引言

    隨著信息技術(shù)的飛速發(fā)展和網(wǎng)絡(luò)建設(shè)的不斷深入，現(xiàn)代社會對信息網(wǎng)絡(luò)的依賴度越來越高，許多單位和部門建立了內(nèi)部局域網(wǎng)，實現(xiàn)了辦公自動化，但在網(wǎng)絡(luò)給工作帶來便利的同時，網(wǎng)絡(luò)信息安全問題也越來越突出。涉密信息、內(nèi)部敏感內(nèi)容在網(wǎng)絡(luò)上流轉(zhuǎn)，存在嚴(yán)重的安全隱患，受到了普遍關(guān)注。目前，人們把大部分的財力、物力放在來自外網(wǎng)的攻擊上，但FBI和CSI對484家公司進(jìn)行的網(wǎng)絡(luò)安全專項調(diào)查結(jié)果顯示:超過85%的安全威脅來自單位內(nèi)部，其中16%來自內(nèi)部未授權(quán)的存取，14%來自專利信息被竊取，12%來自內(nèi)部人員的欺騙，只有5%是來自黑客的攻擊;在損失金額上，由內(nèi)部人員泄密導(dǎo)致的損失高達(dá)6056000美元，是黑客所造成損失的16倍，病毒所造成損失的12倍。這組數(shù)據(jù)充分說明了內(nèi)部人員泄密的嚴(yán)重危害，可以說任何會操作電腦的內(nèi)部人士都是潛在的內(nèi)網(wǎng)安全威脅。目前，各級各類涉密網(wǎng)絡(luò)外部信息安全防護(hù)程度較高，綜合采取防火墻、多重安全網(wǎng)關(guān)、網(wǎng)閘、入侵檢測、密碼加密、物理隔離等技術(shù)方法，較好的實現(xiàn)了對來自外部入侵的安奈防護(hù),但是內(nèi)部監(jiān)管問題依然嚴(yán)重存在，目前流行的“企盾”等監(jiān)控軟件主要實現(xiàn)了應(yīng)用層的監(jiān)控管理，存在一定缺陷，如何采取技術(shù)手段強化涉密網(wǎng)絡(luò)內(nèi)部安全監(jiān)控與管理，是當(dāng)前信息安全領(lǐng)域需要研究解決的一個熱點問題。

1 涉密網(wǎng)絡(luò)內(nèi)部存在的信息安全隱患

    目前，信息網(wǎng)絡(luò)安全已經(jīng)得到了各行業(yè)、各部門的高度重視，采取了有力的措施，但是由于缺乏有效的信息安全內(nèi)部監(jiān)控管理措施，在相對安全的情況下，仍存在一些不安全因素，主要表現(xiàn)在以下幾個方面。

    1 .1隨意接入涉密網(wǎng)，竊取秘密信息

    由于絕大多數(shù)涉密信息網(wǎng)絡(luò)沒有安裝專業(yè)的監(jiān)控管理系統(tǒng)，可以采取使用涉密網(wǎng)絡(luò)IP地址的方法，將個人計算機終端隨意接入涉密網(wǎng)，復(fù)制網(wǎng)絡(luò)內(nèi)的各種涉密信息，影響內(nèi)部涉密信息安全。

    1.2計算機在涉密網(wǎng)和互聯(lián)網(wǎng)之間交替使用

    為方便使用，工作用的涉密計算機“一機跨兩網(wǎng)”，根據(jù)工作需要，將涉密計算機在涉密網(wǎng)絡(luò)和國際互聯(lián)網(wǎng)之間交替使用，造成涉密計算機內(nèi)信息被互聯(lián)網(wǎng)嗅探工具探側(cè)并截獲。

    1.3使用移動存儲設(shè)備，造成信息外泄

    隨著移動存儲載體的廣泛使用，個人工作或?qū)W習(xí)中使用的移動存儲設(shè)備(U盤、移動硬盤等)，在涉密網(wǎng)主機上隨意復(fù)制信息，再接入互聯(lián)網(wǎng)等其他非密網(wǎng)絡(luò)計算機終端，造成涉密信息外流;甚至外來人員故意使用移動存儲設(shè)備，從涉密計算機上隨意復(fù)制信息，造成涉密信息外泄。

