信息外泄報(bào)警系統(tǒng)產(chǎn)品白皮書

全球眼信外泄報(bào)

警

系

統(tǒng)

白皮書目錄TOC\o"1-5"\h\z\o"CurrentDocument"一、網(wǎng)絡(luò)安全背景 3\o"CurrentDocument"二、信息外泄報(bào)警系統(tǒng)設(shè)計(jì)思想 3\o"CurrentDocument"三、信息外泄報(bào)警系統(tǒng)的體系架構(gòu) 4四、信息外泄報(bào)警系統(tǒng)主要功能 5、核心功能 5\o"CurrentDocument"、報(bào)表統(tǒng)計(jì) 6\o"CurrentDocument"、客戶端管理 6\o"CurrentDocument"、查詢 7\o"CurrentDocument"五、信息外泄報(bào)警系統(tǒng)的特性 8\o"CurrentDocument"、隱蔽性 8\o"CurrentDocument"、針對(duì)性 8\o"CurrentDocument"、穿透性 8\o"CurrentDocument"、準(zhǔn)確性 8\o"CurrentDocument"六、信息外泄報(bào)警系統(tǒng)的優(yōu)勢(shì) 8\o"CurrentDocument"、現(xiàn)有的防間諜軟件系統(tǒng) 8\o"CurrentDocument"、和傳統(tǒng)防間諜軟件進(jìn)行比較 9\o"CurrentDocument"、信息外泄報(bào)警系統(tǒng)的優(yōu)勢(shì) 10\o"CurrentDocument"七、產(chǎn)品的實(shí)際應(yīng)用與適用范圍 10\o"CurrentDocument"、產(chǎn)品的實(shí)際應(yīng)用 10\o"CurrentDocument"、產(chǎn)品的適應(yīng)范圍 10一、網(wǎng)絡(luò)安全背景在當(dāng)前復(fù)雜的國(guó)際形勢(shì)和國(guó)際網(wǎng)絡(luò)安全形勢(shì)下，網(wǎng)絡(luò)由于具有全球性、隱蔽性、靈活性、高速性和便捷性等特點(diǎn)，因此被越來(lái)越多的組織和個(gè)人用于開展問(wèn)諜活動(dòng)。區(qū)別于傳統(tǒng)的間諜活動(dòng)，這種新型的網(wǎng)絡(luò)間諜活動(dòng)有以下兩個(gè)特征：首先，計(jì)算機(jī)網(wǎng)絡(luò)間諜隱蔽性好、不易暴露。用計(jì)算機(jī)網(wǎng)絡(luò)竊取情報(bào)幾乎不留任何痕跡，通常也不會(huì)對(duì)目標(biāo)計(jì)算機(jī)網(wǎng)絡(luò)造成損害，因此很難被發(fā)現(xiàn)和分辨出來(lái)。其次，計(jì)算機(jī)網(wǎng)絡(luò)間諜工作效率高、威脅大，一旦計(jì)算機(jī)網(wǎng)絡(luò)間諜侵入重要的計(jì)算機(jī)系統(tǒng)，特別是獲得訪問(wèn)特權(quán)，他們就能夠以此為基地，源源不斷地獲得大量的高度機(jī)密的信息，而受害者一方往往還不清楚自己所受的損失。計(jì)算機(jī)網(wǎng)絡(luò)間諜受空間、時(shí)間限制小，工作十分靈活。國(guó)際互聯(lián)網(wǎng)遍布全球，可以從網(wǎng)絡(luò)的任一終端甚至通過(guò)公用電話進(jìn)入目標(biāo)計(jì)算機(jī)網(wǎng)絡(luò)。 