對涉密網絡安全管理技術的研究

　 1涉密網絡安全管理的主要解決問題

　　隨著涉密網絡技術的應用和人們安全防范意識的增強。各種內外網安全管理的技術也隨之增多。一時間，加強個人桌面管理及安全的身份識別，個人行為規范的終端管理軟件，涉密文件的保護加密軟件，為了保護計算機系統而開發的防病毒軟件等，已經逐步被人們認識和接受。但是，這各種應用軟件都需要在個人的系統中安裝一個管理程序，都有一套自己獨立的工作方式和策略，都需要進行不同的分別化管理。這些系統獨立性明顯，各自的管理功能往往不夠全面，以點帶面的情況嚴重。在實際的應用中會產生負效應，比如：不同的軟件之間的功能重疊。不同的軟件都需要消耗額外的系統資源，導致沖突，引發系統穩定性下降；安全系統各自獨立，沒有統一的管理方式，出現安全事件的時候不具備聯合“作戰”的能力。

　　因此，表面看涉密網絡的安全管理軟件是實現了一定的防護功能，但是其增加的管理復雜性，又很難保證整體安全性的完整和統一。按照動態安全模式，一個安全系統的信息處理系統應具備：檢測、保護，效應這三個基本環節，以此保證系統的獨立工作的安全性。總之現代的涉密網絡安全管理技術缺乏一個整體性的平臺，將各種保護軟件進行必要的整合和優化，形成完整的保護及信息處理體系。

　　2涉密網絡安全管理涉及的安全事件描述

　　涉密網絡安全管理，主要的管理對象就是在網絡中威脅涉密網絡信息安全的用戶所采取的“非法”獲取數據的行為。這些“非法”主要是指利用技術手段違反安全規則，并以此獲得涉密信息。因此要進行安全管理就應當將不安全的用戶行為進行分類并進行相應的措施進行管理才能達到保證安全的目的。

　　首先網絡安全涉及的概念有這樣幾個：(1)涉密網絡，即存在有機密數據傳輸的內部網絡。(2)網絡行為，即用戶通過網絡的技術支持所實現的各種操作。(3)安全事件，即違反了某個個網絡安全規則，對網絡機密數據產生威脅的網絡事件，其中包括用戶、行為、時間這三個必備的屬性。4)安全行為，即針對產生網絡威脅安全事件的管理行為。包括的是時間，對象，動作這三個基本屬性。

　　通過對網絡安全事件的記錄和統計，可以發現違反網絡安全規則的行為可以是訪問敏感信息，竊聽、誤用、機密文件傳輸等。這些行為可以是主動的也可以足被動的，而其具體的行為就是竊聽、傳輸、訪問。具體看安全事件的行為有這樣幾個實例：(1)主動的訪問敏感的信息，包括HTTP、BBS、聊天軟件等。(2)誤用的網絡行為，包括誤用物理鏈接。將內外網絡連通，木馬病毒感染，導致內外信息被盜。(3)網絡竊聽，主要就是sniff行為。(4)機密文件的傳輸，涉密網絡中的機密文件被非法的進行傳輸，包括郵件，聊天軟件、ftp文件等。

　　3涉密網絡的安全管理系統構建

　　3.1安全管理硬件結構

　　針對不同的網絡安全事件，涉密信息網絡的安全管理應當從幾個層面進行全面的安全防護體系的構建。其涉及的網絡系統包括，服務器、信息服務系統、數據庫服務系統，網絡存儲器等。

　　首先，應當明確應用服務器是內網絡實現連接和數據傳輸的重要通道。信息服務器、網絡存儲、數據服務器與應用服務器相互聯系實現涉密信息的封閉式傳輸。這里的應用服務器采用的服務運算模式，主要是遠程接入技術和軟件操作系統組成的策略技術為主導，專門負責基于網絡封閉計算的應用交互，是具備獨立計算模式應用的服務器，也是整個專網涉密信息安全傳輸的基礎。信息服務器和網絡存儲、數據庫服務器都是通過這個服務器所建立起來的通道進行涉密信息的傳遞，在一個封閉內網環境中接受指定用戶對涉密信息的應用請求，分別提供相應的瀏覽、存儲、交互等服務。同時也識別和拒絕某些非法的安全事件的發生，并利用自身的軟件系統來抵御主動的安全事件的訪問。

　　3.2安全管理的軟件系統構建

　　(1)操作系統和應用軟件。這些軟件是最基本的網絡訪問接入軟件，而網絡訪問應用接入軟件可以對操作系統進行深入的訪問。為此，安全化管理從操作系統的基本運行機制入手將應用邏輯和操作界面分開，以實現整個內部網絡的封閉和安全。

　　(2)應用程序的完善，應用程序主要是在操作系統的基礎上形成的具有特定功能的用于程序，實際上在內部網絡是遠程接入軟件實現功能的對象，即遠程接入軟件實現連接后，就會使用這些應用程序完成某項操作，而達到訪問的目的。

　　(3)是最高級別的安全管理組件的應用，有：基本安全管理組件；傳輸監測組件，主要包括網絡數據捕獲、協議數據還原、敏感信息過濾及結果處理等四個子模塊；竊聽檢測組件，竊聽監測安全組件主要包括共享式網絡Sniff行為。

　　3.3安全管理的具體措施

　　(1)客戶端卸載限制，客戶端經控制臺授權安裝，未經授權用戶將無法卸載，即卸載程序的存放和發起均在控制端，且客戶端的權限為使用權。(2)網絡連接限制，即客戶端通過控制臺分配的IP地址訪問內網，且1P地址與客戶端對應計算機的MAC地址綁定，做到一個IP地址對應一個MAC地址，從而將計算機進行戶籍管理，客戶端每次訪問內網時均自動與控制臺存儲的該計算機信息進行核對，既防止了非授權計算機接入內網，又能夠在違規事件發生的第一時間鎖定違規計算機，控制或限制其行為。(3)登陸限制，可以采用KEY登陸方式，可以是USB KEY，也可以是密碼KEY，也可以將二者綁定，結合使用。設置密碼復雜度策略和控制密碼輸入次數策略，對登陸進行限制。(4)移動存儲器限制，移動存儲器在使用時應當在控制臺上進行注冊，并設計其經過控制臺的驗證方可使用。對沒有注冊的移動存儲器不予以驗證而無法使用。同時應保證沒有客戶端的計算機不能對其進行驗證，以此避免客戶利益非客戶端網絡進行數據的轉移和下載，保證涉密信息的安全。(5)客戶端的硬件限制，客戶端用戶在計算機上安裝的硬件設備可能存在失密隱患，諸如光驅，帶藍牙，紅外等無線收發數據的模塊�？梢酝ㄟ^在控制臺配置策略將光驅、藍牙，紅外等接口關閉，策略下發到客戶端后即可控制相應端口的使用。以此保證非安全的硬件接入到涉密網絡中。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://m.hanmeixuan.com/

本文標題：對涉密網絡安全管理技術的研究

本文網址：http://m.hanmeixuan.com/html/support/11121510986.html