引言
隨著信息技術的飛速發展和網絡建設的不斷深入,現代社會對信息網絡的依賴度越來越高,許多單位和部門建立了內部局域網,實現了辦公自動化,但在網絡給工作帶來便利的同時,網絡信息安全問題也越來越突出。涉密信息、內部敏感內容在網絡上流轉,存在嚴重的安全隱患,受到了普遍關注。目前,人們把大部分的財力、物力放在來自外網的攻擊上,但FBI和CSI對484家公司進行的網絡安全專項調查結果顯示:超過85%的安全威脅來自單位內部,其中16%來自內部未授權的存取,14%來自專利信息被竊取,12%來自內部人員的欺騙,只有5%是來自黑客的攻擊;在損失金額上,由內部人員泄密導致的損失高達6056000美元,是黑客所造成損失的16倍,病毒所造成損失的12倍。這組數據充分說明了內部人員泄密的嚴重危害,可以說任何會操作電腦的內部人士都是潛在的內網安全威脅。目前,各級各類涉密網絡外部信息安全防護程度較高,綜合采取防火墻、多重安全網關、網閘、入侵檢測、密碼加密、物理隔離等技術方法,較好的實現了對來自外部入侵的安奈防護,但是內部監管問題依然嚴重存在,目前流行的“企盾”等監控軟件主要實現了應用層的監控管理,存在一定缺陷,如何采取技術手段強化涉密網絡內部安全監控與管理,是當前信息安全領域需要研究解決的一個熱點問題。
1 涉密網絡內部存在的信息安全隱患
目前,信息網絡安全已經得到了各行業、各部門的高度重視,采取了有力的措施,但是由于缺乏有效的信息安全內部監控管理措施,在相對安全的情況下,仍存在一些不安全因素,主要表現在以下幾個方面。
1 .1隨意接入涉密網,竊取秘密信息
由于絕大多數涉密信息網絡沒有安裝專業的監控管理系統,可以采取使用涉密網絡IP地址的方法,將個人計算機終端隨意接入涉密網,復制網絡內的各種涉密信息,影響內部涉密信息安全。
1.2計算機在涉密網和互聯網之間交替使用
為方便使用,工作用的涉密計算機“一機跨兩網”,根據工作需要,將涉密計算機在涉密網絡和國際互聯網之間交替使用,造成涉密計算機內信息被互聯網嗅探工具探側并截獲。
1.3使用移動存儲設備,造成信息外泄
隨著移動存儲載體的廣泛使用,個人工作或學習中使用的移動存儲設備(U盤、移動硬盤等),在涉密網主機上隨意復制信息,再接入互聯網等其他非密網絡計算機終端,造成涉密信息外流;甚至外來人員故意使用移動存儲設備,從涉密計算機上隨意復制信息,造成涉密信息外泄。
1.4隨意使用外部設備,導致信息泄露
涉密網絡中使用的計算機外部設備,若使用管理不當,也會成為泄露秘密信息的途徑。比如,涉密計算機外接的打印機,如果不進行監控管理,可隨意打印涉密文檔資料,也極易造成涉密信息外泄。
因此,為加強涉密網絡內部信息安全管理,必須對涉密網絡的軟、硬件進行有效的管理防護,對網絡運行進行嚴密的監控審計,對網絡接入和個人網絡行為進行授權和訪問控制,達到安全防護的目的,防止外部人員蓄意非法進入和內部人員出于各種動機導致的涉密信息外泄。
圖1 涉密網絡內部安全監控管理系統
2 涉密網絡內部安全監控管理系統設計
2.1系統總體設計
按照涉密信息網絡建設總體要求和安全管理需求,綜合運用網絡信息安全技術對涉密網絡和主機采用監視、控制、審計等安全防護手段,統籌考慮可能出現的各種信息泄密途徑,對計算機的軟硬件資源、文件系統等進行集中監控與管理。采取事前預防、事中監控、事后審計的管理方法,進行嚴格的管理、監控、審計,實現對整個網絡和終端的實時管理與控制。功能結構如圖1所示。
2.1.1安全管理系統
完成對網絡內的各種設備、接入網絡的主機軟硬件資源進行統一管理和控制,對網絡用戶進行認證和注冊,使用戶按照自己的身份、權限進行正常辦公和訪問,控制非法用戶進入網內。包括主機管理、網絡管理和硬件管理。通過系統的管理功能,達到控制網絡內部開放的目的,使得局域網內的涉密信息不被非法盜取,確保網絡內部的安全運行。
2.1.2安全監控系統
對網絡各級節點的運行狀態、終端用戶行為等進行實時監視,并對發現的違規操作或非法行為采取相應的控制措施。主要包括實時報警、網絡監控、服務監控等。通過監控系統的監控功能,使網絡管理人員能夠準確定位事件發生的地點、機器、人員,及時發現網絡內部的信息安全隱患和非法用戶的違規行為,及時采取有效措施,消除安全隱患,阻止非法用戶或內部人員的竊密行為。
2.1.3安全審計系統
主要對系統管理、監控所涉及的內容進行實時記錄,將主機的行為活動進行記錄并由客戶端上傳到服務器的數據庫內,以備對用戶的行為進行事后追查。
2.2涉密網絡內部安全監控管理系統實現的功能
該系統要既能夠使現有的信息網絡發揮正常功能和作用,同時能夠實現對網絡及其使用狀況的監控管理,綜合運用信息安全技術,采用監視、控制、審計等安全防護手段,統籌考慮可能出現的各種信息內部泄密途徑,實現對涉密信息網絡和涉密計算機的軟硬件資源、文件系統進行集中的監控與管理。
