ＷａｔｅｒＢｏｘ：企业内部信息安全守护神|企业内部培训

　　人们想尽可能的办法来保障网络安全，但往往是“道高一尺，魔高一丈”，安全软件每天都有新版本，但似乎一直都仅是针对安全的外部泄密，而实际上，安全堡垒最容易从内部突破！ 　　如果说阻止外部攻击的安全系统FireWall是一扇门，那么阻止外部智能攻击的 IDS就是一台安全摄像机 ，而防毒软件则是计算机病毒疫苗 ，三者构成了一座顽固的堡垒。熟悉历史的人都知道，再好的堡垒后面如果没有士兵守卫的话，肯定仍难逃被推倒的命运，安全堡垒同样如此。为此，业界一直在寻找站在安全堡垒后的那个士兵，那它有可能是WaterBox吗？
　　
　　安全堡垒最易从内部突破
　　
　　据国际权威机构CSI/FBI提供的统计数据，在众多的攻击行为和事件中，最主要的、最多的安全事件是信息泄漏事件;攻击者主要来自企业内部，而不是来自外部的黑客等攻击者;安全事件造成的经济损失最大的，也是最主要的是内部人员有意或无意的信息泄漏事件造成的经济损失。
　　那么，这些内部人员信息泄漏事件是怎样发生的呢？
　　探寻起来，内部人员泄露信息有两个主要途径，一是计算机网络化造成的失、泄密，二是计算机系统的外部设备泄密。
　　在计算机网络结构中，数据是共享的，主机与用户之间、用户与用户之间通过线路联络，而且目前系统中安装了大量的网络应用系统，这些为通信提供了便利条件。同时，一方面给内部人员制造了信息泄密的机会;另一方面也为外部黑客提供了攻击的基本条件，黑客可以通过利用网络安全中存在的问题进行网络攻击，进入联网的信息系统进行窃密。
　　此外，内部人员在应用互联网服务，如SMTP-Mail、 Web-Mail、FTP、 PSTN( by Modem ) 时也可能有意无意地将企业内部敏感信息或涉密信息传送到外部造成失、泄密;而一些内部员工安全意识薄弱，随意在BBS、网络新闻组上谈论国家秘密事项或使用互联网传送国家秘密信息等行为都可能使国家秘密被窃取。内部人员出于疏漏，未将处理涉密信息的计算机系统与互联网进行物理隔离，也可能使系统受到国内外黑客的攻击。
　　计算机系统的外部设备泄密是信息泄露事件发生的又一重要根源。如今越来越多的敏感信息、秘密数据和档案资料被存贮在计算机里，大量的秘密文件和资料变为磁性介质、光学介质，存贮在无保护的介质里，媒体（外设）的泄密隐患相当大。如内部员工非法拷贝敏感信息和涉密信息到磁盘、光盘，ZIP盘，优盘或其他介质中;在对磁盘的报废时，存贮过秘密信息的磁盘，员工认为已经清除了信息，而给其他人使用;计算机出故障时，存有秘密信息的硬盘不经处理或无人监督就带出修理，或修理时没有懂技术的人员在场监督，而造成泄密;媒体管理不规范，将秘密信息和非秘密信息放在同一媒体上，明密不分，磁盘不标密级，不按有关规定管理保存秘密信息的媒体甚至导致失窃，这些行为都容易造成严重的后果和不可弥补的损失。
　　WaterBox:堵住信息外泄的水龙头
　　那么，有没有现成的技术或者产品能够堵住信息外泄的水龙头呢？有没有一种完整的解决方案，系统地、方便地解决企业的这一难题？
　　高性能防水墙系统WaterBox应运而生。WaterBox是由“Water”和“Box”组成的合成词，“Water”得名于安全技术的一个名词，它的意思和防火墙刚好相反，传达出阻止外流的意思。“Box”这个词则是象征性地表达了安全的意义。整个词意为防止内部信息未经授权的泄露。
　　该产品由中软公司命名，是大型企业、涉密单位的信息保密管理系统。它利用涉密信息保密技术（计算机口令字验证、数据库存取控制技术、审计跟踪技术、密码技术等）对涉密信息的处理过程实施保护，使之不被非法入侵、外传、破坏、拷贝，从本质上解决了除人类大脑记忆以外的任何电子信息泄漏事件。
　　这种防水墙系统WaterBox(tm)是纯软件系统。并定制配备专业的机架式服务器作为防水墙服务器系统。整个系统由三个部分组成:防水墙系统客户端系统（WaterBox Watcher），防水墙系统服务器系统（WaterBox Server ，for MS Windows 2000/NT），防水墙系统集中安全管理中心（即WaterBox Global Manager，for MS Windows 2000/NT）。
　　WaterBox客户端是一个服务程序，用于防止系统的任何重要数据泄漏。系统为客户端的内部安全都设定了安全策略，并且会自动运行。
　　WaterBox 客户端并没有中止的功能。在安装过后用户是不能删除或者中止该程序的。 所有用户都受到安全策略的控制。WaterBox将会记录和控制客户端信息，诸如通讯、软件、打印、邮件、CD-R/RW，ID，可移动存储设备操作等。
　　WaterBox 服务器负责记录各种日志数据、客户端传过来的原始文件及其他们的状态信息。由于所有客户端信息输出不是来自同一安全组，WaterBox服务器依据他们不同的目的和来源排序并存储这些原始数据文件和日志文件到数据库中，这些存储在数据库中的原始数据文件和日志文件被自动地从服务器传送到管理控制台上。服务器对客户端发送的数据进行统计分析，产生各种图表，提供诸如关键字等的查询方式。
