在某种意义上说,由于组织对生产效率、法律和私隐性的关注,因而构建一个安全解决方案以保证通讯内容和使用行为的合法性正在迅速成为一个受人关注的法律议题。对于大部分组织而言可通过一套独立的用户及内容控制方案实现,理想情况下方案基于硬件平台和代理架构为宜。”
Meta Group
用户在互联网上做些什么?
传统的安全策略更多的关注网络访问与阻止外部的威胁进入内部网络。在这种策略指导下,形成了多层DMZ架构,并整合如防火墙、身份认证、IDS、杀毒等控制防范系统。尽管对于今天的网络环境来说这些系统仍然需发挥作用,但是仅靠它们本身已经不能完全达成安全。
当今组织所面临的风险与危险已有所改变,远非以往,风险与威胁同样来自于网络内部。位于工作区域的用户可以毫不费力的访问互联网和基于互联网的应用。在这种模式下与组织外部的实体进行通讯会引入潜在含有恶意的或者攻击性的内容,而又若未能得到监测和控制,这将导致成为组织的一大隐患,具体来说导致生产效率的降低、法律麻烦与网络可用性能的下降。
来自多方面的挑战
由用户驱动并跨越防火墙的互联网访问存在多个方面的安全挑战,后文对于具体的挑战将有逐一的解释。其中引人关注的是“WEB通道”,该通道可以为员工提供互联网访问、即时聊天、点对点文件共享、WEBMAIL等多种上网活动,甚至包括合作性质的应用(例如共享工作空间)。
WEB MAIL成为病毒的“后门”
WEB MAIL可成为恶意代码侵入的后门之一,如病毒或者不可信的某些内容。同时通过WEBMAIL可引入含有攻击性或者不体面的资料到公司内部网络,如×××、种族歧视言论。此外,WEB MAIL是公司信息资产的非授权泄密的渠道之一。
即时聊天平台成为“办公室闲聊区”(Virtual Water-cooler)
即时聊天是另外一个例子,但是管理起来要麻烦的多,这是因为即时聊天工具具备“封套”的能力,以躲避基于端口的控制(如防火墙)。这种对于网络的自适应性和能力可以使用任意端口,使得网管错误的判断:以为已经将某种聊天工具阻塞,而事实上根本没有成功。例如AOL聊天工具若探测到防火墙阻塞5190端口,它可以自动的通过80端口而绕过防火墙的控制。事实上如果未能得到有效的监控,IM中的所谓合法附件易成为病毒和其他恶意代码的后门。
P2P吞噬网络资源的同时带来法律困扰
P2P的使用越来越普遍,但是给组织带来巨大的挑战。
公司网络中不受控制的P2P文件共享将:
1) 吞噬网络带宽、降低网络可用性;
2) 用户将大量时间用户文件的下载势必影响生产效率
3) 存在被各种执法部门起诉的可能
4) 可能下载文件的同时下载了含在其中的间谍软件(Spyware),加大了公司泄密被非授权访问的几率
1) 吞噬网络带宽、降低网络可用性;
2) 用户将大量时间用户文件的下载势必影响生产效率
3) 存在被各种执法部门起诉的可能
4) 可能下载文件的同时下载了含在其中的间谍软件(Spyware),加大了公司泄密被非授权访问的几率
用户在非控情况下正在如何损害商业利益?
如果一个组织仔细研究了这个问题,基于非常明确的和严肃的理由,很明显地它应该关注如何控制用户驱动的互联网访问以及相关的内容。
提高生产效率
WEB中的形式丰富的应用活动已经将公司网络演变成一个虚拟场所,而未受监控的用户利用公司资源进行了超出允许范围的互联网应用。的确,利用公司网络做与工作无关的事情的情形已经达到了猖獗的地步。在理想情况下,通过公司颁布相关的策略应能避免这个问题。
但是,我们保守地估计每个用户每个星期平均花费2-4小时利用互联网进行不当的活动。
虽然WEB/URL过滤产品能够一部分解决这个问题,但该产品无法通过控制与工作无关网站的访问来保障每个员工的生产效率。
但是,我们保守地估计每个用户每个星期平均花费2-4小时利用互联网进行不当的活动。
