng)，相對于其它三種方式，可以達(dá)到更好的效果。本系統(tǒng)側(cè)重于對網(wǎng)絡(luò)間諜活動的監(jiān)控，較為及時、全面地掌握敵對勢力對我國信息安全的實(shí)際威脅和危害；能捕獲國際上各種間諜軟件的最新樣本；運(yùn)用反植入技術(shù)能發(fā)現(xiàn)網(wǎng)絡(luò)間諜最后一跳的IP地址，并為我們提供了反控對方電腦的機(jī)會；在充分部署的條件下 ,可以得到具有全局性的信息安全態(tài)勢分析數(shù)據(jù)。七、產(chǎn)品的實(shí)際應(yīng)用與適用范圍、產(chǎn)品的實(shí)際應(yīng)用可以把信息外泄報警系統(tǒng)布置于信息保密性比較高的網(wǎng)絡(luò)中，用于發(fā)現(xiàn)網(wǎng)絡(luò)中終端被間諜攻擊，盜取