引言
随着信息技术的飞速发展和网络建设的不断深入,现代社会对信息网络的依赖度越来越高,许多单位和部门建立了内部局域网,实现了办公自动化,但在网络给工作带来便利的同时,网络信息安全问题也越来越突出。涉密信息、内部敏感内容在网络上流转,存在严重的安全隐患,受到了普遍关注。目前,人们把大部分的财力、物力放在来自外网的攻击上,但FBI和CSI对484家公司进行的网络安全专项调查结果显示:超过85%的安全威胁来自单位内部,其中16%来自内部未授权的存取,14%来自专利信息被窃取,12%来自内部人员的欺骗,只有5%是来自黑客的攻击;在损失金额上,由内部人员泄密导致的损失高达6056000美元,是黑客所造成损失的16倍,病毒所造成损失的12倍。这组数据充分说明了内部人员泄密的严重危害,可以说任何会操作电脑的内部人士都是潜在的内网安全威胁。目前,各级各类涉密网络外部信息安全防护程度较高,综合采取防火墙、多重安全网关、网闸、入侵检测、密码加密、物理隔离等技术方法,较好的实现了对来自外部入侵的安奈防护,但是内部监管问题依然严重存在,目前流行的“企盾”等监控软件主要实现了应用层的监控管理,存在一定缺陷,如何采取技术手段强化涉密网络内部安全监控与管理,是当前信息安全领域需要研究解决的一个热点问题。
1 涉密网络内部存在的信息安全隐患
目前,信息网络安全已经得到了各行业、各部门的高度重视,采取了有力的措施,但是由于缺乏有效的信息安全内部监控管理措施,在相对安全的情况下,仍存在一些不安全因素,主要表现在以下几个方面。
1 .1随意接入涉密网,窃取秘密信息
由于绝大多数涉密信息网络没有安装专业的监控管理系统,可以采取使用涉密网络IP地址的方法,将个人计算机终端随意接入涉密网,复制网络内的各种涉密信息,影响内部涉密信息安全。
1.2计算机在涉密网和互联网之间交替使用
为方便使用,工作用的涉密计算机“一机跨两网”,根据工作需要,将涉密计算机在涉密网络和较好的互联网之间交替使用,造成涉密计算机内信息被互联网嗅探工具探侧并截获。
1.3使用移动存储设备,造成信息外泄
随着移动存储载体的广泛使用,个人工作或学习中使用的移动存储设备(U盘、移动硬盘等),在涉密网主机上随意复制信息,再接入互联网等其他非密网络计算机终端,造成涉密信息外流;甚至外来人员故意使用移动存储设备,从涉密计算机上随意复制信息,造成涉密信息外泄。
1.4随意使用外部设备,导致信息泄露
涉密网络中使用的计算机外部设备,若使用管理不当,也会成为泄露秘密信息的途径。比如,涉密计算机外接的打印机,如果不进行监控管理,可随意打印涉密文档资料,也极易造成涉密信息外泄。
因此,为加强涉密网络内部信息安全管理,必须对涉密网络的软、硬件进行有效的管理防护,对网络运行进行严密的监控审计,对网络接入和个人网络行为进行授权和访问控制,达到安全防护的目的,防止外部人员蓄意非法进入和内部人员出于各种动机导致的涉密信息外泄。
2 涉密网络内部安全监控管理系统设计
2.1系统总体设计
按照涉密信息网络建设总体要求和安全管理需求,综合运用网络信息安全技术对涉密网络和主机采用监视、控制、审计等安全防护手段,统筹考虑可能出现的各种信息泄密途径,对计算机的软硬件资源、文件系统等进行集中监控与管理。采取事前预防、事中监控、事后审计的管理方法,进行严格的管理、监控、审计,实现对整个网络和终端的实时管理与控制。功能结构如图1所示。
2.1.1安全管理系统
完成对网络内的各种设备、接入网络的主机软硬件资源进行统一管理和控制,对网络用户进行认证和注册,使用户按照自己的身份、权限进行正常办公和访问,控制非法用户进入网内。包括主机管理、网络管理和硬件管理。通过系统的管理功能,达到控制网络内部开放的目的,使得局域网内的涉密信息不被非法盗取,确保网络内部的安全运行。
2.1.2安全监控系统
对网络各级节点的运行状态、终端用户行为等进行实时监视,并对发现的违规操作或非法行为采取相应的控制措施。主要包括实时报警、网络监控、服务监控等。通过监控系统的监控功能,使网络管理人员能够准确定位事件发生的地点、机器、人员,及时发现网络内部的信息安全隐患和非法用户的违规行为,及时采取有效措施,消除安全隐患,阻止非法用户或内部人员的窃密行为。
2.1.3安全审计系统
主要对系统管理、监控所涉及的内容进行实时记录,将主机的行为活动进行记录并由客户端上传到服务器的数据库内,以备对用户的行为进行事后追查。
2.2涉密网络内部安全监控管理系统实现的功能
该系统要既能够使现有的信息网络发挥正常功能和作用,同时能够实现对网络及其使用状况的监控管理,综合运用信息安全技术,采用监视、控制、审计等安全防护手段,统筹考虑可能出现的各种信息内部泄密途径,实现对涉密信息网络和涉密计算机的软硬件资源、文件系统进行集中的监控与管理。
