1 引言

    目前，在我國的各個行業系統中，都有大量的國家秘密存儲在計算機和網絡中。尤其是航天系統，其秘密信息往往涉及國家發展戰略等重要內容，如何有效地保護這些信息的安全，是我們必須解決的問題。作為涉密單位，信息系統最基本的防護手段是將涉密內網和外部網絡進行物理隔離。一直以來，安全防御理念局限在常規的網關級別(防火墻等)、網絡邊界(漏洞掃描、安全審計、防病毒、IDS)等方面的防御，重要的安全設施大致集中于機房、網絡入口處，在這些設備的嚴密監控下，來自網絡外部的安全威脅大大減小。但是在實際情況下，來自網絡內部的安全威脅卻是多數網絡管理人員真正需要面對的問題。目前網絡管理工作量最大的部分是客戶端安全部分，對網絡的正常運轉威脅最大的也同樣是客戶端安全管理。因此，我們在設計網絡安全系統、規劃系統功能的時候應該將對用戶行為的控制和限制納入綜合考慮中。

2 系統總體框架設計

    系統設計的目標是防止涉密內網信息泄漏，這就要求系統構造一個邏輯上的內部網絡安全域，對這個安全網絡域內所有計算機上的重要信息的存儲和傳輸實施訪問控制、數據保護和日志記錄，提供完善的集中管理控制機制、有效的安全策略管理和細致清晰的審計分析報告。這樣才能夠有效地防止內部網絡重要信息通過各種可能途徑被非法泄漏。要保證信息的安全，必須建立一套完整的內網防信息泄漏體系。功能包括計算機資源審計和管理、計算機網絡防信息泄漏、計算機外設防信息泄漏。系統采用C／S結構，服務器(Server)通過客戶端(Client)來實現對整個網絡安全管理和安全監控參數的配置，并且定制相關的安全策略，還有一個數據庫服務器，用于存放審計信息記錄，用戶訪問記錄，安全策略等。

    服務器的功能如圖1所示，網絡數據包監聽功能就是監聽所有通過內外網的網絡數據包：網絡數據包分析功能就是把監聽的數據包，進行分析，包括鏈路層分析、網絡層分析、傳輸層分析、應用層分析，網絡數據包管理功能就是根據網絡數據包分析的結果根據安全策略進行過濾，計算機資源收集功能就是根據客戶端反饋來的計算機資源記錄，以備審計；計算機資源審計功能根據安全策略對收集到的計算機資源進行審計，例如發現計算機運行新的用戶進程，添加了新的用戶設備等。計算機資源管理功能就是對各個計算機進行相應的控制。安全策略的制定功能包括MC地址過濾策略、IP地址過濾策略、端口過濾策略、HTTP控制策略、郵件控制策略、外設控制策略等等的制定，計算機外設的管理包括對各種存儲設備、計算機端口和打印機等的管理。

圖1 服務器的功能

    客戶端的功能如圖2所示，計算機外設管理功能就是根據服務器端制定的計算機外設管理策略對本機的存儲設備、計算機端口和打印機等的管理；計算機行為監控功能就是時時監控計算機用戶的行為，例如，定時發送截屏圖片給服務器；計算機資源的收集功能就是收集本機所有的軟硬件資源，反饋給服務器。

圖2 客戶端的功能

3 系統工作原理

    網絡安全系統應分為控制臺和客戶端兩部分。控制臺安裝在內網服務器上，管理員通過控制臺制定功能策略，通過控制臺將策略下發到聯入內網的客戶端，同時接收來自客戶端的信息；客戶端安裝在聯網的各臺計算機上，將無條件地接受下發的指令和策略。對于下發時未開機的客戶端，指令和策略先行掛起，在客戶端開機時進行更新生效；對于下發時已開機的客戶端則即時生效。

