徐光亮 馬鋒 王健 劉會(huì)強(qiáng)

摘?要：當(dāng)前電力公司的信息化和數(shù)字化的發(fā)展伴隨著信息泄露、數(shù)據(jù)丟失、病毒入侵、網(wǎng)絡(luò)癱瘓等不安全事件對(duì)信息系統(tǒng)的挑戰(zhàn)。結(jié)合全網(wǎng)信息網(wǎng)絡(luò)現(xiàn)狀及需求，從管理及技術(shù)上阻止入侵信息系統(tǒng)事件的發(fā)生，有效控制違規(guī)外聯(lián)，提高公司信息內(nèi)網(wǎng)的安全性。本文簡(jiǎn)要分析了內(nèi)網(wǎng)外聯(lián)面臨的嚴(yán)峻形勢(shì)以及當(dāng)前違規(guī)外聯(lián)的監(jiān)控手段，以技術(shù)為主，管理為輔的方式，減少違規(guī)外聯(lián)引發(fā)的內(nèi)網(wǎng)安全隱患，確保內(nèi)網(wǎng)的信息安全。文章深入研究了違規(guī)外聯(lián)發(fā)現(xiàn)與阻斷技術(shù)，針對(duì)傳統(tǒng)違規(guī)外聯(lián)監(jiān)控系統(tǒng)的不足，設(shè)計(jì)了一種新的內(nèi)網(wǎng)計(jì)算機(jī)和移動(dòng)設(shè)備違規(guī)外聯(lián)行為監(jiān)控系統(tǒng)。該系統(tǒng)構(gòu)建了全方位、實(shí)時(shí)性、精確化的信息內(nèi)網(wǎng)管理方式，通過(guò)實(shí)時(shí)阻斷違規(guī)外聯(lián)的技術(shù)手段，有效避免了漏報(bào)、誤報(bào)的問(wèn)題，通過(guò)寫入機(jī)器碼方式將終端信息錄入數(shù)據(jù)庫(kù)，極大程度簡(jiǎn)化了硬件部署、縮短了響應(yīng)時(shí)間，通過(guò)雙進(jìn)程對(duì)進(jìn)程的保護(hù)確保防護(hù)能夠?qū)崟r(shí)常態(tài)化運(yùn)行，通過(guò)對(duì)Linux平臺(tái)底層數(shù)據(jù)包管控手段，確保違規(guī)外聯(lián)的有效性。

關(guān)鍵詞：信息泄露;Linux平臺(tái);違規(guī)外聯(lián)監(jiān)控

一、背景

一些保密性極高的單位，為了保證數(shù)據(jù)和信息的安全，進(jìn)行了內(nèi)網(wǎng)和外網(wǎng)的物理隔離。但是有些內(nèi)網(wǎng)用戶可能會(huì)違反安全性的規(guī)定，私自插外網(wǎng)線或USB設(shè)備分享等方式連接到互聯(lián)網(wǎng)，黑客就可以攻擊這臺(tái)機(jī)器，并通過(guò)這臺(tái)機(jī)器訪問(wèn)內(nèi)部網(wǎng)絡(luò)，竊取機(jī)密資料，惡意的攻擊甚至造成網(wǎng)絡(luò)癱瘓。由于私插網(wǎng)線或USB設(shè)備共享上網(wǎng)不經(jīng)過(guò)防火墻，所以防火墻對(duì)于這種方式的攻擊無(wú)能為力;另外，通過(guò)這臺(tái)機(jī)器訪問(wèn)內(nèi)部網(wǎng)的其他機(jī)器，完全可以通過(guò)合法身份進(jìn)行，對(duì)于這種訪問(wèn)，IDS也不會(huì)發(fā)現(xiàn)，當(dāng)前很多安全產(chǎn)品都無(wú)法處理這種非法外聯(lián)漏洞。

本公司研究一種非法外聯(lián)監(jiān)控技術(shù)作為管理者有效的技術(shù)手段，可以全面、實(shí)時(shí)地監(jiān)控整個(gè)單位網(wǎng)絡(luò)內(nèi)部的非法外聯(lián)行為。本文對(duì)非法外聯(lián)監(jiān)控技術(shù)進(jìn)行了深入研究，關(guān)鍵技術(shù)主要體現(xiàn)在以下幾個(gè)方面：