從理論上講，計(jì)算機(jī)網(wǎng)絡(luò)問(wèn)諜可以從世界上任何一個(gè)有計(jì)算機(jī)網(wǎng)絡(luò)的地方嘗試進(jìn)入敵方計(jì)算機(jī)網(wǎng)絡(luò)。如今，計(jì)算機(jī)及其網(wǎng)絡(luò)以極快的速度滲透到社會(huì)的各個(gè)部門，越發(fā)達(dá)的國(guó)家越依賴于計(jì)算機(jī)網(wǎng)絡(luò)。而計(jì)算機(jī)網(wǎng)絡(luò)恰恰是機(jī)密最集中的地方。隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛使用，大量機(jī)密信息在計(jì)算機(jī)網(wǎng)絡(luò)中存儲(chǔ)或傳輸。網(wǎng)絡(luò)安全的重要性可見一斑。二、信息外泄報(bào)警系統(tǒng)設(shè)計(jì)思想信息時(shí)代，計(jì)算機(jī)網(wǎng)絡(luò)為間諜提供了快速、高效的手段，同時(shí)也引發(fā)了一場(chǎng)“反間諜”手段的革命。信息外泄報(bào)警系統(tǒng)正是由此而設(shè)計(jì)。根據(jù)積極防御的戰(zhàn)略思想，信息外泄報(bào)警系統(tǒng)采用“誘敵深入”、“人不犯我我不犯人，人若犯我我必犯人”的方針。針對(duì)網(wǎng)絡(luò)間諜活動(dòng)的特點(diǎn)，運(yùn)用了一系列的監(jiān)視、追蹤和控制的技術(shù)與手段，只要間諜活動(dòng)的觸角伸過(guò)來(lái)，就能使他行蹤畢露，顯出原形。信息外泄報(bào)警系統(tǒng)的戰(zhàn)術(shù)策略是發(fā)現(xiàn)但不攔截，秘密收集對(duì)方間諜行為特征并實(shí)施反跟蹤；采用“將計(jì)就計(jì)”，“放長(zhǎng)線釣大魚”的辦法，使網(wǎng)絡(luò)攻防戰(zhàn)中的“敵在暗我在明”的被動(dòng)地位調(diào)轉(zhuǎn)成“我在暗他在明”的主動(dòng)地位。上提問(wèn)：信息外泄報(bào)警系統(tǒng)好像不阻止間諜軟件運(yùn)行？4回答：信息外泄報(bào)警系統(tǒng)的設(shè)計(jì)思路是“積極防御”，這就是在處理小偷和間諜的不同之處了，如果我們?cè)陂g諜還未開始動(dòng)作之前，先阻止了,那我們就無(wú)法發(fā)現(xiàn)他的后續(xù)行動(dòng)，這臺(tái)終端是阻止了，但是其它終端有可能被繞過(guò)了，看似安全了，實(shí)際上，還是非常危險(xiǎn)。 “不入虎穴焉得虎子”。但信息外泄報(bào)警系統(tǒng)還是會(huì)提供阻止策略，但默認(rèn)情況下是不使用的。三、信息外泄報(bào)警系統(tǒng)的體系架構(gòu)信息外泄報(bào)警系統(tǒng)由客戶端、控制臺(tái)、應(yīng)用服務(wù)器和升級(jí)服務(wù)器四個(gè)部分組成（如圖1）:.升級(jí)服務(wù)器：位于第一級(jí)，主要是升級(jí)間諜軟件特征和應(yīng)用程序，接收攻擊信息和收集的軟件特征，增強(qiáng)系統(tǒng)發(fā)現(xiàn)和處理隱藏風(fēng)險(xiǎn)的能力；.應(yīng)用服務(wù)器：位于第二級(jí)，主要是查看客戶端的使用情況，并且作為開級(jí)服務(wù)器和客戶端之間的數(shù)據(jù)中繼；.控制臺(tái)：位于第二級(jí)，用于查詢統(tǒng)計(jì)竊密信息，管理客戶端；.客戶端：位于第三級(jí)，客戶端靜默安裝于需要被感知的計(jì)算機(jī)系統(tǒng)，主要是采集間諜軟件訪問(wèn)敏感文件的行為，實(shí)施反追蹤。

