引言
隨著信息技術的飛速發(fā)展和網(wǎng)絡建設的不斷深入,現(xiàn)代社會對信息網(wǎng)絡的依賴度越來越高,許多單位和部門建立了內(nèi)部局域網(wǎng),實現(xiàn)了辦公自動化,但在網(wǎng)絡給工作帶來便利的同時,網(wǎng)絡信息安全問題也越來越突出。涉密信息、內(nèi)部敏感內(nèi)容在網(wǎng)絡上流轉(zhuǎn),存在嚴重的安全隱患,受到了普遍關注。目前,人們把大部分的財力、物力放在來自外網(wǎng)的攻擊上,但FBI和CSI對484家公司進行的網(wǎng)絡安全專項調(diào)查結(jié)果顯示:超過85%的安全威脅來自單位內(nèi)部,其中16%來自內(nèi)部未授權(quán)的存取,14%來自專利信息被竊取,12%來自內(nèi)部人員的欺騙,只有5%是來自黑客的攻擊;在損失金額上,由內(nèi)部人員泄密導致的損失高達6056000美元,是黑客所造成損失的16倍,病毒所造成損失的12倍。這組數(shù)據(jù)充分說明了內(nèi)部人員泄密的嚴重危害,可以說任何會操作電腦的內(nèi)部人士都是潛在的內(nèi)網(wǎng)安全威脅。目前,各級各類涉密網(wǎng)絡外部信息安全防護程度較高,綜合采取防火墻、多重安全網(wǎng)關、網(wǎng)閘、入侵檢測、密碼加密、物理隔離等技術方法,較好的實現(xiàn)了對來自外部入侵的安奈防護,但是內(nèi)部監(jiān)管問題依然嚴重存在,目前流行的“企盾”等監(jiān)控軟件主要實現(xiàn)了應用層的監(jiān)控管理,存在一定缺陷,如何采取技術手段強化涉密網(wǎng)絡內(nèi)部安全監(jiān)控與管理,是當前信息安全領域需要研究解決的一個熱點問題。
1 涉密網(wǎng)絡內(nèi)部存在的信息安全隱患
目前,信息網(wǎng)絡安全已經(jīng)得到了各行業(yè)、各部門的高度重視,采取了有力的措施,但是由于缺乏有效的信息安全內(nèi)部監(jiān)控管理措施,在相對安全的情況下,仍存在一些不安全因素,主要表現(xiàn)在以下幾個方面。
1 .1隨意接入涉密網(wǎng),竊取秘密信息
由于絕大多數(shù)涉密信息網(wǎng)絡沒有安裝專業(yè)的監(jiān)控管理系統(tǒng),可以采取使用涉密網(wǎng)絡IP地址的方法,將個人計算機終端隨意接入涉密網(wǎng),復制網(wǎng)絡內(nèi)的各種涉密信息,影響內(nèi)部涉密信息安全。
1.2計算機在涉密網(wǎng)和互聯(lián)網(wǎng)之間交替使用
為方便使用,工作用的涉密計算機“一機跨兩網(wǎng)”,根據(jù)工作需要,將涉密計算機在涉密網(wǎng)絡和國際互聯(lián)網(wǎng)之間交替使用,造成涉密計算機內(nèi)信息被互聯(lián)網(wǎng)嗅探工具探側(cè)并截獲。
1.3使用移動存儲設備,造成信息外泄
隨著移動存儲載體的廣泛使用,個人工作或?qū)W習中使用的移動存儲設備(U盤、移動硬盤等),在涉密網(wǎng)主機上隨意復制信息,再接入互聯(lián)網(wǎng)等其他非密網(wǎng)絡計算機終端,造成涉密信息外流;甚至外來人員故意使用移動存儲設備,從涉密計算機上隨意復制信息,造成涉密信息外泄。
1.4隨意使用外部設備,導致信息泄露
涉密網(wǎng)絡中使用的計算機外部設備,若使用管理不當,也會成為泄露秘密信息的途徑。比如,涉密計算機外接的打印機,如果不進行監(jiān)控管理,可隨意打印涉密文檔資料,也極易造成涉密信息外泄。
因此,為加強涉密網(wǎng)絡內(nèi)部信息安全管理,必須對涉密網(wǎng)絡的軟、硬件進行有效的管理防護,對網(wǎng)絡運行進行嚴密的監(jiān)控審計,對網(wǎng)絡接入和個人網(wǎng)絡行為進行授權(quán)和訪問控制,達到安全防護的目的,防止外部人員蓄意非法進入和內(nèi)部人員出于各種動機導致的涉密信息外泄。
圖1 涉密網(wǎng)絡內(nèi)部安全監(jiān)控管理系統(tǒng)
2 涉密網(wǎng)絡內(nèi)部安全監(jiān)控管理系統(tǒng)設計
2.1系統(tǒng)總體設計
按照涉密信息網(wǎng)絡建設總體要求和安全管理需求,綜合運用網(wǎng)絡信息安全技術對涉密網(wǎng)絡和主機采用監(jiān)視、控制、審計等安全防護手段,統(tǒng)籌考慮可能出現(xiàn)的各種信息泄密途徑,對計算機的軟硬件資源、文件系統(tǒng)等進行集中監(jiān)控與管理。采取事前預防、事中監(jiān)控、事后審計的管理方法,進行嚴格的管理、監(jiān)控、審計,實現(xiàn)對整個網(wǎng)絡和終端的實時管理與控制。功能結(jié)構(gòu)如圖1所示。
