警惕:被忽视的内网安全管理
IT技术的发展使得人们获取信息的速度日益加快,这也给犯罪分子提供了便利,通过一个U盘,一分钟的时间就可以拷走上百兆的资料,而这些资料可能具有难以估量的价值,因此说一分钟损失几千万绝对不是危言耸听。
曾经在全国IT界引起广泛关注的深圳华为公司3名前员工窃取公司商业秘密案就是这样一个例子。涉案被告人王志骏、刘宁、秦学军以前均为华为公司员工,其中,王、刘二人于1997年5月被华为公司聘用,秦学军于1999年被华为公司聘用。三被告人均曾任职硬件工程师并参与了华为公司光网络设备的研发工作, 2001年8月至同年9月间,刘宁、秦学军、王志骏分别以个人求学、家庭等原因,先后申请辞职,离开了华为公司。三人辞职时均与华为公司签订了《离职员工承诺书》,承诺不带走从华为公司获取的任何保密资料,但秦学军在离开华为公司时,将华为公司不为公众所知悉的部分技术机密文件带走。
2001年11月7日,王志骏、刘宁各出资人民币25万元,在上海市成立了沪科公司,并聘用了秦学军等20多名原在华为公司从事光网络技术研发的技术人员进入沪科公司工作。同年11月8日沪科公司与贝尔公司达成协议:由沪科公司提供盒式2.5G的光网络设备技术,贝尔公司则每月向沪科公司提供研发费用人民币588010元,并负责组织生产及销售;产品利润由沪科公司与贝尔公司三七分成。2002年5月,王志骏、刘宁、秦学军等人,违背其与华为公司签订的相关保密协议,利用其在华为公司工作期间掌握的、以及被告人秦学军从华为公司窃取的光网络设备的相关技术资料,完成了有关产品技术文档的制作,并发送给贝尔公司。贝尔公司据此生产的产品,在市场上的销售额约人民币600万元。至同年10月双方终止合作止,沪科公司从贝尔公司获取研发费共计人民币588.01万元。2002年10月,沪科公司被UT公司整体收购,UT公司向沪科公司支付了人民币200万元现金,并授予沪科公司部分员工共计1500万美元的股票期权。
2004年12月6日,南山区法院一审判决:3名被告人均违反了其与华为公司签订的保密协议,共同给华为公司造成重大经济损失,构成侵犯商业秘密罪。王志骏和刘宁均被判处有期徒刑3年,各处罚金人民币5万元。秦学军被判处有期徒刑2年,并处罚金人民币3万元。已被冻结的沪科公司账户内款项,责令退赔给华为公司。南山区法院作出一审判决后,3名被告人不服,依法提起上诉。深圳市中级法院依法组成合议庭,对这起轰动全国的IT界犯罪案件进行了审理。在长达42页的刑事裁定书中,深圳市中级法院对3名上诉人及其律师提出的各种理由一一予以驳回,认为原审判决认定的事实清楚,证据充分、确实,定罪准确,量刑适当,程序合法,决定维持原判。
网络技术的发展和普及,使得人们对网络安全的认识也日益深入。防火墙入侵检测 VPN等安全产品逐步得到了更多企业的认可,但是这些产品有一个共同点:防外不防内。各个企业和单位在网络安全建设上投资不小,但这些安全建设大部分都基于“内部人可信”这一假设。这样一来,网络内部几乎成了不设防地带,信息安全疏于防范,极可能被内部人员窃取重要信息并获取非法利益。一旦泄密事故出现,不仅损失惨重,而且很难追查到泄密人员。以往的很多泄密案例中,基本都是内部人员、前内部人员(已离职)或准内部人员(合作伙伴、技术维护人员)作案,其中相当一部分都是内部人员即将离职前作的案,可谓是“最后的疯狂”。以“华为技术人员窃密案”为例,有资料显示,王志骏、刘宁两人早在2002年7月还在华为公司任职的时候就已经和贝尔公司达成技术协议,而之后秦学军顺利窃取华为技术机密,更为这种犯罪提供了实施可能。因此,在国际著名调查机构的网络犯罪调查结果中,在已知的网络犯罪中,80%左右的案件是由于内部人员引起或实施的,所以,建立内网安全管理,合理打击内网犯罪就成了当今网络安全发展的新方向。
Chinasec可信网络安全平台系列产品注重从信息的源头开始抓安全,对信息的存储、交换和使用等环节实现全面保护,从而达到信息的全程安全,主要有以下几方面的特点。
1、
对内网原网络系统性能影响小。此产品体系完全基于TCP/IP协议网络,不需要改变现有网络结构,支持远程管理,对原系统的性能影响很小。
2、
提供整体一致的内网安全解决方案,基于同一个管理平台,提供身份认证、授权管理、数据保密和监控审计的完整互动安全策略。
3、
提供多种灵活的透明加密措施,根据用户需求可以进行文件加密、文件夹加密、本地磁盘加密、移动存储设备加密和邮件智能加密等。
4、
具备广域网和大用户数等大规模网络部署的架构和性能,支持多机热备、负载均衡、分级管理和多级部署的功能。
5、
支持基于用户、计算机和控制内容的三要素策略设计思想,策略可以灵活控制,针对不同的用户和不同的计算机可以实施不同的策略,支持权限在内部信息网络中的漫游。
6、
紧扣国家保密局颁发的《涉及国家秘密的信息系统分级保护管理办法》,支持对政府、军队和军工等涉密内网的分级分域管理。数据在同一个虚拟保密子网(VCN)内可以正常相互交换,不同虚拟保密子网内数据交换需要管理员授权,实现分域管理。不同保密级别的VCN可以根据需要设置控制力度不同的保密策略,实现分级管理。
7、
充分考虑和尊重一般企业既需要访问互联网,又希望对核心数据进行保护的需求,提供基于模式切换的解决方案,帮助用户有效实现既要上网又要保密的目标,提供灵活的企业数据安全解决方案。
8、
提供了对移动存储设备的强大管理功能,提供针对移动存储设备的注册、认证、策略控制和使用审计等措施。其中,策略控制支持禁用、只读、加密和解密等方式,注册则可以基于用户、计算机和控制策略三要素进行管理。
9、
提供丰富的授权管理内容,包括服务器访问、终端计算机使用、外设、网络、应用程序和U盘使用等。
10、支持丰富的日志审计、报表生成以及实时报警监控等功能,提供丰富的管理手段。
总之,Chinasec可信网络安全产品体系通过主动加密、事前控制、事中监视、事后审计四种手段相结合,可以达到外部入侵进不来、非法外接出不去、内外勾结拿不走、拿走东西看不懂的效果,有效防止机密敏感信息的泄漏,为企事业单位构建了一个可信可控的内网,确保“一切尽在掌控之中”。
Chinasec可信网络安全平台已经通过国家保密局、公安部、解放军信息安全测评中心和国家信息安全测评中心等权威机构的评审认定,并已在海关总署、国家考试中心、中国农业银行、中国工程物理研究院、国家开发银行、成都规划设计院、德信无线、民生药业和朗能集团等数十家单位成功实施,得到用户肯定。
