计算机终端的安全威胁来自多个方面,从安全威胁的来源区分主要可以分为外部威胁和内部威胁两大类。尽管近年来网络黑客攻击、钓鱼攻击、勒索病毒等外部安全威胁事件频发,但是由于企业内部人员管理疏忽造成的敏感数据外泄仍是安全事件发生的主因。
内部安全威胁主要是由于管理制度不健全或者管理措施落实不到位造成的,通常包括恶意行为和非恶意行为:
■ 非恶意行为主要来自于企业的普通员工或客户,这些人可能并未受过正规的计算机安全培训或者缺乏网络安全意识,他们对计算机终端的不当操作可能会带来潜在的安全威胁;
■ 恶意行为往往来自离职前员工或即将离职心怀不轨的在职员工,这些人为了实现非法目的而进行的恶意操作是企业面临的较大安全威胁。
在缺乏有效的安全管理制度及监督机制的情况下发生的安全威胁往往会比技术类安全威胁的后果更为严重,也是当前企业安全建设中关注的重点。针对上述安全威胁,明朝万达Chinasec(安元)数据安全管理系统为企业提供了一种终端异常行为分析与管控方案,进一步加强企业数据安全建设。
△核心系统架构图
系统分为采集管控层、处理分析层、展示决策层,对应分别实现以下业务功能:
采集管控层
系统利用终端探针软件实时采集用户在终端电脑上执行的硬件连接、软件运行及其它基于不同网络协议的数据外发行为,并实时的上报到服务端进行处理,同时还接收下发的管控策略对终端用户异常操作行为进行紧急锁定/阻断管控;
处理分析层
实时接收终端探针软件上报的终端用户行为日志,并对其中潜在的越权访问行为、敏感数据访问与外发行为进行关联分析,并上报到展示决策层进行联动管控;
展示决策层
实时展示终端上报的用户行为日志,并根据处理分析层对终端用户异常行为分析的结果进行决策,并对判定的终端用户异常行为下发锁定/阻断管控策略。
系统对终端用户异常行为的识别确认主要包括以下两种方式:
固定周期触发阈值判定
管理员可以在控制台设置不同行为类型在固定周期内触发锁定/阻断的阈值次数来自动对客户端用户操作的行为进行异常判定,判定成功后自动对终端下发锁定/阻断控制;
个人/部门基线阈值判定
系统可以自动统计个人/部门在固定周期内的操作行次数,并计算出个人/部门的行为基线数值。支持对超过基线的终端用户行为进行判定并自动下发锁定/阻断控制。
系统支持的终端用户异常操作行为种类主要包括以下:
终端用户异常文件打印行为;
终端用户异常截屏行为;
终端用户异常访问安元密文行为;
终端用户异常通过移动存储设备外发文件行为;
终端用户异常访问外网行为。
