内网安全监控系统--神目综述

随着当今社会网络化、电子化的普及，各行各业都越来越离不开计算机和网络，但也随之而来新的问题：敏感信息被窃取、传递、非法复制；存储在机器中的涉密信息和关键资料是否未经授权被非法带出安全范围；合理掌握这些信息的人员是否利用合法途径带出资料；是否有人通过网络合理或恶意窃取资料；发生问题后是否有取证的信息来源••••••。下面我们分析CSI/FBI提供的统计数据：

通过分析可得出如下结论：

◎ 信息泄漏是最主要的安全事件；

◎ 安全事件中造成经济损失最大的和最主要的是内部人员有意、无意的信息外泄；

◎ 攻击主要来自于企业内部，而非外部；

据调查对于一些涉密级别很高的单位有如下结论：

◎ 通过正常途径获取信息，并将之外泄；

◎ 信息几乎全部是从个人工作的计算机泄漏出去的；

◎ 安全制度和安全措施脱节；

◎ 对于业务网内的可能流出涉密信息的的关键点是：

       个人计算机的可移动存储介质（移动硬盘、U盘等）

       个人计算机的I/O输出端口（如串、并、USB口）

       打印机（通过纸张）

       内部网络共享

       网络邮件、BBS、FTP、普通端口

    重要数据库信息

       私自接入的拨号网络设备

针对以上种种情况需要一个能监视关键点数据流出情况，能做到事后备查的产品来为我们服务。同时需要一个安全管理助手制定周密、可行的安全管理策略，用于控制关键点数据的外泄。

神目就是针对以上问题而产生的内网安全监控审计产品。该产品是一套网络安全控制与审计产品，用于对内部网络信息泄漏威胁进行事前防范、过程报警、事后追查。与防火墙、入侵检测等安全产品的功能及侧重点不同，神目并非为防范来自局域网外部的非法攻击行为而设计，而是通过对网络内部用户访问和输出内部信息的行为进行控制和审计，从而达到防范信息泄漏的目的。

神目取自《增广贤文》中的“暗室亏心  神目如电”，意思是“一个人在黑暗的环境中做了亏心的事，总是会有双眼睛盯着他”。在我们的内部网络中神目会一直看着重要资源，保护着每台计算机的重要出口，监视关键点的数据流出。从根本上防止了未授权的失泄密。

神目系统GodEyes配备专业的机架式服务器作为服务器系统，也可以作为一套纯软件系统销售。为了适应不同应用环境的PC机的规模，神目系统主要分为三个层次：分布式探头代理（GodEyes Watcher）、神目服务器系统(GodEyes Server) 、神目安全管理中心(GodEyes Manager Center) 。

分布式探头代理（GodEyes Watcher）是一个服务程序，开机后根据神目服务器配置的安全监控策略自动加载各监视探头，收集监视信息，控制计算机的各个出口。客户端能响应神目服务器的命令，做出各种响应。客户端收集的监视信息包括：存储设备的读写操作、I/O端口的操作、I/O端口增加和删除的设备、打印、通讯、进程访问网络、邮件、数据库访问、URL访问等信息。

神目服务器系统(GodEyes Server)是一个集成的Web和数据库管理环境。负责接收各客户端的监控信息。通过普通浏览器的访问，进行数据综合查询、统计分析、客户端管理、控制等操作。用户可以在何一个网内机器通过IE访问神目服务器。

神目安全管理中心(GodEyes Manager Center)是针对大规模网络系统而设置的，用于管理多个GodEyes服务器，包括统一策略管理、各服务器配置管理、数据综合查询及统计分析。该部分在GodEyes系统中是可选的，可根据具体的应用环境决定是否需要安全管理中心。

神目系统的关键特性在于以下方面：

l         完善的内部系统泄露保护体系：事前防范、过程报警、事后追查；用户可以根据本单位安全级别的不同要求，自由组合的选择配置不同的监控策略。周密的策略不会遗露任何一个可能泄密的途径，能发现一切逃避监控的行为，做到事后备查;

l         多角度、全方位的监视探头能记录下被监控者的每个动作，例如对于重要的端口（USB口、串并口）防护都是双层的，通过硬件管理插件可以控制该设备的使用，还可以通过文件监控插件和I/O口监控插件进行控制，这样避免了单点失效的情况;

l         集中配置管理：管理员通过Web对各客户端进行集中管理、监控策略配置，不需要安装管理控制台;

l         分布式防护：管理PC的规模大，策略周全，能将使用单位的全部个人桌面系统纳入管理范畴。支持用户和部门的分级管理模式。

l         系统自身安全保护能力强，自身安全防护策略周到，并且对系统管理员动作进行审计避免了二次泄密;

l         完备的海量日志、各种定制的违规和反监控跟踪统计分析;

l         重大事件的特别关注并给出管理员安全管理建议；

l         对用户透明，用户感觉不到神目系统的完全监视。

l        灵活的升级方式：光盘派发、网上Liveupdate、服务器下载。

内网监控目前在国内还处于一个发展期，相关产品不多，且大家功能也不尽相同，有些产品是从主机审计系统发展演变为内网安全监控产品，在概念上及定位上都很模糊。而神目系统充当了这个领域的排头兵，提出和丰富了内网安全监控概念，即神目是以对计算机所有出口的访问进行记录和控制为核心，以记录、授权访问和失效保护为主监控策略，再以其它的辅助探头、管理策略，架构成一个综合的内网安全防护体系。

神目系统的应用领域非常广泛，可应用于政府机关中涉密的单位，可应用于国防科技前沿单位的重要资料保护、还可应用于掌握有重要核心商业机密的公司。神目目前已获得了公安部颁发的安全产品销售许可证、通过了中国信息安全产品测评认证中心的测试、以及获得了国家保密局的相关资质，并已应用于国家安全机关某些单位及一些大公司，随着国内安全领域需求的扩大，神目将在国家的“金”字工程以及各行业中发挥更大的作用。