【文章內(nèi)容簡(jiǎn)介】 容易想到幾種典型的信息安全泄露途徑：軟硬 件故障、病毒與黑客入侵等等。再有，就是企業(yè)防火墻 失效以致安全設(shè)置形同虛設(shè)，或者黑客利用企業(yè)安全漏洞訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)或數(shù)據(jù)資源，進(jìn)行刪除、復(fù)制甚至毀壞數(shù)據(jù)的活動(dòng)。 但另一方面，企業(yè)內(nèi)部的敏感信息也可能被內(nèi)部人員非授權(quán)泄露或刪除。目前，通過(guò)外發(fā)郵件、 BBS、博客等導(dǎo)致內(nèi)部機(jī)密信息泄漏的現(xiàn)象越來(lái)越普遍。企業(yè) /機(jī)構(gòu)賴以生存的機(jī)密信息，很可能會(huì)被 在職甚至離職員工有意或無(wú)意地泄露出去。 陸繼周也進(jìn)一步強(qiáng)調(diào)，再嚴(yán)密的防護(hù)體系也要依賴于操作、使用它的人，人有意識(shí)或無(wú)意識(shí)的各種行為絕對(duì)是安全的重大隱患之一。在硬件等因素完全 “ 過(guò)硬 ”的情況下，信息不可能自行外泄，必然是有人的行為不當(dāng)導(dǎo)致信息暴露，或有意外泄。當(dāng)我們部署了完備的安全軟硬件，再采取正確的上作行為，就可以把各類(lèi)威脅帶來(lái)的危害降至最低 。反之，錯(cuò)誤、危險(xiǎn)的上網(wǎng)行為會(huì)讓任何安全措施都形同虛設(shè)。小楊泄密事件就是一個(gè)最簡(jiǎn)單的例子。 因此，陸繼周指出，在安全體系建設(shè)過(guò)程中，除了要對(duì) “事 ”，更要對(duì)主 體 —— “人 ”進(jìn)行管理和防范。所以，可以肯定的說(shuō)，要做到有效地保密，保證軟硬件安全是必須的，更重要的是對(duì)一切行為主體 “人 ”的管理。 上網(wǎng)行為管理難點(diǎn)及現(xiàn)狀 陸繼周認(rèn)為，如果要在互聯(lián)網(wǎng)上加強(qiáng)對(duì)人的管理，關(guān)注人的行為安全，發(fā)現(xiàn)潛在的主體行為隱患，可以從人的網(wǎng)上行為入手。因?yàn)榛ヂ?lián)網(wǎng)行為已經(jīng)成為了人的第二行為。就像在著名的游戲《第二人生》中那樣，任何人的真實(shí)行為在互聯(lián)網(wǎng)中都會(huì)有這樣或者是那樣的體現(xiàn)。比如說(shuō)，人們想娛樂(lè)，就可以去看網(wǎng)絡(luò)視頻、 P2P 下載電影、聊天 。人們想學(xué)習(xí)，就可以去瀏覽新聞，等等。 但 是，就目前的互聯(lián)網(wǎng)使用情況來(lái)說(shuō)，對(duì) “人 ”的管理并不能有效實(shí)施。主要表現(xiàn)在我們對(duì)互聯(lián)網(wǎng)行為主體 “人 ”的識(shí)別并不清晰。以大多數(shù)企業(yè)的情況為例，員工使用或上傳哪些敏感資料，博客、聊天、外發(fā)郵件等當(dāng)中是否包含涉及公司機(jī)密或重要資料和信息等，企業(yè)都無(wú)從知曉，不僅不能有效防范，出現(xiàn)問(wèn)題時(shí)也很難追究到個(gè)人。 對(duì)此，陸繼周解釋了主要原因：第一，我們通常采用 IP地址來(lái)標(biāo)識(shí)個(gè)人。在企業(yè)內(nèi)部，當(dāng)需要觀察一個(gè)人的上網(wǎng)行為時(shí)，只能看到 IP 地址，無(wú)法立即定位到個(gè)人。