計算機終端的安全威脅來自多個方面,從安全威脅的來源區分主要可以分為外部威脅和內部威脅兩大類。盡管近年來網絡黑客攻擊、釣魚攻擊、勒索病毒等外部安全威脅事件頻發,但是由于企業內部人員管理疏忽造成的敏感數據外泄仍是安全事件發生的主因。
內部安全威脅主要是由于管理制度不健全或者管理措施落實不到位造成的,通常包括惡意行為和非惡意行為:
■ 非惡意行為主要來自于企業的普通員工或客戶,這些人可能并未受過正規的計算機安全培訓或者缺乏網絡安全意識,他們對計算機終端的不當操作可能會帶來潛在的安全威脅;
■ 惡意行為往往來自離職前員工或即將離職心懷不軌的在職員工,這些人為了實現非法目的而進行的惡意操作是企業面臨的較大安全威脅。
在缺乏有效的安全管理制度及監督機制的情況下發生的安全威脅往往會比技術類安全威脅的后果更為嚴重,也是當前企業安全建設中關注的重點。針對上述安全威脅,明朝萬達Chinasec(安元)數據安全管理系統為企業提供了一種終端異常行為分析與管控方案,進一步加強企業數據安全建設。
△核心系統架構圖
系統分為采集管控層、處理分析層、展示決策層,對應分別實現以下業務功能:
采集管控層
系統利用終端探針軟件實時采集用戶在終端電腦上執行的硬件連接、軟件運行及其它基于不同網絡協議的數據外發行為,并實時的上報到服務端進行處理,同時還接收下發的管控策略對終端用戶異常操作行為進行緊急鎖定/阻斷管控;
處理分析層
實時接收終端探針軟件上報的終端用戶行為日志,并對其中潛在的越權訪問行為、敏感數據訪問與外發行為進行關聯分析,并上報到展示決策層進行聯動管控;
展示決策層
實時展示終端上報的用戶行為日志,并根據處理分析層對終端用戶異常行為分析的結果進行決策,并對判定的終端用戶異常行為下發鎖定/阻斷管控策略。
系統對終端用戶異常行為的識別確認主要包括以下兩種方式:
固定周期觸發閾值判定
管理員可以在控制臺設置不同行為類型在固定周期內觸發鎖定/阻斷的閾值次數來自動對客戶端用戶操作的行為進行異常判定,判定成功后自動對終端下發鎖定/阻斷控制;
個人/部門基線閾值判定
系統可以自動統計個人/部門在固定周期內的操作行次數,并計算出個人/部門的行為基線數值。支持對超過基線的終端用戶行為進行判定并自動下發鎖定/阻斷控制。
系統支持的終端用戶異常操作行為種類主要包括以下:
終端用戶異常文件打印行為;
終端用戶異常截屏行為;
終端用戶異常訪問安元密文行為;
終端用戶異常通過移動存儲設備外發文件行為;
終端用戶異常訪問外網行為。