2.2.1对内网计算机进行安全管理
实现内网计算机的统一管理,计算机必须进行注册才能成为内网合法计算机,所有联网的计算机都处在系统的网络监控管理范围之内,通过本系统对网络连接情况、计算机软硬件资源使用情况、安全审计记录、使用权限、共享资源等进行有效的监督和管理。通过管理,使网内计算机的对内、对外访问权限处于管控之中,使其网络地址、可访问网络资源等由系统设定和指定,个人无法自行修改。
2.2.2对主机非法接入进行安全控制管理
任何其它非注册计算机接入内网均视为违规,通过网络控制功能可对违规接入的计算机采取阻断或隔离等响应措施。系统能够及时对危害网络及网内主机的信息安全、对网络信息安全造成威胁的行为进行报警。
2.2.3对计算机接口、输入输出设备进行统一管理
系统能够管理控制硬件设备包括所有的计算机接口(USB设备、串口、并口、RJ45等)和外设(光驱、键盘、鼠标、刻录机、打印机、扫描仪、传真机、红外设备等)的使用或禁用,并能够对打印机、扫描仪、传真机、移动存储设备等外挂硬件设备进行登记管理。系统能够通过配置安全策略,控制计算机外部设备及接口的使用。系统可关闭和开放输入/输出设备,并对设备的使用情况进行记录。
2.2.4对移动存储设备进行注册使用
系统可对移动存储设备(U盘、移动硬盘等)实行注册使用制,对本单位使用的各种各类移动存储设备进行统一注册管理,凡在网内或脱网机器上使用的存储设备必须经过注册,不注册不能使用,注册后不能在网络以外的计算机上使用,达到双向隔离的目的,避免移动存储设备在管控以外的计算机上使用,堵塞移动存储设备相互复制造成涉密信息外外泄的漏洞。
2.2.5对网络行为和内网计算机进行监控
系统能够对网络各级节点的运行状态、终端用户行为进行实时监视,并对发现的违规操作或非法行为采取必要的控制措施。主要包括实时报警、网络监控、服务监控等。通过监控功能,网络管理人员能够及时发现网络内部的信息安全隐患和非法用户的窃密行为,及时采取有效措施,消除安全隐患,阻止非法用户或内部人员的窃密行为。
2.2.6对网络运行情况和计算机操作进行审计
系统可对系统管理、监控所涉及的内容进行实时记录,将涉密计算机的行为活动进行记录、审计,并由客户端上传到服务器的数据库内,协助网络管理人员对网络安全问题进行定期分析,做出网络安全情况报告和备案,以备对用户的行为进行事后追查。
3 主机非法接入安全控制管理功能的实现
本小节主要介绍主机非法接入安全控制管理功能的实现。为更好的保护网络,防止主机非法接入网络,首先要考虑各种产生非法接入的情况
(1)只修改IP地址。通过比较用户注册信息库中IP-MAC对应表,发现非法的IP地址,进而阻止其接入网络。
(2)成对修改IP-MAC地址。分两种情况:一是合法用户未接入网内,非法用户盗用其IP和MAC地址,由于没有注册,盗用者将被发现;或者非法用户盗取合法用户帐号和密码,但账户信息与IP-MAC不对应,可检侧出非法用户;二是合法用户已接入涉密网内,非法用户修改其IP和MAC地址与合法用户的相同,此时两个用户的IP和MAC地址重复,比较登录时间并阻断后登录的用户。
针对以上情况,设计并实现了内网防非法接入监控子系统,其逻辑结构如图2所示。主要是结合用户认证和IP一MAC绑定技术,按照三个步骤实现系统功能。
较好的步:采用身份特征匹配方法实现入网用户的身份验证,将用户名、密码、用户终端。 MAc地址等四元素绑定,采用DES对称加密算法、加密,发送到认证主机,利用查询统计的办法对绑定特征进行查询,若通过认证则正常登录;若未通过认证,分两种情况:若用户名、密码不匹配,则将其添加到非法日志库中,进入第三步,若用户终端IP, MAC地址不匹配,则进入第二步。
第二步:使用Libnet开发包,构造ARP请求包,请求获得目的IP的MAC地址,使用WinPcap捕获ARP回应包,分析ARP回应包得到目标主机的IP地址和MAC地址,然后进入第三步。
第三步:若非法信息由较好的个步骤产生,则发送报警信息到监控台并记录非法信息到日志库中供日后审计;若非法信息由第二个步骤产生,则采用AI强欺骗的方式立即阻断此主机与网络的连接,然后发送报警信息到监控台并记录非法信息。(如图2)
4 结束语
针对涉密网络和涉密主机可能出现的各种内部信息泄密途径,本文综合运用信息安全技术,采用监视、控制、审计等安全防护手段,对计算机的软硬件资源、文件系统进行集中的监控与管理,采取事前预防、事中监控、事后审计的管理方法,实现了对网络和终端的实时管理与控制,满足了涉密网络建设总体要求和安全管理需要。