虽然WEB/URL过滤产品能够一部分解决这个问题,但该产品无法通过控制与工作无关网站的访问来保障每个员工的生产效率。
与同事、朋友即时聊天同样耗费了员工的生产时间, 这就是所谓的Virtual Water-Cooler效应。用于控制和记录IM聊天的工具对于改变类似情形是至为关键的。或者采用使用配额,或者在上班时间意外放松限制等,不失为一种既提高生产效率又能创造对各方面来说较为轻松的环境的方法。
资源保留
直接与生产效率联系起来是对计算资源的有效利用。与生产无关的活动消耗服务器宝贵的处理器周期、内存、硬盘空间,以及有限的互联网访问带宽与相关网络设备。适当的过滤与控制可以减轻这种负担,至少可延缓采购昂贵系统或者带宽升级的时间。
很显然,诸如P2P文件共享和多媒体流等吞噬带宽的应用应当控制在一定水平内。对于网络资源来说,P2P文件共享应用是一个巨大的挑战,它可以“轻松”的消耗掉30%的互联网接入/WAN接入带宽。当音乐、视频文件下载过程中及之后还将占用其他的资源如存储,给文件服务器加大了负担。
法律保护
用户及内容控制手段带来的最大好处之一就是保护组织不存在法律方面的问题。在国际化的公司中安装和维护相关的产品正在迅速成为实施“应尽职责”的标准。做任何事情都应当尽可能避免遭受被诉讼的风险。比如公司内的某一个员工从互联网中下载了含有攻击性的内容,但被另一个员工看到。如果后续的调查可以确定公司并没有采取合理的措施来避免出现这种情况,那么该公司将负有法律责任。在这个案件中,采购、运行和维护一个通用的URL过滤产品以阻止对含有×××材料的网站的访问可以视为“合理的”措施,从而公司可以避免“疏忽”的指控。(备注:本文档中所涉及的观点、描述、建议包含不同法律、规定、规则中通用的或者概括性的信息,这里的信息只是帮助您理解这些规则,并不是制定法律或者提供法律建议。在具体应用过程关于您组织的责任,我们强烈的建议您参考实际的法律、规定、规则、标准,或者与法律顾问商讨)
目前对于组织来说最为明显的法律责任是在公司网络中的P2P文件共享。这种不适当的、有时甚至非法的使用网络资源对于公司来说是一个很大的风险,可能会遭到RIAA(美国音像协会)、MIPAA(美国电影协会)等组织的指控,这两个机构均对版权资料的非法共享进行穷追猛打。
隐私遵从
一个越来越重要的商业考虑是组织应当遵守各种隐私要求。各种隐私保护法律如美国的HIPAA(健康保险方便性、可记帐性法案)、GLBA,欧盟的隐私保护法对于私人的、保密
信息的不恰当泄密均有相应的惩罚措施。除了要承当金钱上的罚款外,客户隐私的破坏将导致严重的后果:丧失客户信任和整个公司信誉。为了达到隐私保护的要求,第一应对措施是各种各样的加密和授权控制。但是这些措施能否完全保证隐私要求值得怀疑。最终应当是采用层次化的方法,也就是说需内容过滤的角色。
信息的不恰当泄密均有相应的惩罚措施。除了要承当金钱上的罚款外,客户隐私的破坏将导致严重的后果:丧失客户信任和整个公司信誉。为了达到隐私保护的要求,第一应对措施是各种各样的加密和授权控制。但是这些措施能否完全保证隐私要求值得怀疑。最终应当是采用层次化的方法,也就是说需内容过滤的角色。
信息资产的保护
类似的,对于公司本身而言,其机密需要保护。显然,机密信息不仅包括商业机密和其他信息资产,也包括公司财务信息以及任何战略信息细节。两种相似的可能泄密渠道是:
用户在财经公告板上发布帖子
在未受监控情况下与公司外的IM聊天
性能的提高
整个固化的系统能够有效应对潜在的安全威胁。
基于关键词搜索和聊天内容记录的过滤设备可以有效保证避免机密信息通过电子方式的外泄
组织怎样才能获得控制?
至此,对于WEB通道的各种应用进行控制的需要已经很明显了,但是最佳方法是什么?