　　WaterBox Global Manager实现大规模网络系统中多套防水墙服务器的集中管理:策略管理、配置管理、事件管理和事故管理。能够管理多达50台WaterBox Server, 3000台桌面系统（安装了WaterBox Watcher），实现大规模涉密系统的防信息泄漏管理。
　　高性能防水墙WaterBox最显著的特点在于:提供集中的管理、分布式的防护，PC的管理层次符合中国现行企事业单位的组织与管理体系，而且规模大，效率高，策略周全，能够将企事业单位的全部个人桌面系统纳入管理范畴。此外，内部系统信息泄漏保护体系周全，不会遗漏任何一个可能泄密的途径;网络资源保护周密，从计算机的硬件配置到软件安装都在管理之列，并且可以动态获取、更新和审计。决不允许未经批准就安装和运行任何一款硬件设备和软件系统。系统对企业内部的全部个人计算机系统集中在防水墙的管理之下，集中管理安全策略、系统配置、安全事件和安全事故。
　　
　　学外安内憧憬未来
　　
　　早在上世纪90年代初，韩国、英国一些厂家提出了面向个人桌面系统的综合数据（信息）安全保护方式和产品形式，也有类似于上文中所提到的防水墙系统的产品形式。国外对于“防水墙系统”问题的研究从九十年代末开始，一些国际上著名的大公司都相继开展了这方面的研究并推出相关的系统。韩国韩华SAFA公司，是国际上最早研究基于“防水墙”理论的实用系统的公司，开发并推出了WaterWall软件系统。目前广泛应用于韩国的政府、军队等机要部门。又如英国皇家安全系统公司，为英国政府和军队开发了一套基于个人桌面系统的保密系统，目前已应用于英国政府和军队的网络系统上。
　　从国内情况来看，据统计，目前从事信息与网络安全技术研究、产品开发和销售，安全系统服务与集成的厂商数达3000多家，并且每年数量不断增加。但是这些厂商主要是从事网络系统安全产品的开发和生产，产品线主要集中在防火墙系统、入侵检测系统、漏洞扫描系统和防病毒系统等产品。真正在数据（信息）安全方面有所建树的公司还为数不多，特别是将多种安全技术融合在一起，形成一个综合的数据安全保护的产品形式的厂家。目前只有中软总公司提出了具体的企业级的个人桌面系统（PC）信息泄漏保护方案，开发出了能够提交用户使用的安全产品:防水墙系统（WaterBox Appliance）。
　　2000年10月，中软总公司信息安全实验室开展了广泛的前期研究工作:需求调研、业界技术与产品调研、目标用户调研。同时，在关键技术、系统体系结构等方面作了大量的前期研究工作。2001年10月，公司正式内部立项研究开发内部安全管理系统，系统命名为防水墙系统。将其功能定位于防止内部信息的泄漏，个人计算机系统资源管理和个人计算机系统工作状况的审计与监控。2002年10月，经过13个工程师的一年的努力，研究开发出了WaterBox系统。随后开始在国家安全部第16局、江苏省安全厅、上海市安全厅进行试用和用户测试。并于2003年2月，通过国家公安部安全产品检测中心的系统测试，获得了安全产品销售许可证。这是目前国内唯一通过公安部安全产品测试认证中心测试的，安全功能定位成内部安全管理的安全产品。
　　 据统计，我国信息化建设投资达5000亿元人民币，按用于信息安全投资占总投资的5%计算，则需要有200亿元以上产值的产业规模，才能满足安全防护的需求。但是，我国目前信息安全产品产值约5亿元人民币（大约为美国的八百分之一），远远满足不了国家信息化安全防护的需求。随着多种安全产品的应用，企业对WaterBox防水墙系统的需求不断增加，尤其是政府、军队、具有大量敏感信息的企事业单位对数据安全保护功能的需求比较旺盛。可以想见，一旦将防水墙系统这样的综合数据安全技术和产品进行大规模产业化生产、市场推广和应用，产生的经济效益和社会效益是非常可观的。
　　从行业应用来看，党、政、军等国家、军队职能部门，和高新科技企业是需求最迫切的三个行业。
　　党、政、军等国家、军队职能部门，如中央办公厅、国务院办公厅、各大部委、军队机关等等，拥有涉及国家安全和发展的秘密和敏感信息，需要重点保护，
　　国家核心技术研究和开发事业单位，如核工业部、总参56所、中国印钞造币总公司等拥有国家级核心技术，也需要严密的保护，防止国家关键的核心技术和研究部门的核心技术和研究成果的泄漏。
　　高新科技企业，如华为技术公司、联想集团等拥有公司生存的看家技术:技术专利，硬件设计技术，软件源代码等，一旦发生信息泄露事件便有可能使企业蒙受巨大的损失，甚至难以生存。
　　当然，高性能防水墙系统的应用不限于此，随着国内主要安全需求领域:电子政务、电子商务、金融、电信等企业安全工程的逐步实施，人们对安全的理解的加深，越来越多的行业和单位开始关注其内部信息泄漏问题，意识到单纯的加密手段不能够满足日益增长的数据安全技术需求，尤其是无法堵住企业内数目众多的个人桌面系统的信息泄漏漏洞，从而开始寻求系统化的防止内部信息泄漏解决方案。
　　我们有理由相信高性能防水墙WaterBox这样一款以防止内部信息泄漏为目的的产品形式，是目前比较完美的个人桌面系统安全的解决方案，前景值得期待。