第二，我們均采用地址轉(zhuǎn)換技術(shù) IPV4，接入外網(wǎng)時(shí)，數(shù)據(jù)是暫時(shí)的， 無(wú)法保留和記錄下來(lái)，因此無(wú)法將內(nèi)外部地址連接起來(lái)。第三，很多企業(yè)沒(méi)有專(zhuān)門(mén)的互聯(lián)網(wǎng)外發(fā)認(rèn)證體系。因此，互聯(lián)網(wǎng)出口成為無(wú)限制通道，內(nèi)部主體可以自由訪問(wèn)各種各樣的外網(wǎng)，企業(yè)對(duì)于行為主體人的管控也就無(wú)法實(shí)現(xiàn)。舉個(gè)簡(jiǎn)單的例子，任何外部的人都可以來(lái)公司內(nèi)部上網(wǎng)，這就可能帶來(lái)相應(yīng)的安全隱患，比如病毒傳播、蔓延甚至是關(guān)鍵信息外泄等。 正因?yàn)槿绱?，?shù)據(jù)丟失保護(hù) (DLP)這個(gè)概念越來(lái)越熱。現(xiàn)在，很多企業(yè)、機(jī)構(gòu)已經(jīng)意識(shí)到了核心信息的價(jià)值。但是，如果網(wǎng)絡(luò)中外發(fā)的文字沒(méi)有記錄，文件傳送、下載等都沒(méi)有記錄，就根本無(wú)法 “阻斷 ”，由 此將帶來(lái)法律風(fēng)險(xiǎn)和核心信息外泄。很多人通過(guò)外發(fā)郵件、 BBS發(fā)帖、博客記錄，就有可能無(wú)意識(shí)地把公司的核心機(jī)密以及最新動(dòng)向泄露出去。因此， DLP在互聯(lián)網(wǎng)管理中也越來(lái)越重要。 掌控網(wǎng)絡(luò)行為之道 如何管理 “人 “，實(shí)現(xiàn)網(wǎng)上信息保密呢 ?陸繼周結(jié)合自身多年從業(yè)經(jīng)驗(yàn)，為我們提供了相 關(guān)建議。他介紹說(shuō)，目前市場(chǎng)上有種上網(wǎng)行為管理產(chǎn)品，可以實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)主體及行為的全面管理。該產(chǎn)品主要部署在互聯(lián)網(wǎng)出口處，可以幫助企業(yè)對(duì)內(nèi)部員工的上網(wǎng)行為進(jìn)行控制和管理，解決因接入互聯(lián)網(wǎng)而引發(fā)的網(wǎng)頁(yè)訪問(wèn)不合規(guī) (例如，上班時(shí)間訪問(wèn)低俗類(lèi)網(wǎng)站 )、網(wǎng)絡(luò)應(yīng)用不合規(guī) (例如，上班時(shí)間觀看網(wǎng)絡(luò)視頻 )、帶寬資源濫用 (例如，上班時(shí)間 P2P 下載電影 )、內(nèi)容審計(jì)不完全 (例如，博客泄密 )等問(wèn)題，從而幫助企業(yè)提升工作效率、優(yōu)化帶寬使用、加強(qiáng)信息安全、降低安全威脅、規(guī)避法律風(fēng)險(xiǎn)、保護(hù) IT 投資。 以網(wǎng)康科技上網(wǎng)行為管理產(chǎn)品為例，它可以實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)行為主體 “人 ”的全面管理。具體體現(xiàn)在以下三個(gè)方面： 第一，系統(tǒng)不是采用 IP 地址標(biāo)識(shí)個(gè)人的方法，而是對(duì)上網(wǎng)主體實(shí)行實(shí)名制管理。