1 引言

    目前，在我國的各個行業(yè)系統(tǒng)中，都有大量的國家秘密存儲在計算機和網(wǎng)絡(luò)中。尤其是航天系統(tǒng)，其秘密信息往往涉及國家發(fā)展戰(zhàn)略等重要內(nèi)容，如何有效地保護這些信息的安全，是我們必須解決的問題。作為涉密單位，信息系統(tǒng)最基本的防護手段是將涉密內(nèi)網(wǎng)和外部網(wǎng)絡(luò)進行物理隔離。一直以來，安全防御理念局限在常規(guī)的網(wǎng)關(guān)級別(防火墻等)、網(wǎng)絡(luò)邊界(漏洞掃描、安全審計、防病毒、IDS)等方面的防御，重要的安全設(shè)施大致集中于機房、網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴密監(jiān)控下，來自網(wǎng)絡(luò)外部的安全威脅大大減小。但是在實際情況下，來自網(wǎng)絡(luò)內(nèi)部的安全威脅卻是多數(shù)網(wǎng)絡(luò)管理人員真正需要面對的問題。目前網(wǎng)絡(luò)管理工作量最大的部分是客戶端安全部分，對網(wǎng)絡(luò)的正常運轉(zhuǎn)威脅最大的也同樣是客戶端安全管理。因此，我們在設(shè)計網(wǎng)絡(luò)安全系統(tǒng)、規(guī)劃系統(tǒng)功能的時候應(yīng)該將對用戶行為的控制和限制納入綜合考慮中。

2 系統(tǒng)總體框架設(shè)計

    系統(tǒng)設(shè)計的目標是防止涉密內(nèi)網(wǎng)信息泄漏，這就要求系統(tǒng)構(gòu)造一個邏輯上的內(nèi)部網(wǎng)絡(luò)安全域，對這個安全網(wǎng)絡(luò)域內(nèi)所有計算機上的重要信息的存儲和傳輸實施訪問控制、數(shù)據(jù)保護和日志記錄，提供完善的集中管理控制機制、有效的安全策略管理和細致清晰的審計分析報告。這樣才能夠有效地防止內(nèi)部網(wǎng)絡(luò)重要信息通過各種可能途徑被非法泄漏。要保證信息的安全，必須建立一套完整的內(nèi)網(wǎng)防信息泄漏體系。功能包括計算機資源審計和管理、計算機網(wǎng)絡(luò)防信息泄漏、計算機外設(shè)防信息泄漏。系統(tǒng)采用C／S結(jié)構(gòu)，服務(wù)器(Server)通過客戶端(Client)來實現(xiàn)對整個網(wǎng)絡(luò)安全管理和安全監(jiān)控參數(shù)的配置，并且定制相關(guān)的安全策略，還有一個數(shù)據(jù)庫服務(wù)器，用于存放審計信息記錄，用戶訪問記錄，安全策略等。

    服務(wù)器的功能如圖1所示，網(wǎng)絡(luò)數(shù)據(jù)包監(jiān)聽功能就是監(jiān)聽所有通過內(nèi)外網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)包：網(wǎng)絡(luò)數(shù)據(jù)包分析功能就是把監(jiān)聽的數(shù)據(jù)包，進行分析，包括鏈路層分析、網(wǎng)絡(luò)層分析、傳輸層分析、應(yīng)用層分析，網(wǎng)絡(luò)數(shù)據(jù)包管理功能就是根據(jù)網(wǎng)絡(luò)數(shù)據(jù)包分析的結(jié)果根據(jù)安全策略進行過濾，計算機資源收集功能就是根據(jù)客戶端反饋來的計算機資源記錄，以備審計；計算機資源審計功能根據(jù)安全策略對收集到的計算機資源進行審計，例如發(fā)現(xiàn)計算機運行新的用戶進程，添加了新的用戶設(shè)備等。計算機資源管理功能就是對各個計算機進行相應(yīng)的控制。安全策略的制定功能包括MC地址過濾策略、IP地址過濾策略、端口過濾策略、HTTP控制策略、郵件控制策略、外設(shè)控制策略等等的制定，計算機外設(shè)的管理包括對各種存儲設(shè)備、計算機端口和打印機等的管理。

圖1 服務(wù)器的功能

    客戶端的功能如圖2所示，計算機外設(shè)管理功能就是根據(jù)服務(wù)器端制定的計算機外設(shè)管理策略對本機的存儲設(shè)備、計算機端口和打印機等的管理；計算機行為監(jiān)控功能就是時時監(jiān)控計算機用戶的行為，例如，定時發(fā)送截屏圖片給服務(wù)器；計算機資源的收集功能就是收集本機所有的軟硬件資源，反饋給服務(wù)器。

圖2 客戶端的功能

3 系統(tǒng)工作原理

    網(wǎng)絡(luò)安全系統(tǒng)應(yīng)分為控制臺和客戶端兩部分。控制臺安裝在內(nèi)網(wǎng)服務(wù)器上，管理員通過控制臺制定功能策略，通過控制臺將策略下發(fā)到聯(lián)入內(nèi)網(wǎng)的客戶端，同時接收來自客戶端的信息；客戶端安裝在聯(lián)網(wǎng)的各臺計算機上，將無條件地接受下發(fā)的指令和策略。對于下發(fā)時未開機的客戶端，指令和策略先行掛起，在客戶端開機時進行更新生效；對于下發(fā)時已開機的客戶端則即時生效。

4 系統(tǒng)功能設(shè)計

    4．1客戶端非授權(quán)卸載

    客戶端經(jīng)控制臺授權(quán)安裝，且一經(jīng)安裝，非經(jīng)控制臺發(fā)出的卸載指令不可卸載。其原理是：卸載程序的存放和發(fā)起均在控制端，且客戶端的權(quán)限僅為普通使用者，而非管理員。

