烟草在线专稿　　摘要：烟草行业信息系统IT服务管理工作实行统一领导、分级管理的制度；早在2006年，湖北省就对地面骨干网统一进行了安全评估，并根据评估结果统一实施了防火墙、入侵检测、防病毒和漏洞扫描等安全防护系统，实现了网络层的基础信息安全防护。可与此相反，行业对企业内网的信息保密问题，却一直没有好的防范措施。本文在引进防水墙（Water　Wall）概念的同时，对烟草行业内网安全存在的问题进行了分析；此外，论文在对防水墙的结构作简单介绍的情况下，结合烟草行业实际，对如何利用防水墙技术保证内网安全做了前景展望。

　　1.引言

　　1.1研究问题的提出

　　防火墙、入侵检测系统（IDS）、访问控制、内外网隔离、虚拟专网以及其它针对外网的访问控制系统，可有效防范来自网络外部的进攻，但对于烟草行业内部的信息保密问题，却一直没有好的防范手段。如果管理不善，内部人员可以轻松地将计算机中的机密信息通过网络、存储介质和打印等方式泄露出去，这将会给国家和社会造成重大损失。目前，湖北省局在烟草行业信息系统上制定了一系列管理办法和工作要求，明确表示，烟草行业的涉密计算机必须采取相应的安全防护措施。为了保障内部信息系统安全，响应国家对烟草行业信息系统安全等级保护建设整改工作的要求；除了依靠传统的行政管理措施外，对保障内网安全的技术研究，也势在必行。而防水墙的出现，正好对实现内部安全监管提供了有效的技术手段。

　　1.2国内的研究现状

　　防水墙（Water　Wall）是相对于防火墙（Firewall）的一个概念，它处于内部网络中，可随时监控内部主机的安全状况，是一个用来加强信息系统内部安全的工具，其最早是由山丽网安在2004年提出来的用于内网防泄露产品。时至今日，它已成为内网防泄露产品的代表。

　　目前，国内市场上，在防止内网信息泄露的技术研发产品上，较为成熟的有“山丽防水墙”系统和“中软防水墙”系统。不少政府机关、涉密的企事业单位、军工企业，都通过应用部署此类系统，对内网安全进行了防护。而在烟草行业，由于全省对形成统一的信息化规划和统一建设的指导纲领仍处于探讨时期，信息化建设和应用水平发展虽迅速，却存在着参差不齐的问题，全省内网安全整改工作至今仍然处于起步阶段。

　　2.内网安全隐患分析

　　内网安全是近年来渐渐兴起的网络信息安全研究与应用领域。通过身份验证、访问控制和审计跟踪等技术手段约束、限制、监控企业内部人员对计算机网络的使用，使得对涉密信息和技术专利等内部信息交换可控，从而保障内网安全。我省烟草行业一直是按照国家相关保密制度的要求和自身的网络安全体系现状，将整个网络按照重要程度划分为不同的网段，在不同级别的网段之间设置防火墙，并配置一定的访问控制策略。此外，为了保障对外访问的相对安全，整个网络采取内外网隔离的方式，但其仍然避免不了“可信的”内部人员信息泄露问题，具体可分为以下几种方式：

　　（1）由计算机外设接口（如：开放的USB，DVD/CD-ROM驱动器，打印机驱动器等）造成的信息泄露。

　　（2）由计算机的存储媒体、介质（如：移动硬盘，U盘等）造成的信息泄露。

　　（3）对文件或文件夹进行不当共享造成的信息泄露。

　　（4）内部人员在使用互联网服务，如QQ、电子邮件、FTP时，将本单位内部敏感信息传送到外部或被窃取造成泄密。

　　（5）由屏幕拷贝（照相）、打印机直接打印进行信息窃取造成的信息泄露。

　　（6）由于工作人员的无意，造成的信息泄密。如将一台发生故障的计算机送修前既不做消磁处理，又不安排专人监修，造成敏感数据的泄密。

　　（7）恶意泄密。这里是指对单位不满或被他人金钱收买的个别员工采取恶意窃取单位内部信息的行为。

　　因此，为了保障烟草行业内部信息数据的安全，除了依靠必要的行政管理措施，还必须依靠技术手段加强内部网络的监管。而防水墙的应用，将能很好地解决此类问题。

　　3.防水墙的构成及功能

　　3.1防水墙的系统构成

　　防水墙一般由三部分构成：防水墙服务器，控制台（防水墙控制工作站）以及客户端代理软件。它能提供集中式的管理、分布式的防护，能够将所管辖系统的全部个人桌面系统纳入管理范畴，不遗漏可能的泄密途径，周密监管、保护网络资源，并可动态获取更新和审计。详细内容如下：