這樣做的好處是顯而易見(jiàn)的，一方面從技術(shù)上保障了責(zé)任定位到人，使所有外發(fā)言論有史可查，有據(jù)可依 。另 一方面，有了技術(shù)和體制上的管理，也能對(duì)內(nèi)部用戶的上網(wǎng)行為產(chǎn)生一定的威懾，使其在互聯(lián)網(wǎng)訪問(wèn)及言論發(fā)表過(guò)程中注意自己行為的后果，減少不當(dāng)言行，最終養(yǎng)成健康文明的上網(wǎng)習(xí)慣。 第二，通過(guò)用戶監(jiān)控、行為監(jiān)控、帶寬監(jiān)控、運(yùn)行監(jiān)控、攻擊監(jiān)控等系統(tǒng)，企業(yè)的網(wǎng)絡(luò)管理人員能夠 “洞悉 ”企業(yè)在互聯(lián)網(wǎng)使用過(guò)程中存在的問(wèn)題和隱患。同時(shí)，通過(guò)網(wǎng)頁(yè)過(guò)濾、應(yīng)用控制、內(nèi)容審計(jì)、帶寬管理、行為分析等全方位措施，企業(yè)可以系統(tǒng)地 “管控 ”公司內(nèi)部員工的上網(wǎng)行為。 就拿小楊事件來(lái)說(shuō)，如果小楊的企業(yè)部署了網(wǎng)康上網(wǎng)行為管理系統(tǒng)，并對(duì)外發(fā)言論 (包括 BBS、論壇發(fā)貼，博客發(fā)文 )實(shí)現(xiàn)全方位的內(nèi)容記錄，同時(shí)對(duì)敏感關(guān)鍵字 (例如，違反法律、泄露機(jī)密 )作相應(yīng)的阻塞及警告，從而在問(wèn)題出現(xiàn)時(shí)能夠及時(shí)定位，責(zé)任到人，在一定程度上杜絕法律糾紛。 第三，通過(guò)對(duì)用戶行為進(jìn)行追溯查詢和綜合分析，企業(yè)用戶可以不斷優(yōu)化管理策略，有助于企業(yè)、機(jī)構(gòu)管理者對(duì)整個(gè)企業(yè)網(wǎng)絡(luò)進(jìn)行全方位的 “駕馭 ”，預(yù)知風(fēng)險(xiǎn)并事先防范，有效防范機(jī)密信息有意識(shí)和無(wú)意識(shí)的外泄，保護(hù)企業(yè)、機(jī)構(gòu)的安全和利益，最終提升工作效率、優(yōu)化帶寬使用、降低安全威脅、保障核心業(yè)務(wù)。 網(wǎng)絡(luò)追蹤：誰(shuí)在幕后頻頻的惡意彈窗 一個(gè)彈出窗口引發(fā)一場(chǎng)追蹤 “看一下淘寶 ”，我讓妻子點(diǎn)開(kāi)了旺旺，最近除了隔段時(shí)間到淘寶整理一下倉(cāng)庫(kù)寶貝，平時(shí)我已經(jīng)很少打開(kāi)旺旺了。 旺旺的界面仍然顯示 “正在登錄 ”，屏幕卻閃動(dòng)了一下，出現(xiàn)了一個(gè)新的瀏覽器窗口，內(nèi)容 ……好像是一個(gè)汽車(chē)交易類(lèi)網(wǎng)站 “網(wǎng)上車(chē)市 ”，我想也許是旺旺做的廣告吧，對(duì)于它我并不怎么在意。家里的書(shū)房，在 7 月的夏天溫度并不低，于是再熱愛(ài)電腦的我也不太情愿一直呆在那里，倒是妻子堅(jiān)持上網(wǎng)看一些港臺(tái)的電視劇。 “真煩人，又是這個(gè)廣告，我說(shuō)咱家機(jī)子是不是中毒了 ?”妻子隨口說(shuō)到，顯然她指的是那個(gè)車(chē)市網(wǎng) 站 (圖 1)。 “為什么要說(shuō)又呢 ?”