    4． 2連接網(wǎng)絡(luò)設(shè)置

    客戶端通過控制臺分配的IP地址訪問內(nèi)網(wǎng)，且IP地址與客戶端對應(yīng)計算機的MA C地址綁定，做到一個IP地址對應(yīng)一個MA C地址，從而將計算機進行戶籍管理，客戶端每次訪問內(nèi)網(wǎng)時均自動與控制臺存儲的該計算機信息進行核對，既防止了非授權(quán)計算機接入內(nèi)網(wǎng)，又能夠在違規(guī)計算機上控制或限制其行為。

    控制端通過內(nèi)網(wǎng)將信任關(guān)系發(fā)送到客戶端，控制客戶端只能訪問擁有信任關(guān)系的服務(wù)器等網(wǎng)絡(luò)設(shè)備及其他客戶端，從而杜絕了客戶端電腦私自聯(lián)入國際互聯(lián)網(wǎng)的可能。

    4．3用戶登錄設(shè)置

    采用將用戶信息導(dǎo)入USB Key，并將該USBKe y與用戶使用的客戶端進行綁定的方式。使用人需同時插入USB Key并輸入密碼，經(jīng)控制臺驗證后方可登錄或解鎖，防止其他用戶非授權(quán)使用該計算機。同時設(shè)置密碼復(fù)雜度策略(設(shè)置字母大小寫及數(shù)字、符號混用)和控制密碼輸入次數(shù)策略(密碼多次輸入不正確就鎖定客戶端)，可以避免用戶密碼設(shè)計過于簡單以及其他用戶試圖多次嘗試攻破密碼的問題。

    4．4移動存儲介質(zhì)控制

    將需要在內(nèi)網(wǎng)使用的移動存儲介質(zhì)在控制臺上進行注冊，經(jīng)過注冊的移動存儲介質(zhì)插入授權(quán)的內(nèi)網(wǎng)計算機時，經(jīng)過控制臺的驗證即可順利使用；未經(jīng)控制臺注冊的移動存儲介質(zhì)，由于在控制臺上找不到對應(yīng)的驗證信息而無法使用。同時，經(jīng)過注冊的移動存儲介質(zhì)由于使用時需要驗證，因此不能在沒有安裝客戶端的計算機上使用，從而避免了互聯(lián)網(wǎng)與內(nèi)網(wǎng)由于信息的隨意性傳遞導(dǎo)致泄密隱患。

    4．5客戶端硬件的控制

    客戶端用戶在計算機上安裝的硬件設(shè)備可能存在失泄密隱患，諸如光驅(qū)、藍牙、紅外線等接口關(guān)閉，策略下發(fā)到客戶端后即可控制相應(yīng)端口的使用。用戶私自安裝或更換硬件的情況可以通過網(wǎng)絡(luò)自動發(fā)送到控制臺或被控制臺掃描得到，形成預(yù)警信息，協(xié)助管理員進行相應(yīng)的處理。

    4．6客戶端軟件的控制

    客戶端用戶在計算機上未經(jīng)授權(quán)安裝的可能夾帶病毒、木馬等惡意代碼，給客戶端電腦乃至整個內(nèi)網(wǎng)帶來安全隱患，因此，控制臺的下發(fā)策略應(yīng)用包括限制其安裝的策略，其原理是通過降低客戶端用戶的權(quán)限，使其只有使用的User權(quán)限或PowerUser權(quán)限而沒有Administrator權(quán)限。準許安裝時通過控制臺授予以收回。即使用戶采取非常手段將該計算機重新安裝操作系統(tǒng)，由于安裝在客戶端的網(wǎng)絡(luò)安全系統(tǒng)已經(jīng)遭到破壞，該計算機與控制臺的聯(lián)系已經(jīng)中斷，控制臺不能對該計算機進行驗證通過，因此控制臺仍會將該計算機視為非授權(quán)計算機，即使該計算機設(shè)置了原IP地址也已經(jīng)不能訪問內(nèi)部網(wǎng)絡(luò)了。

    4．7日志管理

    設(shè)定的管理員及用戶的操作記錄均應(yīng)定期自動上傳至存儲服務(wù)器，并采用特殊格式形成加密存儲，防止非授權(quán)的條目刪除及修改，保證審計的真實性和可信性。

    4．8三員管理

    為保障網(wǎng)絡(luò)安全系統(tǒng)的有效運行，系統(tǒng)的管理人員應(yīng)分為以下三類：系統(tǒng)管理員負責在服務(wù)器和客戶端上安裝網(wǎng)絡(luò)安全系統(tǒng)，并進行維護。安全保密員負責制定并下發(fā)控制臺指令和策略，并對客戶端的行為進行管理。安全審計員負責通過查閱服務(wù)器的日志對系統(tǒng)管理員和安全保密員的行為進行審計。三員的權(quán)限相互獨立，互不交叉，從而防范違規(guī)事件的發(fā)生。

5 結(jié)束語

    本文通過對內(nèi)網(wǎng)信息安全實際狀況的分析，提出了一個完整而有效的內(nèi)網(wǎng)防信息泄漏解決方案。它通過強化對網(wǎng)絡(luò)終端計算機狀態(tài)、行為以及事件的管理，解決了來自用戶終端計算機大批量的安全管理問題，有效地實現(xiàn)了企業(yè)涉密內(nèi)網(wǎng)安全的可控性管理。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://m.nttd-wave.com.cn/

本文標題：網(wǎng)絡(luò)安全系統(tǒng)在涉密單位的應(yīng)用研究

本文網(wǎng)址：http://m.nttd-wave.com.cn/html/consultation/1083956947.html