應(yīng)用M控制臺(tái)客戶端客戶端局域網(wǎng)因特網(wǎng)四、信息外泄報(bào)警系統(tǒng)主要功能4.1、核心功能1.識(shí)別2.捕獲對(duì)可疑行為進(jìn)行分析，獲取行為信息，并通知管理員3.應(yīng)用M控制臺(tái)客戶端客戶端局域網(wǎng)因特網(wǎng)四、信息外泄報(bào)警系統(tǒng)主要功能4.1、核心功能1.識(shí)別2.捕獲對(duì)可疑行為進(jìn)行分析，獲取行為信息，并通知管理員3.追蹤應(yīng)用最新的追蹤與反追蹤技術(shù)，對(duì)攻擊者進(jìn)行追蹤、定位與反控制客戶端采用行業(yè)領(lǐng)先的行為判斷及主動(dòng)防御技術(shù)結(jié)合海量木馬特征庫(kù)， 第一時(shí)間發(fā)現(xiàn)間諜行為篩選敏感文件記錄間諜程序行為猿息捕獲訪問(wèn)文件行為識(shí)別間諜程存采集行為信息報(bào)表統(tǒng)計(jì)根據(jù)信息外泄報(bào)警系統(tǒng)終端客戶機(jī)提交的感知信息， 由信息外泄報(bào)警系統(tǒng)應(yīng)用服務(wù)器對(duì)間諜軟件的攻擊信息進(jìn)行自動(dòng)統(tǒng)計(jì)分析，對(duì)結(jié)果以報(bào)表形式顯示，可以方便直觀的的查看到最近一年，半年內(nèi)，當(dāng)月，部署終端的機(jī)器所攻擊的情況（被攻擊機(jī)器數(shù)，次數(shù)，和被盜的文件所在機(jī)器的路徑），從全局來(lái)了解整個(gè)的安全態(tài)勢(shì)。數(shù)據(jù)ID客戶端ID攻擊信息123123100010001624C:\dciA聯(lián)系人.doc213142200010001625年終總結(jié).doc312312300010001624年終總結(jié)1.d□匚312312400010001624C:\XXX項(xiàng)目、項(xiàng)目人員安排.sis|312312500010001627C: 項(xiàng)目\宓技術(shù)研究報(bào)告.doc312312600010001625C:\d",年終總結(jié).doc312312700010001622C:\d0人年終總結(jié).dm客戶端管理信息外泄報(bào)警系統(tǒng)作用于對(duì)所有客戶端的即時(shí)動(dòng)態(tài)監(jiān)測(cè)，客戶端也是所有問(wèn)題出現(xiàn)的源頭，對(duì)客戶端進(jìn)行管理變得非常重要，像系統(tǒng)的操作系統(tǒng)、 ip、網(wǎng)卡等基本信息與每個(gè)客戶端的每天的上下線等擴(kuò)展信息，都能為以后一旦事故的發(fā)生提供最直接的查找、追蹤依據(jù)。另外，系統(tǒng)的控制臺(tái)還可以對(duì)所有客戶