妻子的話引起了我的注意，從妻子隨后描述的現(xiàn)象，我大致可以判斷這個(gè) “網(wǎng)上車(chē)市 ”的廣告窗口經(jīng)常伴隨阿里旺旺出現(xiàn)，通常它同一天只出現(xiàn) 2 次，似乎很有規(guī)律。阿里旺旺會(huì)做這樣的廣告嗎 ?我保持懷疑 。我的系統(tǒng)中病毒了嗎 ?作為妻子眼里的電腦高手，我總得給出一個(gè)合理的解釋吧，而我也很想知道事實(shí)的真相 …… 于是，一場(chǎng)圍繞異常彈出窗口的追蹤就此展開(kāi) …… 意外發(fā)現(xiàn)一號(hào)嫌疑人 一號(hào)嫌疑人：網(wǎng)絡(luò)運(yùn)營(yíng)商 線索：支付寶客服的答復(fù) 憑經(jīng)驗(yàn)，一般這種彈出窗口，要么是惡意病毒引起的，要么 是網(wǎng)站或軟件自身彈出的廣告。該從哪里著手呢 ?看看時(shí)間也不早了，我決定還是先收集一些有價(jià)值的信息吧，為第二天的詳細(xì)排查做一些準(zhǔn)備工作。 我又打開(kāi)淘寶網(wǎng)站，在旺旺相關(guān)的網(wǎng)站及客服論壇中瀏覽。從論壇中發(fā)現(xiàn)，遭遇這個(gè)彈出廣告的并非我一個(gè)人，而且很多用戶的說(shuō)法都不相同，直覺(jué)告訴我這種現(xiàn)象也許并不是像我之前想象的那么簡(jiǎn)單。 正當(dāng)我滿論壇第搜集信息的時(shí)候，一個(gè)帖子讓我眼前一亮。一位網(wǎng)友發(fā)帖問(wèn) “為什么登錄支付寶會(huì)出現(xiàn)一個(gè)網(wǎng)上車(chē)市的廣告 ……”，一個(gè)自稱(chēng)支付寶客服的用戶回復(fù) “這不是由支付寶彈出的，是當(dāng)?shù)鼐W(wǎng)絡(luò)運(yùn)營(yíng)商的彈出廣 告 ”。 一號(hào)嫌疑人矢口否認(rèn) 一號(hào)嫌疑人排查手段：電話 沒(méi)想到自己僅僅是想收集一些信息，卻發(fā)現(xiàn)了嫌疑人的線索，這也太容易了吧，太讓人沒(méi)有成就感了，不過(guò)今晚的工作也算是沒(méi)有白做，可以安心睡覺(jué)了，明天早上打電話確認(rèn)一下就可以了。 第二天我早早起床，一到上班時(shí)間就撥通了河南焦作市網(wǎng)通客服 10060，以下是當(dāng)時(shí)的對(duì)話。 我： “你好，我上阿里旺旺時(shí)總是會(huì)彈出一個(gè)網(wǎng)上車(chē)市的網(wǎng)站。 ” 客服： “你好，請(qǐng)檢查你的系統(tǒng)是否感染病毒，請(qǐng)升級(jí)你的殺毒軟件病毒庫(kù)進(jìn)行系統(tǒng)檢測(cè)。 ” 我： “檢查了，確認(rèn)沒(méi)病毒。你 們網(wǎng)通是不是插入廣告了 ?” 客服： “我們決不會(huì)修改用戶上網(wǎng)資料插入廣告。 ” 看來(lái)線索越是容易得到，越是不可靠，暫時(shí)可以排除一號(hào)嫌疑人了。 將目光投向二號(hào)嫌疑人 二號(hào)嫌疑人：惡意病毒 線索：病毒會(huì)在中毒系統(tǒng)中彈出廣告窗口以提升網(wǎng)站流量 淘寶說(shuō)不是自己的問(wèn)題，網(wǎng)絡(luò)運(yùn)營(yíng)商又在第一時(shí)間否認(rèn)了這個(gè)行為，那會(huì)不會(huì)是出現(xiàn)了以推廣這個(gè)網(wǎng)站為目的的惡意病毒呢 ?惡意病毒被我列為了二號(hào)嫌疑人。 