引言

    隨著信息技術(shù)的飛速發(fā)展和網(wǎng)絡(luò)建設(shè)的不斷深入，現(xiàn)代社會(huì)對(duì)信息網(wǎng)絡(luò)的依賴(lài)度越來(lái)越高，許多單位和部門(mén)建立了內(nèi)部局域網(wǎng)，實(shí)現(xiàn)了辦公自動(dòng)化，但在網(wǎng)絡(luò)給工作帶來(lái)便利的同時(shí)，網(wǎng)絡(luò)信息安全問(wèn)題也越來(lái)越突出。涉密信息、內(nèi)部敏感內(nèi)容在網(wǎng)絡(luò)上流轉(zhuǎn)，存在嚴(yán)重的安全隱患，受到了普遍關(guān)注。目前，人們把大部分的財(cái)力、物力放在來(lái)自外網(wǎng)的攻擊上，但FBI和CSI對(duì)484家公司進(jìn)行的網(wǎng)絡(luò)安全專(zhuān)項(xiàng)調(diào)查結(jié)果顯示:超過(guò)85%的安全威脅來(lái)自單位內(nèi)部，其中16%來(lái)自?xún)?nèi)部未授權(quán)的存取，14%來(lái)自專(zhuān)利信息被竊取，12%來(lái)自?xún)?nèi)部人員的欺騙，只有5%是來(lái)自黑客的攻擊;在損失金額上，由內(nèi)部人員泄密導(dǎo)致的損失高達(dá)6056000美元，是黑客所造成損失的16倍，病毒所造成損失的12倍。這組數(shù)據(jù)充分說(shuō)明了內(nèi)部人員泄密的嚴(yán)重危害，可以說(shuō)任何會(huì)操作電腦的內(nèi)部人士都是潛在的內(nèi)網(wǎng)安全威脅。目前，各級(jí)各類(lèi)涉密網(wǎng)絡(luò)外部信息安全防護(hù)程度較高，綜合采取防火墻、多重安全網(wǎng)關(guān)、網(wǎng)閘、入侵檢測(cè)、密碼加密、物理隔離等技術(shù)方法，較好的實(shí)現(xiàn)了對(duì)來(lái)自外部入侵的安奈防護(hù),但是內(nèi)部監(jiān)管問(wèn)題依然嚴(yán)重存在，目前流行的“企盾”等監(jiān)控軟件主要實(shí)現(xiàn)了應(yīng)用層的監(jiān)控管理，存在一定缺陷，如何采取技術(shù)手段強(qiáng)化涉密網(wǎng)絡(luò)內(nèi)部安全監(jiān)控與管理，是當(dāng)前信息安全領(lǐng)域需要研究解決的一個(gè)熱點(diǎn)問(wèn)題。

1 涉密網(wǎng)絡(luò)內(nèi)部存在的信息安全隱患

    目前，信息網(wǎng)絡(luò)安全已經(jīng)得到了各行業(yè)、各部門(mén)的高度重視，采取了有力的措施，但是由于缺乏有效的信息安全內(nèi)部監(jiān)控管理措施，在相對(duì)安全的情況下，仍存在一些不安全因素，主要表現(xiàn)在以下幾個(gè)方面。

    1 .1隨意接入涉密網(wǎng)，竊取秘密信息

    由于絕大多數(shù)涉密信息網(wǎng)絡(luò)沒(méi)有安裝專(zhuān)業(yè)的監(jiān)控管理系統(tǒng)，可以采取使用涉密網(wǎng)絡(luò)IP地址的方法，將個(gè)人計(jì)算機(jī)終端隨意接入涉密網(wǎng)，復(fù)制網(wǎng)絡(luò)內(nèi)的各種涉密信息，影響內(nèi)部涉密信息安全。

    1.2計(jì)算機(jī)在涉密網(wǎng)和互聯(lián)網(wǎng)之間交替使用

    為方便使用，工作用的涉密計(jì)算機(jī)“一機(jī)跨兩網(wǎng)”，根據(jù)工作需要，將涉密計(jì)算機(jī)在涉密網(wǎng)絡(luò)和國(guó)際互聯(lián)網(wǎng)之間交替使用，造成涉密計(jì)算機(jī)內(nèi)信息被互聯(lián)網(wǎng)嗅探工具探側(cè)并截獲。