　　（1）防水墙服务器：包括服务器端软件和支持数据库，是防水墙系统的核心部分。通过安全认证机制，建立与多个客户端系统的连接，实现对多个客户端系统的配置、策略制定、资产管理操作审计等功能。

　　（2）控制台（防水墙控制工作站）：是系统管理员、操作员、审计员等和防水墙系统交互控制的界面，实现系统管理、参数配置、策略管理和系统审计等功能。控制台采用分权分级的授权模式，严格限制对敏感信息的访问权限，保证系统信息安全。

　　（3）客户端代理软件：安装与受监控主机上的检测软件，强制执行来自服务器的安全策略，根据安全策略检测客户端用户的行为。客户端软件采用了严密措施，防止本地用户自行卸载、关闭监控程序。

图1　防水墙结构图

　　3.2防水墙的功能介绍

　　防水墙的功能是保护用户敏感信息不被非法外传，防止泄露事件发生，从而保证内部信息安全。其主要从以下五个方面着手：

　　（1）扩展身份认证：如果接管Windows身份认证，只需输入合法的防水墙用户名和口令即可登录Windows系统。

　　（2）文件安全服务：它提供了对敏感文件的加解密安全防护，充分利用对称和非对称算法的优点对文件和密钥进行管理。

　　（3）系统资源管理：其多用于收集受控主机上的软硬件信息，并上传至服务器作为初始资源信息备份。系统管理人员可以随时获得所管理部门的主机的系统资源信息。

　　（4）运行状况监测：对受控主机，监控其历史运行状况，包括：用户删除文件、系统服务、屏幕截取等记录，方便系统管理员查看管理。

　　（5）失泄密防护：可对网络传输、移动存储带出和打印打印机到纸介质文稿三种情况，根据实际情况选择启用或禁用，还可选记录日志以备事后追踪。

　　4.防水墙的应用

　　防水墙将所有与安全相关的内容划分为三个阶段管理，即事前预防、事中监督、事后审计；事前预防包括策略的定义、策略的有效时间和生命周期、策略的维护、策略的继承以及分级分权管理和相应得配套规章制度的建立等；事中监督包括对四种主要泄密事件类型（网络传输，媒介使用，计算机接口和打印控制）的状况监控和运行状况的纪录；事后审计通过对防水墙系统记录的运行信息和用户操作信息进行事后审计，并提供详细分析报表。结合此种管理方式和防水墙的两大管理对象（信息和不可靠的人），我们可对前面所分析的烟草行业内网信息安全方面存在的问题，应用防水墙系统进行分类解决：

　　（1）针对计算机外设接口（如：开发的USB，DVD/CD-ROM驱动器，打印机驱动器等）造成的信息泄露，防水墙提供了“主机资源信息管理”功能集中管理客户机内的硬件、软件和其它资源。对计算机USB　接口、并口等外设接口进行相应的控制，将客户端上的外设接口和软硬件信息传输到远程服务器端，服务器根据管理员事先定制的安全管理策略对各种接口以及其它硬件进行统一管理，包括禁用，卸载等。能有效防止计算机外设接口造成的信息泄露。

　　（2）因计算机的存储媒体、介质（如移动硬盘，U盘等）造成的信息泄露，可通过使用防水墙系统的“可信移动存储介质管理”功能，首先对移动存储介质进行分级，并进行统一认证，使用加密存储、密级访问控制等手段，有效防止移动存储介质在计算机上跨密级使用。对于未经认证的笔记本电脑或移动硬盘、U盘等设施联网时系统将自动作无效处理。同时系统还将操作涉及的信息及过程生成日志，以便进行事后审计。

　　（3）关于计算机网络化（如使用QQ，电子邮件，FTP等）造成的信息泄露，可运用防水墙所提供的“扩展身份认证”和“文件安全服务”功能，用户首先通过身份验证机制登录到防水墙客户端，防水墙身份认证系统会接管Windows　身份认证系统，通过设置安全域、授权、对文件加密实现内网用户之间文件共享互传。有效地防止了文件在传输途中可能造成的泄密，也防止了电脑丢失可能造成的泄密事件的发生。此外，防水墙的“运行状况监控”功能，可以预先对某些网络活动进行阻止，防止通过网络传送敏感数据或浏览无关工作的网站。也杜绝了内部人员使用QQ、电子邮件、FTP等将本行业内部敏感信息传送到外部造成的泄密。

　　（4）对于由屏幕拷贝（照相）、打印机直接打印造成的信息泄露，可将用户打印机按科室（部门）分类，放置到专门的机房内，并根据需要设定不同的策略进行控制。即使是在授权状态下，使用者的打印操作也将受到监控，打印内容会由系统自动备案处理，以便事后审查。与此同时，管理员可根据机房的视频监控系统随时监视由显示器造成的信息泄露。

　　（5）