一般來(lái)說(shuō)，以惡意推廣網(wǎng)站為目的的病毒，會(huì)在中毒系統(tǒng)中頻繁地彈出廣告窗口，以達(dá)到提升網(wǎng)站流量的目的，而這個(gè)旺旺彈出 的窗口卻有類(lèi)似的計(jì)數(shù)器特征，它保持在每天 2 次的頻率，給人的感覺(jué)是不想引起用戶的反感，看起來(lái)似乎又不像是病毒或者木馬的行為。不過(guò)我還是動(dòng)用了各種工具來(lái)查找系統(tǒng)中的惡意程序，檢查 IE的加載項(xiàng)，而檢查的結(jié)果是：我的系統(tǒng)很正常。 二號(hào)嫌疑人徹底洗清嫌疑 二號(hào)嫌疑人排查手段：搭建干凈環(huán)境 盡管能初步排除惡意病毒的嫌疑，但為了慎重起見(jiàn)，我還想做進(jìn)一步的排除。 為了進(jìn)一步證實(shí)我的判斷，我建立了三個(gè)純凈的系統(tǒng)環(huán)境。 A環(huán)境：安裝原版 XP SP2 專(zhuān)業(yè)版，通過(guò)官方自動(dòng)更新到當(dāng)日，防毒軟件選擇 McAFee 企業(yè)版，并設(shè)置了嚴(yán)格的規(guī)則。 B環(huán)境：安裝正版授權(quán)的 WindowsServer2021 RC0 簡(jiǎn)體企業(yè)版，啟用高級(jí)安全防火墻規(guī)則，防毒選擇 NOD32 簡(jiǎn)體版，并更新至最新病毒庫(kù)。 C 環(huán)境：安裝 版，默認(rèn)使用 Firefox 瀏覽器。 幾天測(cè)試下來(lái)，結(jié)果 A、 B、 C 都出現(xiàn)了異常的網(wǎng)絡(luò)廣告窗口，確認(rèn)排除二號(hào)嫌疑人。 會(huì)不會(huì)是三號(hào)嫌疑人 ? 三號(hào)嫌疑人：網(wǎng)站或軟件自身 線索：打開(kāi)網(wǎng)站或軟件時(shí)才彈出窗口 一號(hào)嫌疑人和二號(hào)嫌疑人已經(jīng)被排除，看來(lái)不得不將目光轉(zhuǎn)向三號(hào)嫌疑人了。 幾天詳細(xì)觀察下來(lái)，通過(guò)監(jiān)視運(yùn)行時(shí)的進(jìn)程及 IE 和各軟件運(yùn)行時(shí)的狀態(tài)，我對(duì)這種異常彈出窗口有了新的認(rèn)識(shí)。從搜集的資料和我自己的遭遇來(lái)看，這種異常彈出窗口不止使用旺旺時(shí)才有，登錄 出現(xiàn)過(guò)，訪問(wèn)新浪 、搜狐和網(wǎng)易過(guò)程中都出現(xiàn)過(guò)，打開(kāi)迅雷彈出過(guò)，登錄 Live Messenger 也出現(xiàn)過(guò)。甚至上微軟的 Windows 更新站點(diǎn)時(shí)，同樣出現(xiàn)過(guò) …… 一個(gè)網(wǎng)站即使要宣傳自己，在這么多軟件和大網(wǎng)站上打這種廣告似乎有點(diǎn)不合常理。同時(shí)，當(dāng)前的網(wǎng)絡(luò)廣告中，大部分是與投放的網(wǎng)站有緊密聯(lián)系。網(wǎng)站方通過(guò)在網(wǎng)頁(yè)框架設(shè)計(jì)預(yù)留廣告位并設(shè)置好超鏈接 ，方能正常顯示所投放的廣告。換句話說(shuō)，網(wǎng)絡(luò)廣告的出現(xiàn)方式及位置是可控制的。比如現(xiàn)在新浪的背投廣告就是顯示在主窗口的后面，百度 TV是顯示在窗口右下角。并且屬于網(wǎng)站自身廣告的窗口都有明確的超級(jí)鏈接，與主網(wǎng)站在同一域名體系下。而我所遭遇到的異常彈出窗口都不具備這個(gè)特征。 