信息泄漏防范何去何从-清华大学网络安全试验室.PDF

《计算机安全》2006年第3期 总第61期 信息泄漏防范何去何从 李军 清华大学信息技术研究院 众所周知，互联网是在缺乏安全性、可靠性设计和没有质量保障情况下迅速 成为一个不可或缺的社会基础设施的。然而到今天，互联网的规模及其影响已经 到了无法从头再来的程度。为了实现网络条件下的信息安全，从防火墙到入侵检 测/防御系统，从防攻击、防病毒、防垃圾邮件到防蠕虫、防钓鱼（phishing）、 防间谍软件，各类产品层出不穷，以致企业网络机房里的安全设备几乎快要比传 输设备（路由器、交换机）还要多了。即便如此，安全漏洞依旧层出不穷，安全 事件还是应接不暇，造成的损失也越来越大。现实迫使学界和业界不得不更全面 地（holistically）分析信息安全问题，部署信息安全措施。 传统的安全防护最初是从面向静态网络连接的访问控制（access control） 和信息过滤（content filtering）开始的。随着无线和移动网络的发展，信息 安全新技术的热点又转移到了针对动态网络连接的准入控制（admission control）和端点安全（endpoint security）。近来较为引人注目的，还有全面 管理端点各种物理连接的信息泄漏防范（information leakage prevention, ILP）技术和解决方案，又称防水墙或外泄检测（extrusion detection）。 信息泄漏防范的基本问题 信息安全的终极目标是保障信息在存储和传输时的安全。信息安全的漏洞既 可以存在于有线或无线、固定或移动网络之中，也可以是通过USB等设备接口经 由直接的物理接触构成。例如，利用USB盘窃取文件或安装“木马”是再容易不 过的了；又如，只要从 CD 重启系统，通常就可以回避口令等各种检查，控制相 关设备。 信息泄漏防范从广义上说包括防范被动失窃（信息被无权访问者获取）和防 范主动透露（信息被授权访问者转移到受控范围之外）。 1. 防范被动失窃的主要手段是加强数据存储和网络传输的认证和加密机 制。通过严格的认证，只有授权访问者才可以经由安全方式接触到相关 信息，无权访问者既无法潜入，又因密码保护无法有效窃听，则被动失 窃的机会大大降低。 2. 防范主动透露就更加复杂了。因为这时信息泄漏的主体是被授权访问受 控信息的，且具有相应网络操作的权限和信息解码的密钥，所以认证和 加密就无法阻止这种情况了，需要通过信息过滤等手段来监控。 事实上，除了从备受关注的数据存储和网络传输的角度以安全服务器和安全 网关部署防范被动失窃外，企业内部经过授权的主机和用户通常可以不通过安全 网关直接取用服务器上的数据。当今的员工使用着越来越多可以连接到计算机设 备上去的电子产品，包括装备 USB 、蓝牙、红外、Wi-Fi 等各种接口的便携式存 储和通讯设备。除传统的 CD-RW 和 DVD-RW 之外，这些设备的存储数据容量 高达 300GB、通讯带宽也不断增长，造成了对信息泄露的严重恐慌。这些产品 同样是黑客的最爱，可以穿过防火墙和杀毒软件在主机和网络中装入木马。 为了不让受保护的数据泄漏到受控范围之外，很多时候对企业内部用户使用 的计算机的各种外设接口都要有所控制，其中包括USB、打印机、CD/DVD等。这 种控制可以在几个不同层面上实施： 1. 设备层面：决定是否允许某类产品接入。这个产品类即可以是使用某个 接口的所有产品（如各类 USB 产品），也可以是某个接口上的特定产品 （如存储类USB产品，或带有某种特殊加密芯片的USB产品）。 2. 功能层面：决定是否允许某项功能使用。例如只允许对存储类USB产品 进行“读”操作而不允许“写”操作。 3. 用户层面：决定是否允许某个用户进入。如果需要，可以对每次外设的 使用都做用户认证。 上面描述的措施都是面向设备的，而防范被动失窃的另外一个方向就是面向 数据的全程认证和加密。这种产品被统称为 ERM（Enterprise Rights Management），包括微软的RMS（Rights Management Server），其方法类似于DRM （数字版权管理，Digit