    1.4隨意使用外部設(shè)備，導(dǎo)致信息泄露

    涉密網(wǎng)絡(luò)中使用的計算機外部設(shè)備，若使用管理不當(dāng)，也會成為泄露秘密信息的途徑。比如，涉密計算機外接的打印機，如果不進(jìn)行監(jiān)控管理，可隨意打印涉密文檔資料，也極易造成涉密信息外泄。

    因此，為加強涉密網(wǎng)絡(luò)內(nèi)部信息安全管理，必須對涉密網(wǎng)絡(luò)的軟、硬件進(jìn)行有效的管理防護(hù)，對網(wǎng)絡(luò)運行進(jìn)行嚴(yán)密的監(jiān)控審計，對網(wǎng)絡(luò)接入和個人網(wǎng)絡(luò)行為進(jìn)行授權(quán)和訪問控制，達(dá)到安全防護(hù)的目的，防止外部人員蓄意非法進(jìn)入和內(nèi)部人員出于各種動機導(dǎo)致的涉密信息外泄。

圖1 涉密網(wǎng)絡(luò)內(nèi)部安全監(jiān)控管理系統(tǒng)

2 涉密網(wǎng)絡(luò)內(nèi)部安全監(jiān)控管理系統(tǒng)設(shè)計

    2.1系統(tǒng)總體設(shè)計

    按照涉密信息網(wǎng)絡(luò)建設(shè)總體要求和安全管理需求，綜合運用網(wǎng)絡(luò)信息安全技術(shù)對涉密網(wǎng)絡(luò)和主機采用監(jiān)視、控制、審計等安全防護(hù)手段，統(tǒng)籌考慮可能出現(xiàn)的各種信息泄密途徑，對計算機的軟硬件資源、文件系統(tǒng)等進(jìn)行集中監(jiān)控與管理。采取事前預(yù)防、事中監(jiān)控、事后審計的管理方法，進(jìn)行嚴(yán)格的管理、監(jiān)控、審計，實現(xiàn)對整個網(wǎng)絡(luò)和終端的實時管理與控制。功能結(jié)構(gòu)如圖1所示。

    2.1.1安全管理系統(tǒng)

    完成對網(wǎng)絡(luò)內(nèi)的各種設(shè)備、接入網(wǎng)絡(luò)的主機軟硬件資源進(jìn)行統(tǒng)一管理和控制，對網(wǎng)絡(luò)用戶進(jìn)行認(rèn)證和注冊，使用戶按照自己的身份、權(quán)限進(jìn)行正常辦公和訪問，控制非法用戶進(jìn)入網(wǎng)內(nèi)。包括主機管理、網(wǎng)絡(luò)管理和硬件管理。通過系統(tǒng)的管理功能，達(dá)到控制網(wǎng)絡(luò)內(nèi)部開放的目的，使得局域網(wǎng)內(nèi)的涉密信息不被非法盜取，確保網(wǎng)絡(luò)內(nèi)部的安全運行。

    2.1.2安全監(jiān)控系統(tǒng)

    對網(wǎng)絡(luò)各級節(jié)點的運行狀態(tài)、終端用戶行為等進(jìn)行實時監(jiān)視，并對發(fā)現(xiàn)的違規(guī)操作或非法行為采取相應(yīng)的控制措施。主要包括實時報警、網(wǎng)絡(luò)監(jiān)控、服務(wù)監(jiān)控等。通過監(jiān)控系統(tǒng)的監(jiān)控功能，使網(wǎng)絡(luò)管理人員能夠準(zhǔn)確定位事件發(fā)生的地點、機器、人員，及時發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)部的信息安全隱患和非法用戶的違規(guī)行為，及時采取有效措施，消除安全隱患，阻止非法用戶或內(nèi)部人員的竊密行為。

    2.1.3安全審計系統(tǒng)

    主要對系統(tǒng)管理、監(jiān)控所涉及的內(nèi)容進(jìn)行實時記錄，將主機的行為活動進(jìn)行記錄并由客戶端上傳到服務(wù)器的數(shù)據(jù)庫內(nèi)，以備對用戶的行為進(jìn)行事后追查。

    2.2涉密網(wǎng)絡(luò)內(nèi)部安全監(jiān)控管理系統(tǒng)實現(xiàn)的功能

    該系統(tǒng)要既能夠使現(xiàn)有的信息網(wǎng)絡(luò)發(fā)揮正常功能和作用，同時能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)及其使用狀況的監(jiān)控管理，綜合運用信息安全技術(shù)，采用監(jiān)視、控制、審計等安全防護(hù)手段，統(tǒng)籌考慮可能出現(xiàn)的各種信息內(nèi)部泄密途徑，實現(xiàn)對涉密信息網(wǎng)絡(luò)和涉密計算機的軟硬件資源、文件系統(tǒng)進(jìn)行集中的監(jiān)控與管理。