    1.3使用移動(dòng)存儲(chǔ)設(shè)備，造成信息外泄

    隨著移動(dòng)存儲(chǔ)載體的廣泛使用，個(gè)人工作或?qū)W習(xí)中使用的移動(dòng)存儲(chǔ)設(shè)備(U盤(pán)、移動(dòng)硬盤(pán)等)，在涉密網(wǎng)主機(jī)上隨意復(fù)制信息，再接入互聯(lián)網(wǎng)等其他非密網(wǎng)絡(luò)計(jì)算機(jī)終端，造成涉密信息外流;甚至外來(lái)人員故意使用移動(dòng)存儲(chǔ)設(shè)備，從涉密計(jì)算機(jī)上隨意復(fù)制信息，造成涉密信息外泄。

    1.4隨意使用外部設(shè)備，導(dǎo)致信息泄露

    涉密網(wǎng)絡(luò)中使用的計(jì)算機(jī)外部設(shè)備，若使用管理不當(dāng)，也會(huì)成為泄露秘密信息的途徑。比如，涉密計(jì)算機(jī)外接的打印機(jī)，如果不進(jìn)行監(jiān)控管理，可隨意打印涉密文檔資料，也極易造成涉密信息外泄。

    因此，為加強(qiáng)涉密網(wǎng)絡(luò)內(nèi)部信息安全管理，必須對(duì)涉密網(wǎng)絡(luò)的軟、硬件進(jìn)行有效的管理防護(hù)，對(duì)網(wǎng)絡(luò)運(yùn)行進(jìn)行嚴(yán)密的監(jiān)控審計(jì)，對(duì)網(wǎng)絡(luò)接入和個(gè)人網(wǎng)絡(luò)行為進(jìn)行授權(quán)和訪(fǎng)問(wèn)控制，達(dá)到安全防護(hù)的目的，防止外部人員蓄意非法進(jìn)入和內(nèi)部人員出于各種動(dòng)機(jī)導(dǎo)致的涉密信息外泄。

圖1 涉密網(wǎng)絡(luò)內(nèi)部安全監(jiān)控管理系統(tǒng)

2 涉密網(wǎng)絡(luò)內(nèi)部安全監(jiān)控管理系統(tǒng)設(shè)計(jì)

    2.1系統(tǒng)總體設(shè)計(jì)

    按照涉密信息網(wǎng)絡(luò)建設(shè)總體要求和安全管理需求，綜合運(yùn)用網(wǎng)絡(luò)信息安全技術(shù)對(duì)涉密網(wǎng)絡(luò)和主機(jī)采用監(jiān)視、控制、審計(jì)等安全防護(hù)手段，統(tǒng)籌考慮可能出現(xiàn)的各種信息泄密途徑，對(duì)計(jì)算機(jī)的軟硬件資源、文件系統(tǒng)等進(jìn)行集中監(jiān)控與管理。采取事前預(yù)防、事中監(jiān)控、事后審計(jì)的管理方法，進(jìn)行嚴(yán)格的管理、監(jiān)控、審計(jì)，實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)和終端的實(shí)時(shí)管理與控制。功能結(jié)構(gòu)如圖1所示。

    2.1.1安全管理系統(tǒng)

    完成對(duì)網(wǎng)絡(luò)內(nèi)的各種設(shè)備、接入網(wǎng)絡(luò)的主機(jī)軟硬件資源進(jìn)行統(tǒng)一管理和控制，對(duì)網(wǎng)絡(luò)用戶(hù)進(jìn)行認(rèn)證和注冊(cè)，使用戶(hù)按照自己的身份、權(quán)限進(jìn)行正常辦公和訪(fǎng)問(wèn)，控制非法用戶(hù)進(jìn)入網(wǎng)內(nèi)。包括主機(jī)管理、網(wǎng)絡(luò)管理和硬件管理。通過(guò)系統(tǒng)的管理功能，達(dá)到控制網(wǎng)絡(luò)內(nèi)部開(kāi)放的目的，使得局域網(wǎng)內(nèi)的涉密信息不被非法盜取，確保網(wǎng)絡(luò)內(nèi)部的安全運(yùn)行。

    2.1.2安全監(jiān)控系統(tǒng)