端進(jìn)行分組管理，不論是按原有部門還是新規(guī)則的分組方式，都能為客戶端的管理帶來(lái)極大的便捷查詢查詢可分為攻擊信息查詢與客戶端信息查詢兩大塊：.攻擊信息查詢?cè)诠粜畔⒉樵兘缑妫憧梢园慈?、月?lái)來(lái)圖形化展示某日、某月的全部攻擊信息，也能按自定義的關(guān)鍵字來(lái)查詢特定的攻擊信息。 每條攻擊信息詳細(xì)記錄了被攻擊的時(shí)間，客戶端，主動(dòng)攻擊的程序及被攻擊的對(duì)象等信息。次客rwi到次客rwi到rjjvrr72如■SZSE『■Jim即口口[|Rletdxjv￡L*1nZE-HDDEXE"fecLLn：EL二12S05靛wAlia41252見OCuiKE』J】gHIkciuiTL[Rind。.一■iJiib...v41V.LlzllJ彥6?瞌6利籍心用,訃處.曲口1Z58□0庇6IIFlLcroE*ftHindD...nkdll：QLSIMM■iTiie-..■dl,:工口諄？一工iW. .-.Ji.1in:r>kJai.\dl?■nL詹Ift巾熱物 事更爆前*IT H領(lǐng)如w昆三號(hào)一次加Ift-HIij-^11.1..1nl^JI—T-.S強(qiáng)%件 工『訊商血汗匯 ZEi3-n9-?i,lmJoe am看出博加生”:三小.iHlz口 so第力薩23[?oo鋪火具進(jìn)F計(jì)玨皿 2JO3-D9-E5L7e5H頊Ii&i士“ 2龍州捫省tt.oe.?aTOC\o"1-5"\h\z/.，「i博T茹- 2KliF1S3k09 鉤火星港--什戈Iinc ZJM-J9-SLT.09 5E火工酎應(yīng)計(jì)劃編 3M-DD-aLT.M ST什=進(jìn)育濘刊幼c FOSTSYSLT09 57.客尸端查詢?cè)诳蛻舳诵畔⒉樵兘缑?，可以直接根?jù)IP、MA曲基本信息來(lái)查詢定位客戶端；也可以按客戶端每日的上下線時(shí)間信息來(lái)進(jìn)行查詢，這可以了解到每臺(tái)客戶端開關(guān)機(jī)時(shí)間，以及各客戶端是否在正常的時(shí)間上下線，或在非正常的時(shí)間上下線。五、信息外泄報(bào)警系統(tǒng)的特性、隱蔽性本系統(tǒng)可利用控制臺(tái)來(lái)掌控全局，而對(duì)于作為信息外泄報(bào)警系統(tǒng)感知觸手的客戶端來(lái)說(shuō)，它對(duì)于被安裝的用戶和竊密者則是透明的，隱蔽存在，不影響客戶端機(jī)器的正常運(yùn)行，被安裝的用戶和竊密者不會(huì)知道本系統(tǒng)的存在。、針對(duì)性如果把所有系統(tǒng)對(duì)象都列入感知范圍，那相應(yīng)產(chǎn)生的數(shù)據(jù)信息將很龐大，冗雜的數(shù)據(jù)里分析出有效信息的幾率會(huì)降低。針對(duì)這個(gè)問(wèn)題，系統(tǒng)提供可配置選項(xiàng)，可以對(duì)指定的敏感類型的對(duì)象進(jìn)行監(jiān)控感知，做到有的放矢，以達(dá)到事半功倍的效果。、穿透性穿透間諜軟件的隱藏方法，跟蹤最終操作，捕獲間諜真實(shí)目的。、準(zhǔn)確性從未發(fā)生竊密事件時(shí)的未雨綢繆，到發(fā)生竊密事件后的跟蹤處理，信息外泄報(bào)警系統(tǒng)雖未攔截，但所有軌跡信息及行為動(dòng)作都記錄在案。由此，當(dāng)失竊密事件發(fā)生后，可以明確了解失密文件的相關(guān)信息，為后續(xù)的應(yīng)對(duì)、決策提供依據(jù)。六、信息外泄報(bào)警系統(tǒng)的優(yōu)勢(shì)、現(xiàn)有的防間諜軟件系統(tǒng)目前主要的防間諜軟件系統(tǒng)包括蜜罐系統(tǒng)、殺毒軟件及主動(dòng)防御。但在實(shí)際應(yīng)用中，蜜罐系統(tǒng)存在著難以大規(guī)模部署和無(wú)效信息較多等問(wèn)題；而殺毒軟件，只能對(duì)間諜軟件進(jìn)行查殺，無(wú)法記錄被攻擊的情況和丟失的資料的信息；主動(dòng)防御則規(guī)則較多，使用麻煩，很多用戶都是把主動(dòng)防御關(guān)閉，且主動(dòng)防御阻止了問(wèn)諜軟件的下一步操作，同時(shí)也失去了獲取間諜真實(shí)目的的機(jī)會(huì)。