    2.2.1對內(nèi)網(wǎng)計算機進(jìn)行安全管理

    實現(xiàn)內(nèi)網(wǎng)計算機的統(tǒng)一管理，計算機必須進(jìn)行注冊才能成為內(nèi)網(wǎng)合法計算機，所有聯(lián)網(wǎng)的計算機都處在系統(tǒng)的網(wǎng)絡(luò)監(jiān)控管理范圍之內(nèi)，通過本系統(tǒng)對網(wǎng)絡(luò)連接情況、計算機軟硬件資源使用情況、安全審計記錄、使用權(quán)限、共享資源等進(jìn)行有效的監(jiān)督和管理。通過管理，使網(wǎng)內(nèi)計算機的對內(nèi)、對外訪問權(quán)限處于管控之中，使其網(wǎng)絡(luò)地址、可訪問網(wǎng)絡(luò)資源等由系統(tǒng)設(shè)定和指定，個人無法自行修改。

    2.2.2對主機非法接入進(jìn)行安全控制管理

    任何其它非注冊計算機接入內(nèi)網(wǎng)均視為違規(guī)，通過網(wǎng)絡(luò)控制功能可對違規(guī)接入的計算機采取阻斷或隔離等響應(yīng)措施。系統(tǒng)能夠及時對危害網(wǎng)絡(luò)及網(wǎng)內(nèi)主機的信息安全、對網(wǎng)絡(luò)信息安全造成威脅的行為進(jìn)行報警。

    2.2.3對計算機接口、輸入輸出設(shè)備進(jìn)行統(tǒng)一管理

    系統(tǒng)能夠管理控制硬件設(shè)備包括所有的計算機接口(USB設(shè)備、串口、并口、RJ45等)和外設(shè)(光驅(qū)、鍵盤、鼠標(biāo)、刻錄機、打印機、掃描儀、傳真機、紅外設(shè)備等)的使用或禁用，并能夠?qū)Υ蛴�機、掃描儀、傳真機、移動存儲設(shè)備等外掛硬件設(shè)備進(jìn)行登記管理。系統(tǒng)能夠通過配置安全策略，控制計算機外部設(shè)備及接口的使用。系統(tǒng)可關(guān)閉和開放輸入/輸出設(shè)備，并對設(shè)備的使用情況進(jìn)行記錄。

    2.2.4對移動存儲設(shè)備進(jìn)行注冊使用

    系統(tǒng)可對移動存儲設(shè)備(U盤、移動硬盤等)實行注冊使用制，對本單位使用的各種各類移動存儲設(shè)備進(jìn)行統(tǒng)一注冊管理，凡在網(wǎng)內(nèi)或脫網(wǎng)機器上使用的存儲設(shè)備必須經(jīng)過注冊，不注冊不能使用，注冊后不能在網(wǎng)絡(luò)以外的計算機上使用，達(dá)到雙向隔離的目的，避免移動存儲設(shè)備在管控以外的計算機上使用，堵塞移動存儲設(shè)備相互復(fù)制造成涉密信息外外泄的漏洞。

    2.2.5對網(wǎng)絡(luò)行為和內(nèi)網(wǎng)計算機進(jìn)行監(jiān)控

    系統(tǒng)能夠?qū)�網(wǎng)絡(luò)各級節(jié)點的運行狀態(tài)、終端用戶行為進(jìn)行實時監(jiān)視，并對發(fā)現(xiàn)的違規(guī)操作或非法行為采取必要的控制措施。主要包括實時報警、網(wǎng)絡(luò)監(jiān)控、服務(wù)監(jiān)控等。通過監(jiān)控功能，網(wǎng)絡(luò)管理人員能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)部的信息安全隱患和非法用戶的竊密行為，及時采取有效措施，消除安全隱患，阻止非法用戶或內(nèi)部人員的竊密行為。