    對(duì)網(wǎng)絡(luò)各級(jí)節(jié)點(diǎn)的運(yùn)行狀態(tài)、終端用戶(hù)行為等進(jìn)行實(shí)時(shí)監(jiān)視，并對(duì)發(fā)現(xiàn)的違規(guī)操作或非法行為采取相應(yīng)的控制措施。主要包括實(shí)時(shí)報(bào)警、網(wǎng)絡(luò)監(jiān)控、服務(wù)監(jiān)控等。通過(guò)監(jiān)控系統(tǒng)的監(jiān)控功能，使網(wǎng)絡(luò)管理人員能夠準(zhǔn)確定位事件發(fā)生的地點(diǎn)、機(jī)器、人員，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)部的信息安全隱患和非法用戶(hù)的違規(guī)行為，及時(shí)采取有效措施，消除安全隱患，阻止非法用戶(hù)或內(nèi)部人員的竊密行為。

    2.1.3安全審計(jì)系統(tǒng)

    主要對(duì)系統(tǒng)管理、監(jiān)控所涉及的內(nèi)容進(jìn)行實(shí)時(shí)記錄，將主機(jī)的行為活動(dòng)進(jìn)行記錄并由客戶(hù)端上傳到服務(wù)器的數(shù)據(jù)庫(kù)內(nèi)，以備對(duì)用戶(hù)的行為進(jìn)行事后追查。

    2.2涉密網(wǎng)絡(luò)內(nèi)部安全監(jiān)控管理系統(tǒng)實(shí)現(xiàn)的功能

    該系統(tǒng)要既能夠使現(xiàn)有的信息網(wǎng)絡(luò)發(fā)揮正常功能和作用，同時(shí)能夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)及其使用狀況的監(jiān)控管理，綜合運(yùn)用信息安全技術(shù)，采用監(jiān)視、控制、審計(jì)等安全防護(hù)手段，統(tǒng)籌考慮可能出現(xiàn)的各種信息內(nèi)部泄密途徑，實(shí)現(xiàn)對(duì)涉密信息網(wǎng)絡(luò)和涉密計(jì)算機(jī)的軟硬件資源、文件系統(tǒng)進(jìn)行集中的監(jiān)控與管理。

    2.2.1對(duì)內(nèi)網(wǎng)計(jì)算機(jī)進(jìn)行安全管理

    實(shí)現(xiàn)內(nèi)網(wǎng)計(jì)算機(jī)的統(tǒng)一管理，計(jì)算機(jī)必須進(jìn)行注冊(cè)才能成為內(nèi)網(wǎng)合法計(jì)算機(jī)，所有聯(lián)網(wǎng)的計(jì)算機(jī)都處在系統(tǒng)的網(wǎng)絡(luò)監(jiān)控管理范圍之內(nèi)，通過(guò)本系統(tǒng)對(duì)網(wǎng)絡(luò)連接情況、計(jì)算機(jī)軟硬件資源使用情況、安全審計(jì)記錄、使用權(quán)限、共享資源等進(jìn)行有效的監(jiān)督和管理。通過(guò)管理，使網(wǎng)內(nèi)計(jì)算機(jī)的對(duì)內(nèi)、對(duì)外訪(fǎng)問(wèn)權(quán)限處于管控之中，使其網(wǎng)絡(luò)地址、可訪(fǎng)問(wèn)網(wǎng)絡(luò)資源等由系統(tǒng)設(shè)定和指定，個(gè)人無(wú)法自行修改。

    2.2.2對(duì)主機(jī)非法接入進(jìn)行安全控制管理

    任何其它非注冊(cè)計(jì)算機(jī)接入內(nèi)網(wǎng)均視為違規(guī)，通過(guò)網(wǎng)絡(luò)控制功能可對(duì)違規(guī)接入的計(jì)算機(jī)采取阻斷或隔離等響應(yīng)措施。系統(tǒng)能夠及時(shí)對(duì)危害網(wǎng)絡(luò)及網(wǎng)內(nèi)主機(jī)的信息安全、對(duì)網(wǎng)絡(luò)信息安全造成威脅的行為進(jìn)行報(bào)警。