最后的追蹤 三號(hào)嫌疑人排查手段：網(wǎng)絡(luò)監(jiān)控 從上邊的分析來(lái)看，網(wǎng)站或軟件似乎也不應(yīng)該是真正的罪犯。但目前只剩下這一個(gè)嫌疑人了，看來(lái)必須動(dòng)用更多的手段來(lái)排查了。 使用微軟發(fā)布的網(wǎng)絡(luò)監(jiān)控程序 Network Monitor ，同時(shí)使 用 Camtasia Studio4 做全屏幕錄像。以 126 郵箱為例，最近每天第一次訪問(wèn)郵箱時(shí)總是會(huì)附帶跳出一個(gè)名為 “空間互踩聯(lián)盟 ”網(wǎng)站，盡管現(xiàn)在彈出該網(wǎng)站看上去只是為了宣傳網(wǎng)站，但第一次遇到這個(gè)彈出窗口時(shí) NOD32 的警告信息卻讓我記憶猶新，我必須要提高警惕 (圖 2)。 一次典型的監(jiān)控是這樣的：首先我必須確保系統(tǒng)后臺(tái)無(wú)多余程序，其實(shí)，通過(guò)排查嫌疑人二號(hào)所建立的系統(tǒng)環(huán)境，就已經(jīng)滿足了這個(gè)條件。 MS Network Monitor 議級(jí)別的數(shù)據(jù)流監(jiān)控 (通常稱(chēng)為 “嗅探 ”)，網(wǎng)卡收 /發(fā)的任何一 個(gè)網(wǎng)絡(luò)數(shù)據(jù)包都會(huì)被它記錄，并可保存成專(zhuān)有 “.cap”格式文件便于后期分析。 啟動(dòng) Camtasia Recorder 程序開(kāi)始全屏幕錄像。打開(kāi) Monitor，首先選擇網(wǎng)卡后，新建一個(gè)嗅探標(biāo)簽，點(diǎn)擊按鈕 “Start Capture”或默認(rèn)按 F10 可啟動(dòng)嗅探 (圖 3)。選擇無(wú)加載項(xiàng)打開(kāi) IE的空白頁(yè)，至此嗅探器中只會(huì)顯示出極少的系統(tǒng)自己產(chǎn)生的網(wǎng)絡(luò)校驗(yàn)數(shù)據(jù)包。當(dāng)在 IE 地址欄鍵入 “”并回車(chē)，我們能夠觀察到嗅探器窗口中飛速地刷新數(shù)據(jù)，左下角不斷更新的抓包數(shù)量遞增得很快。登錄 126 后 進(jìn)行了簡(jiǎn)單操作，待出 現(xiàn) “空間互踩聯(lián)盟 ”的彈 窗后，停止嗅探，先保存一下文件，計(jì)數(shù)器顯示嗅探到 1511 個(gè)包。所有數(shù)據(jù)包默認(rèn)以捕獲時(shí)序排列并且已經(jīng)編號(hào)。 如何分析這上千個(gè)數(shù)據(jù)包 ?逐一查看比較費(fèi)時(shí)。利用 Monitor 提供的過(guò)濾器，我們按以下思路來(lái)分析。從域名鏈接來(lái)看， “聯(lián)盟 ”與 126 不在同一域名下，那么在 IE 要訪問(wèn)它時(shí)必定會(huì)先向 DNS 查詢域名記錄，于是在過(guò)濾器窗口內(nèi)鍵入 “DNS”然后點(diǎn)擊 Accepted按鈕，嗅探窗口隨即刷新只顯示出 DNS 協(xié)議有關(guān)數(shù)據(jù)包，很快就找到了屬于 “聯(lián)盟 ”的查詢記錄，序號(hào)324。 現(xiàn)在我們更新過(guò) 濾器關(guān)鍵字為 “DNS or HTTP and !”，意思是只顯示 DNS 協(xié)議與 HTTP 協(xié)議相關(guān)的，并且不顯示 HTTP 的分解下