還有一個(gè)問(wèn)題不容忽視，以上三種系統(tǒng)是在明處，容易被攻擊。由于現(xiàn)階段主要采用的是以上的三種系統(tǒng)進(jìn)行防護(hù)， 導(dǎo)致到攻擊事件天天在發(fā)生，但是我們卻一點(diǎn)也沒(méi)有察覺(jué)，到底哪里被攻擊了，哪些資料被盜取了，哪里的電腦被控制了，黑客又是來(lái)自何方，什么樣的背景，我們都是一無(wú)所知。經(jīng)常都是攻擊事件發(fā)生了，我們的蜜罐系統(tǒng)記錄不到，記錄太多太雜，發(fā)現(xiàn)不了，或是被殺毒軟件查殺了，把攻擊事件給捂住了，無(wú)法及時(shí)發(fā)現(xiàn)。而在攻防的這一特定領(lǐng)域，信息外泄報(bào)警系統(tǒng)正好彌補(bǔ)了上述缺陷，從間諜行為的判斷，樣本的抓取，間諜動(dòng)作的詳細(xì)記錄，整體攻擊信息的統(tǒng)計(jì)分析等都有案可查，同時(shí)及時(shí)的報(bào)警、對(duì)攻擊信息的統(tǒng)計(jì)分析、直觀的攻擊信息報(bào)表都可作為制定應(yīng)對(duì)措施的決策依據(jù)。、和傳統(tǒng)防間諜軟件進(jìn)行比較系統(tǒng)蜜罐系統(tǒng)殺毒軟件主動(dòng)防御本產(chǎn)品環(huán)境精心偽裝的陷阱壞境，要求較高環(huán)環(huán)境無(wú)要對(duì)環(huán)境無(wú)要求對(duì)環(huán)境當(dāng)求部署根據(jù)不同的安全感脅和用戶特點(diǎn)進(jìn)行精心設(shè)置,不可能大規(guī)模部署直接安裝在終端直接安裝在終端直接安裝在終啊準(zhǔn)確性記錄的敖據(jù)量大,無(wú)效數(shù)據(jù)多比較準(zhǔn)確比菽準(zhǔn)確也較準(zhǔn)確攻擊性不具有攻擊性，不能對(duì)入侵者進(jìn)行反擊能殺死已知間諜軟件能阻止己知間諜軟件能對(duì)入侵者進(jìn)行追蹤信息統(tǒng)計(jì)無(wú)無(wú)無(wú)有，可以統(tǒng)計(jì)分析攻擊情況、信息外泄報(bào)警系統(tǒng)的優(yōu)勢(shì)應(yīng)對(duì)當(dāng)前網(wǎng)絡(luò)間諜活動(dòng)，使用信息外泄報(bào)警系統(tǒng)，相對(duì)于其它三種方式，可以達(dá)到更好的效果。本系統(tǒng)側(cè)重于對(duì)網(wǎng)絡(luò)間諜活動(dòng)的監(jiān)控，較為及時(shí)、全面地掌握敵對(duì)勢(shì)力對(duì)我國(guó)信息安全的實(shí)際威脅和危害；能捕獲國(guó)際上各種間諜軟件的最新樣本；運(yùn)用反植入技術(shù)能發(fā)現(xiàn)網(wǎng)絡(luò)間諜最后一跳的IP地址，并為我們提供了反控對(duì)方電腦的機(jī)會(huì)；在充分部署的條件下 ,可以得到具有全局性的信息安全態(tài)勢(shì)分析數(shù)據(jù)。七、產(chǎn)品的實(shí)際應(yīng)用與適用范圍、產(chǎn)品的實(shí)際應(yīng)用可以把信息外泄報(bào)警系統(tǒng)布置于信息保密性比較高的網(wǎng)絡(luò)中，用于發(fā)現(xiàn)網(wǎng)絡(luò)中終端被間諜攻擊，盜取