    2.2.3對(duì)計(jì)算機(jī)接口、輸入輸出設(shè)備進(jìn)行統(tǒng)一管理

    系統(tǒng)能夠管理控制硬件設(shè)備包括所有的計(jì)算機(jī)接口(USB設(shè)備、串口、并口、RJ45等)和外設(shè)(光驅(qū)、鍵盤(pán)、鼠標(biāo)、刻錄機(jī)、打印機(jī)、掃描儀、傳真機(jī)、紅外設(shè)備等)的使用或禁用，并能夠?qū)Υ蛴�機(jī)、掃描儀、傳真機(jī)、移動(dòng)存儲(chǔ)設(shè)備等外掛硬件設(shè)備進(jìn)行登記管理。系統(tǒng)能夠通過(guò)配置安全策略，控制計(jì)算機(jī)外部設(shè)備及接口的使用。系統(tǒng)可關(guān)閉和開(kāi)放輸入/輸出設(shè)備，并對(duì)設(shè)備的使用情況進(jìn)行記錄。

    2.2.4對(duì)移動(dòng)存儲(chǔ)設(shè)備進(jìn)行注冊(cè)使用

    系統(tǒng)可對(duì)移動(dòng)存儲(chǔ)設(shè)備(U盤(pán)、移動(dòng)硬盤(pán)等)實(shí)行注冊(cè)使用制，對(duì)本單位使用的各種各類(lèi)移動(dòng)存儲(chǔ)設(shè)備進(jìn)行統(tǒng)一注冊(cè)管理，凡在網(wǎng)內(nèi)或脫網(wǎng)機(jī)器上使用的存儲(chǔ)設(shè)備必須經(jīng)過(guò)注冊(cè)，不注冊(cè)不能使用，注冊(cè)后不能在網(wǎng)絡(luò)以外的計(jì)算機(jī)上使用，達(dá)到雙向隔離的目的，避免移動(dòng)存儲(chǔ)設(shè)備在管控以外的計(jì)算機(jī)上使用，堵塞移動(dòng)存儲(chǔ)設(shè)備相互復(fù)制造成涉密信息外外泄的漏洞。

    2.2.5對(duì)網(wǎng)絡(luò)行為和內(nèi)網(wǎng)計(jì)算機(jī)進(jìn)行監(jiān)控

    系統(tǒng)能夠?qū)�網(wǎng)絡(luò)各級(jí)節(jié)點(diǎn)的運(yùn)行狀態(tài)、終端用戶(hù)行為進(jìn)行實(shí)時(shí)監(jiān)視，并對(duì)發(fā)現(xiàn)的違規(guī)操作或非法行為采取必要的控制措施。主要包括實(shí)時(shí)報(bào)警、網(wǎng)絡(luò)監(jiān)控、服務(wù)監(jiān)控等。通過(guò)監(jiān)控功能，網(wǎng)絡(luò)管理人員能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)部的信息安全隱患和非法用戶(hù)的竊密行為，及時(shí)采取有效措施，消除安全隱患，阻止非法用戶(hù)或內(nèi)部人員的竊密行為。

    2.2.6對(duì)網(wǎng)絡(luò)運(yùn)行情況和計(jì)算機(jī)操作進(jìn)行審計(jì)

    系統(tǒng)可對(duì)系統(tǒng)管理、監(jiān)控所涉及的內(nèi)容進(jìn)行實(shí)時(shí)記錄，將涉密計(jì)算機(jī)的行為活動(dòng)進(jìn)行記錄、審計(jì)，并由客戶(hù)端上傳到服務(wù)器的數(shù)據(jù)庫(kù)內(nèi)，協(xié)助網(wǎng)絡(luò)管理人員對(duì)網(wǎng)絡(luò)安全問(wèn)題進(jìn)行定期分析，做出網(wǎng)絡(luò)安全情況報(bào)告和備案，以備對(duì)用戶(hù)的行為進(jìn)行事后追查。

3 主機(jī)非法接入安全控制管理功能的實(shí)現(xiàn)

    本小節(jié)主要介紹主機(jī)非法接入安全控制管理功能的實(shí)現(xiàn)。為更好的保護(hù)網(wǎng)絡(luò)，防止主機(jī)非法接入網(wǎng)絡(luò)，首先要考慮各種產(chǎn)生非法接入的情況