2.2.1對內網計算機進行安全管理
實現內網計算機的統一管理,計算機必須進行注冊才能成為內網合法計算機,所有聯網的計算機都處在系統的網絡監控管理范圍之內,通過本系統對網絡連接情況、計算機軟硬件資源使用情況、安全審計記錄、使用權限、共享資源等進行有效的監督和管理。通過管理,使網內計算機的對內、對外訪問權限處于管控之中,使其網絡地址、可訪問網絡資源等由系統設定和指定,個人無法自行修改。
2.2.2對主機非法接入進行安全控制管理
任何其它非注冊計算機接入內網均視為違規,通過網絡控制功能可對違規接入的計算機采取阻斷或隔離等響應措施。系統能夠及時對危害網絡及網內主機的信息安全、對網絡信息安全造成威脅的行為進行報警。
2.2.3對計算機接口、輸入輸出設備進行統一管理
系統能夠管理控制硬件設備包括所有的計算機接口(USB設備、串口、并口、RJ45等)和外設(光驅、鍵盤、鼠標、刻錄機、打印機、掃描儀、傳真機、紅外設備等)的使用或禁用,并能夠對打印機、掃描儀、傳真機、移動存儲設備等外掛硬件設備進行登記管理。系統能夠通過配置安全策略,控制計算機外部設備及接口的使用。系統可關閉和開放輸入/輸出設備,并對設備的使用情況進行記錄。
2.2.4對移動存儲設備進行注冊使用
系統可對移動存儲設備(U盤、移動硬盤等)實行注冊使用制,對本單位使用的各種各類移動存儲設備進行統一注冊管理,凡在網內或脫網機器上使用的存儲設備必須經過注冊,不注冊不能使用,注冊后不能在網絡以外的計算機上使用,達到雙向隔離的目的,避免移動存儲設備在管控以外的計算機上使用,堵塞移動存儲設備相互復制造成涉密信息外外泄的漏洞。
2.2.5對網絡行為和內網計算機進行監控
系統能夠對網絡各級節點的運行狀態、終端用戶行為進行實時監視,并對發現的違規操作或非法行為采取必要的控制措施。主要包括實時報警、網絡監控、服務監控等。通過監控功能,網絡管理人員能夠及時發現網絡內部的信息安全隱患和非法用戶的竊密行為,及時采取有效措施,消除安全隱患,阻止非法用戶或內部人員的竊密行為。
2.2.6對網絡運行情況和計算機操作進行審計
系統可對系統管理、監控所涉及的內容進行實時記錄,將涉密計算機的行為活動進行記錄、審計,并由客戶端上傳到服務器的數據庫內,協助網絡管理人員對網絡安全問題進行定期分析,做出網絡安全情況報告和備案,以備對用戶的行為進行事后追查。
3 主機非法接入安全控制管理功能的實現
本小節主要介紹主機非法接入安全控制管理功能的實現。為更好的保護網絡,防止主機非法接入網絡,首先要考慮各種產生非法接入的情況
(1)只修改IP地址。通過比較用戶注冊信息庫中IP-MAC對應表,發現非法的IP地址,進而阻止其接入網絡。
(2)成對修改IP-MAC地址。分兩種情況:一是合法用戶未接入網內,非法用戶盜用其IP和MAC地址,由于沒有注冊,盜用者將被發現;或者非法用戶盜取合法用戶帳號和密碼,但賬戶信息與IP-MAC不對應,可檢側出非法用戶;二是合法用戶已接入涉密網內,非法用戶修改其IP和MAC地址與合法用戶的相同,此時兩個用戶的IP和MAC地址重復,比較登錄時間并阻斷后登錄的用戶。
針對以上情況,設計并實現了內網防非法接入監控子系統,其邏輯結構如圖2所示。主要是結合用戶認證和IP一MAC綁定技術,按照三個步驟實現系統功能。
第一步:采用身份特征匹配方法實現入網用戶的身份驗證,將用戶名、密碼、用戶終端. MAc地址等四元素綁定,采用DES對稱加密算法、加密,發送到認證主機,利用查詢統計的辦法對綁定特征進行查詢,若通過認證則正常登錄;若未通過認證,分兩種情況:若用戶名、密碼不匹配,則將其添加到非法日志庫中,進入第三步,若用戶終端IP, MAC地址不匹配,則進入第二步。
第二步:使用Libnet開發包,構造ARP請求包,請求獲得目的IP的MAC地址,使用WinPcap捕獲ARP回應包,分析ARP回應包得到目標主機的IP地址和MAC地址,然后進入第三步。
圖2 涉密網絡內部安全監控管理系統邏輯結構圖
第三步:若非法信息由第一個步驟產生,則發送報警信息到監控臺并記錄非法信息到日志庫中供日后審計;若非法信息由第二個步驟產生,則采用AI強欺騙的方式立即阻斷此主機與網絡的連接,然后發送報警信息到監控臺并記錄非法信息。(如圖2)
4 結束語
針對涉密網絡和涉密主機可能出現的各種內部信息泄密途徑,本文綜合運用信息安全技術,采用監視、控制、審計等安全防護手段,對計算機的軟硬件資源、文件系統進行集中的監控與管理,采取事前預防、事中監控、事后審計的管理方法,實現了對網絡和終端的實時管理與控制,滿足了涉密網絡建設總體要求和安全管理需要。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.hanmeixuan.com/
本文標題:涉密網絡內部安全監控管理系統設計
相關文章