    2.2.6對網(wǎng)絡(luò)運行情況和計算機操作進(jìn)行審計

    系統(tǒng)可對系統(tǒng)管理、監(jiān)控所涉及的內(nèi)容進(jìn)行實時記錄，將涉密計算機的行為活動進(jìn)行記錄、審計，并由客戶端上傳到服務(wù)器的數(shù)據(jù)庫內(nèi)，協(xié)助網(wǎng)絡(luò)管理人員對網(wǎng)絡(luò)安全問題進(jìn)行定期分析，做出網(wǎng)絡(luò)安全情況報告和備案，以備對用戶的行為進(jìn)行事后追查。

3 主機非法接入安全控制管理功能的實現(xiàn)

    本小節(jié)主要介紹主機非法接入安全控制管理功能的實現(xiàn)。為更好的保護(hù)網(wǎng)絡(luò)，防止主機非法接入網(wǎng)絡(luò)，首先要考慮各種產(chǎn)生非法接入的情況

    （1）只修改IP地址。通過比較用戶注冊信息庫中IP-MAC對應(yīng)表，發(fā)現(xiàn)非法的IP地址，進(jìn)而阻止其接入網(wǎng)絡(luò)。

    （2）成對修改IP-MAC地址。分兩種情況:一是合法用戶未接入網(wǎng)內(nèi)，非法用戶盜用其IP和MAC地址，由于沒有注冊，盜用者將被發(fā)現(xiàn);或者非法用戶盜取合法用戶帳號和密碼，但賬戶信息與IP-MAC不對應(yīng)，可檢側(cè)出非法用戶;二是合法用戶已接入涉密網(wǎng)內(nèi)，非法用戶修改其IP和MAC地址與合法用戶的相同，此時兩個用戶的IP和MAC地址重復(fù)，比較登錄時間并阻斷后登錄的用戶。

    針對以上情況，設(shè)計并實現(xiàn)了內(nèi)網(wǎng)防非法接入監(jiān)控子系統(tǒng)，其邏輯結(jié)構(gòu)如圖2所示。主要是結(jié)合用戶認(rèn)證和IP一MAC綁定技術(shù)，按照三個步驟實現(xiàn)系統(tǒng)功能。

    第一步:采用身份特征匹配方法實現(xiàn)入網(wǎng)用戶的身份驗證，將用戶名、密碼、用戶終端. MAc地址等四元素綁定，采用DES對稱加密算法、加密，發(fā)送到認(rèn)證主機，利用查詢統(tǒng)計的辦法對綁定特征進(jìn)行查詢，若通過認(rèn)證則正常登錄;若未通過認(rèn)證，分兩種情況:若用戶名、密碼不匹配，則將其添加到非法日志庫中，進(jìn)入第三步，若用戶終端IP, MAC地址不匹配，則進(jìn)入第二步。

    第二步:使用Libnet開發(fā)包，構(gòu)造ARP請求包，請求獲得目的IP的MAC地址，使用WinPcap捕獲ARP回應(yīng)包，分析ARP回應(yīng)包得到目標(biāo)主機的IP地址和MAC地址，然后進(jìn)入第三步。

圖2 涉密網(wǎng)絡(luò)內(nèi)部安全監(jiān)控管理系統(tǒng)邏輯結(jié)構(gòu)圖

    第三步：若非法信息由第一個步驟產(chǎn)生，則發(fā)送報警信息到監(jiān)控臺并記錄非法信息到日志庫中供日后審計；若非法信息由第二個步驟產(chǎn)生，則采用AI強欺騙的方式立即阻斷此主機與網(wǎng)絡(luò)的連接，然后發(fā)送報警信息到監(jiān)控臺并記錄非法信息。(如圖2)

4 結(jié)束語

    針對涉密網(wǎng)絡(luò)和涉密主機可能出現(xiàn)的各種內(nèi)部信息泄密途徑，本文綜合運用信息安全技術(shù)，采用監(jiān)視、控制、審計等安全防護(hù)手段，對計算機的軟硬件資源、文件系統(tǒng)進(jìn)行集中的監(jiān)控與管理，采取事前預(yù)防、事中監(jiān)控、事后審計的管理方法，實現(xiàn)了對網(wǎng)絡(luò)和終端的實時管理與控制，滿足了涉密網(wǎng)絡(luò)建設(shè)總體要求和安全管理需要。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：涉密網(wǎng)絡(luò)內(nèi)部安全監(jiān)控管理系統(tǒng)設(shè)計

本文網(wǎng)址：http://www.oesoe.com/html/support/11121810083.html