防火墙:不适合于用户及内容控制
对于某组织来说自然地欲通过其他已经实施的安全设备来满足其用户和内容控制的需要,尤其防火墙。然而我们通常不建议这么做,主要是由于一般防火墙缺乏精细控制所需要的足够的“洞察力”。基于对某连接是否为合法的、业务功能所允许的判断,防火墙或者访问控制网关控制两个网络之间的数据流向。这种决定主要依据数据报文的包头信息作出。也就是说查看网络层细节(比如源、目的地址、所使用的协议)并与相应的策略比对,所以说是面向网络的(例如定义策略的对象可为IP地址范围或者IP子网)
当用于用户控制的时候甚至那些已集成了应用层识别能力的防火墙仍然不足以胜任。尽管这些产品能够识别特定的应用层协议(如HTTP)以及甚至这些协议中的命令,它们仍然缺乏更深层次的检查能力,而这些能力对于检查在一个会话过程中所含信息是否合适是必要的。相反所需要的应当是基于负荷部分判断的方案,或者更加准确的来说应当时整个信息。
关键点在于这种检查能力以及与之相关联的策略必须是面向数据载荷和面向用户的,因为判断一次通讯是否合适是与特定用户(和他的角色)相关的。
主要标准
有别于传统的访问控制服务,我们一般建议组织使用独立的方案来满足用户和内容控制需求的。具体来说我们强调几个具体的指导原则和标准:
基于代理服务的优点
一个代理的功能就像中间人,对于源客户端而言它就是目的端,而对于目的服务器而言它扮演客户端的角色。为了做到这一点,代理完全终结所有通讯会话,对收到的报文进行解包,然后创建新的会话并重新封装报文传输至真正的目的地。这种方式对于恰当的处理信息是至为重要的,因为代理过程本身就非常适合引入额外的检查,并且有必要的情况下进行过滤。事实上针对于各种通道(如Web、Email)的不同检查模块可以同时包含于通用的代理中。另外,简单来说基于它如何工作,代理服务具备可以检查错误报文、故意形成的畸形报文的优点,并且使内部地址结构不暴露于互联网。正因为这些优点,利用代理对于用户、内容控制是较为有利的。
基于硬件平台为佳
另一个平台方面应具备的特点是硬件的。硬件平台拥有众多优点,包括基于定制的硬件以及适合特定软件运行的相关的预装操作系统,使之成为独立的、即插即用的产品。引生出来的优点还包括:
灵活性
在对内容和各种各样的WEB通道服务进行管理时,一个巨大的挑战在于不同的组织对于“合适”有不同的解释。这点说明用户和内容控制方案必须具备较好的扩展性和高度的定制化能力。它们必须能够解决超出所有组织的通用主题时间,以及对于不同组别的用户采用不同的策略。
“过滤”的选择也应当具备灵活性,“过滤”指的是对通讯会话的检查并在检查结果的基础上阻断认为“不合适的”数据流。然而准确地判断某事件是否“合适”从技术上来说具有一定难度,因此必须支持多种类型的反应。例如,依据实际情形,阻断某整个会话,或者仅去除信息中的非法部分,或者简单的监控可疑的活动(记录活动并做相应标识便于网管回查)
可管理性
正如其他每种安全解决方案,对于用户、内容控制系统来说可管理性对于成功的部署和运行是至为重要的。尤其考虑到可能会配置不同的策略,这种管理性对于用户内容控制系统来说更为重要。也就说意味着不仅需要集中式的管理能力,还需要可根据单个用户、组来制定策略(不仅仅是网络水平层次)。此外,管理结构需要层次化的体系并且可以授权。这表明策略可以是全局级的,而本地的或者区域的经理也可以灵活的实施他们自己的策略。最后,强健的日志和报表是绝对必要的。通过日志和报表不仅记录违反策略的活动,还提供了一种反馈机制来进行策略调整(例如,基于所记录的条目可发现无论是何种原因而逃避了过滤的事件)
先识别 然后控制
在实施用户、内容控制方案方面,我们推荐如下所述之顺序。对于公司而言应当做到以下:
1、 针对WEB通道服务和内容定义可接受的用户策略(例如WEB冲浪、即时聊天、文件共享等):比如可建立如下一条策略——记录所有的IM聊天以及阻断所有的P2P流量,并且通过提示网页或者邮件的方式告知员工这些策略。
2、 识别用户是如何访问互联网和互联网资源的:过滤网关或者代理可以收集流量并简单的监控用户会话,而不影响其他的网络资源或者限制使用,最后获得详细的用户活动的报告。
3、 开始实施可接受使用的策略:在安全基础设施中代理/过滤网关可以发挥关键作用,增强传统访问控制服务的防护能力。
1、 针对WEB通道服务和内容定义可接受的用户策略(例如WEB冲浪、即时聊天、文件共享等):比如可建立如下一条策略——记录所有的IM聊天以及阻断所有的P2P流量,并且通过提示网页或者邮件的方式告知员工这些策略。
2、 识别用户是如何访问互联网和互联网资源的:过滤网关或者代理可以收集流量并简单的监控用户会话,而不影响其他的网络资源或者限制使用,最后获得详细的用户活动的报告。
3、 开始实施可接受使用的策略:在安全基础设施中代理/过滤网关可以发挥关键作用,增强传统访问控制服务的防护能力。
结论
在某种意义上说,由于组织对生产效率、法律和私隐性的关注,因而构建一个安全解决方案以保证通讯内容和使用行为的合法性正在迅速成为一个受人关注的法律议题。从根本上来说它有别于传统访问控制网关所解决的问题,它是多方面的问题,传统方法缺乏必要的深度识别能力。因此一个独立的基于硬件平台和代理架构的用户内容控制方案对于大部分组织来说是必要的。在这种方式下弥补传统控制的缺陷可以帮助减小组织的风险并保证用户的生产效率。