    （1）只修改IP地址。通過(guò)比較用戶(hù)注冊(cè)信息庫(kù)中IP-MAC對(duì)應(yīng)表，發(fā)現(xiàn)非法的IP地址，進(jìn)而阻止其接入網(wǎng)絡(luò)。

    （2）成對(duì)修改IP-MAC地址。分兩種情況:一是合法用戶(hù)未接入網(wǎng)內(nèi)，非法用戶(hù)盜用其IP和MAC地址，由于沒(méi)有注冊(cè)，盜用者將被發(fā)現(xiàn);或者非法用戶(hù)盜取合法用戶(hù)帳號(hào)和密碼，但賬戶(hù)信息與IP-MAC不對(duì)應(yīng)，可檢側(cè)出非法用戶(hù);二是合法用戶(hù)已接入涉密網(wǎng)內(nèi)，非法用戶(hù)修改其IP和MAC地址與合法用戶(hù)的相同，此時(shí)兩個(gè)用戶(hù)的IP和MAC地址重復(fù)，比較登錄時(shí)間并阻斷后登錄的用戶(hù)。

    針對(duì)以上情況，設(shè)計(jì)并實(shí)現(xiàn)了內(nèi)網(wǎng)防非法接入監(jiān)控子系統(tǒng)，其邏輯結(jié)構(gòu)如圖2所示。主要是結(jié)合用戶(hù)認(rèn)證和IP一MAC綁定技術(shù)，按照三個(gè)步驟實(shí)現(xiàn)系統(tǒng)功能。

    第一步:采用身份特征匹配方法實(shí)現(xiàn)入網(wǎng)用戶(hù)的身份驗(yàn)證，將用戶(hù)名、密碼、用戶(hù)終端. MAc地址等四元素綁定，采用DES對(duì)稱(chēng)加密算法、加密，發(fā)送到認(rèn)證主機(jī)，利用查詢(xún)統(tǒng)計(jì)的辦法對(duì)綁定特征進(jìn)行查詢(xún)，若通過(guò)認(rèn)證則正常登錄;若未通過(guò)認(rèn)證，分兩種情況:若用戶(hù)名、密碼不匹配，則將其添加到非法日志庫(kù)中，進(jìn)入第三步，若用戶(hù)終端IP, MAC地址不匹配，則進(jìn)入第二步。

    第二步:使用Libnet開(kāi)發(fā)包，構(gòu)造ARP請(qǐng)求包，請(qǐng)求獲得目的IP的MAC地址，使用WinPcap捕獲ARP回應(yīng)包，分析ARP回應(yīng)包得到目標(biāo)主機(jī)的IP地址和MAC地址，然后進(jìn)入第三步。

圖2 涉密網(wǎng)絡(luò)內(nèi)部安全監(jiān)控管理系統(tǒng)邏輯結(jié)構(gòu)圖

    第三步：若非法信息由第一個(gè)步驟產(chǎn)生，則發(fā)送報(bào)警信息到監(jiān)控臺(tái)并記錄非法信息到日志庫(kù)中供日后審計(jì)；若非法信息由第二個(gè)步驟產(chǎn)生，則采用AI強(qiáng)欺騙的方式立即阻斷此主機(jī)與網(wǎng)絡(luò)的連接，然后發(fā)送報(bào)警信息到監(jiān)控臺(tái)并記錄非法信息。(如圖2)

4 結(jié)束語(yǔ)

    針對(duì)涉密網(wǎng)絡(luò)和涉密主機(jī)可能出現(xiàn)的各種內(nèi)部信息泄密途徑，本文綜合運(yùn)用信息安全技術(shù)，采用監(jiān)視、控制、審計(jì)等安全防護(hù)手段，對(duì)計(jì)算機(jī)的軟硬件資源、文件系統(tǒng)進(jìn)行集中的監(jiān)控與管理，采取事前預(yù)防、事中監(jiān)控、事后審計(jì)的管理方法，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)和終端的實(shí)時(shí)管理與控制，滿(mǎn)足了涉密網(wǎng)絡(luò)建設(shè)總體要求和安全管理需要。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://m.kaqidy.com/

本文標(biāo)題：涉密網(wǎng)絡(luò)內(nèi)部安全監(jiān)控管理系統(tǒng)設(shè)計(jì)

本文網(wǎng)址：http://m.kaqidy.com/html/support/11121810083.html