信息外泄报警系统产品白皮书.doc

全球眼网络信息外泄报警系统白皮书全球眼信息外泄报警系统白皮书目录一、网络安全背景4二、信息外泄报警系统设计思想4三、信息外泄报警系统的体系架构5四、信息外泄报警系统主要功能64.1、核心功能64.2、报表统计74.3、客户端管理74.4、查询8五、信息外泄报警系统的特性95.1、隐蔽性95.2、针对性95.3、穿透性95.4、准确性9六、信息外泄报警系统的优势106.1、现有的防间谍软件系统106.2、和传统防间谍软件进行比较116.3、信息外泄报警系统的优势11七、产品的实际应用与适用范围127.1、产品的实际应用127.2、产品的适应范围12一、网络安全背景在当前复杂的国际形势和国际网络安全形势下，网络由于具有全球性、隐蔽性、灵活性、高速性和便捷性等特点，因此被越来越多的组织和个人用于开展间谍活动。区别于传统的间谍活动，这种新型的网络间谍活动有以下两个特征：首先，计算机网络间谍隐蔽性好、不易暴露。用计算机网络窃取情报几乎不留任何痕迹，通常也不会对目标计算机网络造成损害，因此很难被发现和分辨出来。其次，计算机网络间谍工作效率高、威胁大，一旦计算机网络间谍侵入重要的计算机系统，特别是获得访问特权，他们就能够以此为基地，源源不断地获得大量的高度机密的信息，而受害者一方往往还不清楚自己所受的损失。计算机网络间谍受空间、时间限制小，工作十分灵活。国际互联网遍布全球，可以从网络的任一终端甚至通过公用电话进入目标计算机网络。从理论上讲，计算机网络间谍可以从世界上任何一个有计算机网络的地方尝试进入敌方计算机网络。如今，计算机及其网络以极快的速度渗透到社会的各个部门，越发达的国家越依赖于计算机网络。而计算机网络恰恰是机密最集中的地方。随着计算机网络的广泛使用，大量机密信息在计算机网络中存储或传输。网络安全的重要性可见一斑。二、信息外泄报警系统设计思想信息时代，计算机网络为间谍提供了快速、高效的手段，同时也引发了一场“反间谍”手段的革命。信息外泄报警系统正是由此而设计。根据积极防御的战略思想，信息外泄报警系统采用“诱敌深入”、“人不犯我我不犯人，人若犯我我必犯人”的方针。针对网络间谍活动的特点，运用了一系列的监视、追踪和控制的技术与手段，只要间谍活动的触角伸过来，就能使他行踪毕露，显出原形。信息外泄报警系统的战术策略是发现但不拦截，秘密收集对方间谍行为特征并实施反跟踪；采用“将计就计”，“放长线钓大鱼”的办法，使网络攻防战中的“敌在暗我在明”的被动地位调转成“我在暗他在明”的主动地位。l 提问：信息外泄报警系统好像不阻止间谍软件运行？l 回答：信息外泄报警系统的设计思路是“积极防御”，这就是在处理小偷和间谍的不同之处了，如果我们在间谍还未开始动作之前，先阻止了，那我们就无法发现他的后续行动，这台终端是阻止了，但是其它终端有可能被绕过了，看似安全了，实际上，还是非常危险。 “不入虎穴焉得虎子”。但信息外泄报警系统还是会提供阻止策略，但默认情况下是不使用的。三、信息外泄报警系统的体系架构信息外泄报警系统由客户端、控制台、应用服务器和升级服务器四个部分组成（如图1）：1. 升级服务器：位于第一级，主要是升级间谍软件特征和应用程序，接收攻击信息和收集的软件特征，增强系统发现和处理隐藏风险的能力；2. 应用服务器：位于第二级，主要是查看客户端的使用情况，并且作为升级服务器和客户端之间的数据中继；3. 控制台：位于第二级，用于查询统计窃密信息，管理客户端；4. 客户端：位于第三级，客户端静默安装于需要被感知的计算机系统，主要是采集间谍软件访问敏感文件的行为，实施反追踪。四、信息外泄报警系统主要功能1234.1、核心功能1. 识别采用行业领先的行为判断及主动防御技术结合海量木马特征库，第一时间发现间谍行为。2. 捕获对可疑行为进行分析，获取行为信息，并通知管理员。3. 追踪应用最新的追踪与反追踪技术，对攻击者进行追踪、定位与反控制。4.2、报表统计根据信息外泄报警系统终端客户机提交的感知信息，由信息外泄报警系统应用服务器对间谍软件的攻击信息进行自动统计分析，对结果以报表形式显示，可以方便直观的的查看到最近一年，半年内，当月，部署终端的机器所攻击的情况（被攻击机器数，次数，和被盗的文件所在机器的路径），从全局来了解整个的安全态势。