4 系統功能設計

    4．1客戶端非授權卸載

    客戶端經控制臺授權安裝，且一經安裝，非經控制臺發出的卸載指令不可卸載。其原理是：卸載程序的存放和發起均在控制端，且客戶端的權限僅為普通使用者，而非管理員。

    4． 2連接網絡設置

    客戶端通過控制臺分配的IP地址訪問內網，且IP地址與客戶端對應計算機的MA C地址綁定，做到一個IP地址對應一個MA C地址，從而將計算機進行戶籍管理，客戶端每次訪問內網時均自動與控制臺存儲的該計算機信息進行核對，既防止了非授權計算機接入內網，又能夠在違規計算機上控制或限制其行為。

    控制端通過內網將信任關系發送到客戶端，控制客戶端只能訪問擁有信任關系的服務器等網絡設備及其他客戶端，從而杜絕了客戶端電腦私自聯入國際互聯網的可能。

    4．3用戶登錄設置

    采用將用戶信息導入USB Key，并將該USBKe y與用戶使用的客戶端進行綁定的方式。使用人需同時插入USB Key并輸入密碼，經控制臺驗證后方可登錄或解鎖，防止其他用戶非授權使用該計算機。同時設置密碼復雜度策略(設置字母大小寫及數字、符號混用)和控制密碼輸入次數策略(密碼多次輸入不正確就鎖定客戶端)，可以避免用戶密碼設計過于簡單以及其他用戶試圖多次嘗試攻破密碼的問題。

    4．4移動存儲介質控制

    將需要在內網使用的移動存儲介質在控制臺上進行注冊，經過注冊的移動存儲介質插入授權的內網計算機時，經過控制臺的驗證即可順利使用；未經控制臺注冊的移動存儲介質，由于在控制臺上找不到對應的驗證信息而無法使用。同時，經過注冊的移動存儲介質由于使用時需要驗證，因此不能在沒有安裝客戶端的計算機上使用，從而避免了互聯網與內網由于信息的隨意性傳遞導致泄密隱患。

    4．5客戶端硬件的控制

    客戶端用戶在計算機上安裝的硬件設備可能存在失泄密隱患，諸如光驅、藍牙、紅外線等接口關閉，策略下發到客戶端后即可控制相應端口的使用。用戶私自安裝或更換硬件的情況可以通過網絡自動發送到控制臺或被控制臺掃描得到，形成預警信息，協助管理員進行相應的處理。

    4．6客戶端軟件的控制

    客戶端用戶在計算機上未經授權安裝的可能夾帶病毒、木馬等惡意代碼，給客戶端電腦乃至整個內網帶來安全隱患，因此，控制臺的下發策略應用包括限制其安裝的策略，其原理是通過降低客戶端用戶的權限，使其只有使用的User權限或PowerUser權限而沒有Administrator權限。準許安裝時通過控制臺授予以收回。即使用戶采取非常手段將該計算機重新安裝操作系統，由于安裝在客戶端的網絡安全系統已經遭到破壞，該計算機與控制臺的聯系已經中斷，控制臺不能對該計算機進行驗證通過，因此控制臺仍會將該計算機視為非授權計算機，即使該計算機設置了原IP地址也已經不能訪問內部網絡了。

    4．7日志管理

    設定的管理員及用戶的操作記錄均應定期自動上傳至存儲服務器，并采用特殊格式形成加密存儲，防止非授權的條目刪除及修改，保證審計的真實性和可信性。

    4．8三員管理

    為保障網絡安全系統的有效運行，系統的管理人員應分為以下三類：系統管理員負責在服務器和客戶端上安裝網絡安全系統，并進行維護。安全保密員負責制定并下發控制臺指令和策略，并對客戶端的行為進行管理。安全審計員負責通過查閱服務器的日志對系統管理員和安全保密員的行為進行審計。三員的權限相互獨立，互不交叉，從而防范違規事件的發生。

5 結束語

    本文通過對內網信息安全實際狀況的分析，提出了一個完整而有效的內網防信息泄漏解決方案。它通過強化對網絡終端計算機狀態、行為以及事件的管理，解決了來自用戶終端計算機大批量的安全管理問題，有效地實現了企業涉密內網安全的可控性管理。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：網絡安全系統在涉密單位的應用研究

本文網址：http://www.guhuozai8.cn/html/consultation/1083956947.html