2.1.1安全管理系統(tǒng)
完成對網(wǎng)絡內(nèi)的各種設備、接入網(wǎng)絡的主機軟硬件資源進行統(tǒng)一管理和控制,對網(wǎng)絡用戶進行認證和注冊,使用戶按照自己的身份、權(quán)限進行正常辦公和訪問,控制非法用戶進入網(wǎng)內(nèi)。包括主機管理、網(wǎng)絡管理和硬件管理。通過系統(tǒng)的管理功能,達到控制網(wǎng)絡內(nèi)部開放的目的,使得局域網(wǎng)內(nèi)的涉密信息不被非法盜取,確保網(wǎng)絡內(nèi)部的安全運行。
2.1.2安全監(jiān)控系統(tǒng)
對網(wǎng)絡各級節(jié)點的運行狀態(tài)、終端用戶行為等進行實時監(jiān)視,并對發(fā)現(xiàn)的違規(guī)操作或非法行為采取相應的控制措施。主要包括實時報警、網(wǎng)絡監(jiān)控、服務監(jiān)控等。通過監(jiān)控系統(tǒng)的監(jiān)控功能,使網(wǎng)絡管理人員能夠準確定位事件發(fā)生的地點、機器、人員,及時發(fā)現(xiàn)網(wǎng)絡內(nèi)部的信息安全隱患和非法用戶的違規(guī)行為,及時采取有效措施,消除安全隱患,阻止非法用戶或內(nèi)部人員的竊密行為。
2.1.3安全審計系統(tǒng)
主要對系統(tǒng)管理、監(jiān)控所涉及的內(nèi)容進行實時記錄,將主機的行為活動進行記錄并由客戶端上傳到服務器的數(shù)據(jù)庫內(nèi),以備對用戶的行為進行事后追查。
2.2涉密網(wǎng)絡內(nèi)部安全監(jiān)控管理系統(tǒng)實現(xiàn)的功能
該系統(tǒng)要既能夠使現(xiàn)有的信息網(wǎng)絡發(fā)揮正常功能和作用,同時能夠?qū)崿F(xiàn)對網(wǎng)絡及其使用狀況的監(jiān)控管理,綜合運用信息安全技術,采用監(jiān)視、控制、審計等安全防護手段,統(tǒng)籌考慮可能出現(xiàn)的各種信息內(nèi)部泄密途徑,實現(xiàn)對涉密信息網(wǎng)絡和涉密計算機的軟硬件資源、文件系統(tǒng)進行集中的監(jiān)控與管理。
2.2.1對內(nèi)網(wǎng)計算機進行安全管理
實現(xiàn)內(nèi)網(wǎng)計算機的統(tǒng)一管理,計算機必須進行注冊才能成為內(nèi)網(wǎng)合法計算機,所有聯(lián)網(wǎng)的計算機都處在系統(tǒng)的網(wǎng)絡監(jiān)控管理范圍之內(nèi),通過本系統(tǒng)對網(wǎng)絡連接情況、計算機軟硬件資源使用情況、安全審計記錄、使用權(quán)限、共享資源等進行有效的監(jiān)督和管理。通過管理,使網(wǎng)內(nèi)計算機的對內(nèi)、對外訪問權(quán)限處于管控之中,使其網(wǎng)絡地址、可訪問網(wǎng)絡資源等由系統(tǒng)設定和指定,個人無法自行修改。
2.2.2對主機非法接入進行安全控制管理
任何其它非注冊計算機接入內(nèi)網(wǎng)均視為違規(guī),通過網(wǎng)絡控制功能可對違規(guī)接入的計算機采取阻斷或隔離等響應措施。系統(tǒng)能夠及時對危害網(wǎng)絡及網(wǎng)內(nèi)主機的信息安全、對網(wǎng)絡信息安全造成威脅的行為進行報警。
2.2.3對計算機接口、輸入輸出設備進行統(tǒng)一管理
系統(tǒng)能夠管理控制硬件設備包括所有的計算機接口(USB設備、串口、并口、RJ45等)和外設(光驅(qū)、鍵盤、鼠標、刻錄機、打印機、掃描儀、傳真機、紅外設備等)的使用或禁用,并能夠?qū)Υ蛴C、掃描儀、傳真機、移動存儲設備等外掛硬件設備進行登記管理。系統(tǒng)能夠通過配置安全策略,控制計算機外部設備及接口的使用。系統(tǒng)可關閉和開放輸入/輸出設備,并對設備的使用情況進行記錄。
2.2.4對移動存儲設備進行注冊使用
系統(tǒng)可對移動存儲設備(U盤、移動硬盤等)實行注冊使用制,對本單位使用的各種各類移動存儲設備進行統(tǒng)一注冊管理,凡在網(wǎng)內(nèi)或脫網(wǎng)機器上使用的存儲設備必須經(jīng)過注冊,不注冊不能使用,注冊后不能在網(wǎng)絡以外的計算機上使用,達到雙向隔離的目的,避免移動存儲設備在管控以外的計算機上使用,堵塞移動存儲設備相互復制造成涉密信息外外泄的漏洞。