4.3、客户端管理信息外泄报警系统作用于对所有客户端的即时动态监测，客户端也是所有问题出现的源头，对客户端进行管理变得非常重要，像系统的操作系统、IP、网卡 等基本信息与每个客户端的每天的上下线等扩展信息，都能为以后一旦事故的发生提供最直接的查找、追踪依据。另外，系统的控制台还可以对所有客户端进行分组管理，不论是按原有部门还是新规则的分组方式，都能为客户端的管理带来极大的便捷。4.4、查询查询可分为攻击信息查询与客户端信息查询两大块：1. 攻击信息查询在攻击信息查询界面，你可以按日、月来来图形化展示某日、某月的全部攻击信息，也能按自定义的关键字来查询特定的攻击信息。每条攻击信息详细记录了被攻击的时间，客户端，主动攻击的程序及被攻击的对象等信息。2. 客户端查询在客户端信息查询界面，可以直接根据IP、MAC等基本信息来查询定位客户端；也可以按客户端每日的上下线时间信息来进行查询，这可以了解到每台客户端开关机时间，以及各客户端是否在正常的时间上下线，或在非正常的时间上下线。五、信息外泄报警系统的特性5.1、隐蔽性本系统可利用控制台来掌控全局，而对于作为信息外泄报警系统感知触手的客户端来说，它对于被安装的用户和窃密者则是透明的，隐蔽存在，不影响客户端机器的正常运行，被安装的用户和窃密者不会知道本系统的存在。5.2、针对性如果把所有系统对象都列入感知范围，那相应产生的数据信息将很庞大，冗杂的数据里分析出有效信息的几率会降低。针对这个问题，系统提供可配置选项，可以对指定的敏感类型的对象进行监控感知，做到有的放矢，以达到事半功倍的效果。5.3、穿透性穿透间谍软件的隐藏方法，跟踪最终操作，捕获间谍真实目的。5.4、准确性从未发生窃密事件时的未雨绸缪，到发生窃密事件后的跟踪处理，信息外泄报警系统虽未拦截，但所有轨迹信息及行为动作都记录在案。由此，当失窃密事件发生后，可以明确了解失密文件的相关信息 ，为后续的应对、决策提供依据。六、信息外泄报警系统的优势46.1、现有的防间谍软件系统目前主要的防间谍软件系统包括蜜罐系统、杀毒软件及主动防御。但在实际应用中，蜜罐系统存在着难以大规模部署和无效信息较多等问题；而杀毒软件，只能对间谍软件进行查杀，无法记录被攻击的情况和丢失的资料的信息；主动防御则规则较多，使用麻烦，很多用户都是把主动防御关闭，且主动防御阻止了间谍软件的下一步操作，同时也失去了获取间谍真实目的的机会。还有一个问题不容忽视，以上三种系统是在明处，容易被攻击。由于现阶段主要采用的是以上的三种系统进行防护，导致到攻击事件天天在发生，但是我们却一点也没有察觉，到底哪里被攻击了，哪些资料被盗取了，哪里的电脑被控制了，黑客又是来自何方，什么样的背景，我们都是一无所知。经常都是攻击事件发生了，我们的蜜罐系统记录不到，记录太多太杂，发现不了，或是被杀毒软件查杀了，把攻击事件给捂住了，无法及时发现。而在攻防的这一特定领域，信息外泄报警系统正好弥补了上述缺陷，从间谍行为的判断，样本的抓取，间谍动作的详细记录，整体攻击信息的统计分析等都有案可查，同时及时的报警、对攻击信息的统计分析、直观的攻击信息报表都可作为制定应对措施的决策依据。6.2、和传统防间谍软件进行比较6.3、信息外泄报警系统的优势应对当前网络间谍活动，使用信息外泄报警系统，相对于其它三种方式，可以达到更好的效果。1. 本系统侧重于对网络间谍活动的监控，较为及时、全面地掌握敌对势力对我国信息安全的实际威胁和危害；2. 能捕获国际上各种间谍软件的最新样本；3. 运用反植入技术能发现网络间谍最后一跳的IP地址，并为我们提供了反控对方电脑的机会；4. 在充分部署的条件下,可以得到具有全局性的信息安全态势分析数据。七、产品的实际应用与适用范围7.1、产品的实际应用可以把信息外泄报警系统布置于信息保密性比较高的网络中，用于发现网络中终端被间谍攻击，盗取文件的情况，以了解以下几种情况：1. 攻击方对被攻击方感兴趣的内容和目标。2. 失窃密事件发生后，被攻击的所属部门、组织、单位是否有发觉、及时补救，还是发现但未采取有效措施或隐瞒不上报。3. 对攻击方采用的攻击技术和工具的捕获。4. 及时发现被第三方组织，