2.2.5對網(wǎng)絡行為和內(nèi)網(wǎng)計算機進行監(jiān)控
系統(tǒng)能夠?qū)W(wǎng)絡各級節(jié)點的運行狀態(tài)、終端用戶行為進行實時監(jiān)視,并對發(fā)現(xiàn)的違規(guī)操作或非法行為采取必要的控制措施。主要包括實時報警、網(wǎng)絡監(jiān)控、服務監(jiān)控等。通過監(jiān)控功能,網(wǎng)絡管理人員能夠及時發(fā)現(xiàn)網(wǎng)絡內(nèi)部的信息安全隱患和非法用戶的竊密行為,及時采取有效措施,消除安全隱患,阻止非法用戶或內(nèi)部人員的竊密行為。
2.2.6對網(wǎng)絡運行情況和計算機操作進行審計
系統(tǒng)可對系統(tǒng)管理、監(jiān)控所涉及的內(nèi)容進行實時記錄,將涉密計算機的行為活動進行記錄、審計,并由客戶端上傳到服務器的數(shù)據(jù)庫內(nèi),協(xié)助網(wǎng)絡管理人員對網(wǎng)絡安全問題進行定期分析,做出網(wǎng)絡安全情況報告和備案,以備對用戶的行為進行事后追查。
3 主機非法接入安全控制管理功能的實現(xiàn)
本小節(jié)主要介紹主機非法接入安全控制管理功能的實現(xiàn)。為更好的保護網(wǎng)絡,防止主機非法接入網(wǎng)絡,首先要考慮各種產(chǎn)生非法接入的情況
(1)只修改IP地址。通過比較用戶注冊信息庫中IP-MAC對應表,發(fā)現(xiàn)非法的IP地址,進而阻止其接入網(wǎng)絡。
(2)成對修改IP-MAC地址。分兩種情況:一是合法用戶未接入網(wǎng)內(nèi),非法用戶盜用其IP和MAC地址,由于沒有注冊,盜用者將被發(fā)現(xiàn);或者非法用戶盜取合法用戶帳號和密碼,但賬戶信息與IP-MAC不對應,可檢側(cè)出非法用戶;二是合法用戶已接入涉密網(wǎng)內(nèi),非法用戶修改其IP和MAC地址與合法用戶的相同,此時兩個用戶的IP和MAC地址重復,比較登錄時間并阻斷后登錄的用戶。
針對以上情況,設計并實現(xiàn)了內(nèi)網(wǎng)防非法接入監(jiān)控子系統(tǒng),其邏輯結(jié)構(gòu)如圖2所示。主要是結(jié)合用戶認證和IP一MAC綁定技術,按照三個步驟實現(xiàn)系統(tǒng)功能。
第一步:采用身份特征匹配方法實現(xiàn)入網(wǎng)用戶的身份驗證,將用戶名、密碼、用戶終端. MAc地址等四元素綁定,采用DES對稱加密算法、加密,發(fā)送到認證主機,利用查詢統(tǒng)計的辦法對綁定特征進行查詢,若通過認證則正常登錄;若未通過認證,分兩種情況:若用戶名、密碼不匹配,則將其添加到非法日志庫中,進入第三步,若用戶終端IP, MAC地址不匹配,則進入第二步。
第二步:使用Libnet開發(fā)包,構(gòu)造ARP請求包,請求獲得目的IP的MAC地址,使用WinPcap捕獲ARP回應包,分析ARP回應包得到目標主機的IP地址和MAC地址,然后進入第三步。
圖2 涉密網(wǎng)絡內(nèi)部安全監(jiān)控管理系統(tǒng)邏輯結(jié)構(gòu)圖
第三步:若非法信息由第一個步驟產(chǎn)生,則發(fā)送報警信息到監(jiān)控臺并記錄非法信息到日志庫中供日后審計;若非法信息由第二個步驟產(chǎn)生,則采用AI強欺騙的方式立即阻斷此主機與網(wǎng)絡的連接,然后發(fā)送報警信息到監(jiān)控臺并記錄非法信息。(如圖2)
4 結(jié)束語
針對涉密網(wǎng)絡和涉密主機可能出現(xiàn)的各種內(nèi)部信息泄密途徑,本文綜合運用信息安全技術,采用監(jiān)視、控制、審計等安全防護手段,對計算機的軟硬件資源、文件系統(tǒng)進行集中的監(jiān)控與管理,采取事前預防、事中監(jiān)控、事后審計的管理方法,實現(xiàn)了對網(wǎng)絡和終端的實時管理與控制,滿足了涉密網(wǎng)絡建設總體要求和安全管理需要。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:涉密網(wǎng)絡內(nèi)部安全監(jiān)控管理系統(tǒng)設計
本文網(wǎng)址:http://www.ezxoed.cn/html/support/11121810083.html