（1）本研究是在Linux環(huán)境中一種新型的C/S架構(gòu)技術(shù)，在傳統(tǒng)模式上提出更完善的管控技術(shù)，彌補(bǔ)安全事件漏報(bào)、誤報(bào)、上傳不及時(shí)的問(wèn)題。

（2）實(shí)現(xiàn)非法外聯(lián)阻斷和報(bào)警、非法接入阻斷和報(bào)警以及安全策略驅(qū)動(dòng)底層防護(hù)的多機(jī)制管控技術(shù)。

（3）終端信息孤立機(jī)制，驅(qū)動(dòng)低層非法外聯(lián)攔截技術(shù)能夠及時(shí)切斷終端與內(nèi)網(wǎng)聯(lián)系，使其成為信息孤島。

（4）安全日志集中處理與查看，能夠掌握公司安全態(tài)勢(shì)。

二、常見(jiàn)違規(guī)外聯(lián)防護(hù)技術(shù)

目前很多公司都采用雙機(jī)模式或代理模式管控違規(guī)外聯(lián)行為，甚至通過(guò)員工的自覺(jué)來(lái)避免違規(guī)外聯(lián)。比較來(lái)看，代理模式需要在每臺(tái)終端安裝非法外聯(lián)管控軟件，這樣做既可以監(jiān)控又可以阻斷違規(guī)外聯(lián)，但在使用過(guò)程中可能被用戶卸載或屏蔽，并且安全警報(bào)無(wú)法統(tǒng)一收集。而雙機(jī)模式不需要在每臺(tái)終端上進(jìn)行監(jiān)控操作，但需要在內(nèi)網(wǎng)部署掃描服務(wù)器和外網(wǎng)檢測(cè)服務(wù)器，這種方式部署簡(jiǎn)單，不占用終端資源。而雙機(jī)部署只能監(jiān)測(cè)不能阻斷，并且不能選擇探測(cè)使用的網(wǎng)絡(luò)協(xié)議，例如內(nèi)網(wǎng)為了安全考慮，防火墻通常會(huì)關(guān)閉ICMP協(xié)議數(shù)據(jù)包，那么探測(cè)服務(wù)器無(wú)法自己選擇協(xié)議類型，將存在漏報(bào)風(fēng)險(xiǎn)，除此之外也存在被惡意攻擊的可能性。

針對(duì)當(dāng)前的違規(guī)外聯(lián)管控方式，總結(jié)幾種管控技術(shù)的優(yōu)缺點(diǎn)，本公司著力研究一種基于內(nèi)網(wǎng)掃描和終端管控，并適用于Linux平臺(tái)的新型管控技術(shù)，主要完成了下面幾個(gè)功能：

（一）C / S部署方式

終端軟件端，服務(wù)器控制臺(tái)

（二）監(jiān)控功能

對(duì)直接插入外網(wǎng)線非法外聯(lián)，共享網(wǎng)絡(luò)非法外聯(lián)，非法USB接入進(jìn)行監(jiān)控。

（三）監(jiān)控內(nèi)容

對(duì)內(nèi)網(wǎng)終端網(wǎng)絡(luò)狀態(tài)、用戶名、Mac地址、IP地址以及非法外聯(lián)事件進(jìn)行監(jiān)控。

（四）報(bào)警方式

控制臺(tái)報(bào)警。

（五）日志處理

終端安全日志顯示用戶名、Mac地址、IP地址以及非法外聯(lián)事件類型。

本創(chuàng)新技術(shù)研究是基于內(nèi)網(wǎng)掃描和終端防護(hù)，實(shí)時(shí)監(jiān)測(cè)終端數(shù)據(jù)包，在驅(qū)動(dòng)上進(jìn)行攔截，技術(shù)包括以下優(yōu)點(diǎn)：

（1）完全適應(yīng)物理隔離的內(nèi)網(wǎng)環(huán)境;

（2）能夠?qū)崟r(shí)監(jiān)測(cè)并迅速阻斷;

（3）內(nèi)網(wǎng)有沒(méi)有監(jiān)測(cè)防火墻都不會(huì)漏報(bào);

（4）終端信息孤立，黑客無(wú)法攻擊，無(wú)法滲入內(nèi)網(wǎng);

（5）占用終端資源少，部署簡(jiǎn)單

（6）軟件端靜默安裝，掃描過(guò)程不影響終端用戶;

（7）軟件端進(jìn)程保護(hù)，無(wú)法卸載與阻斷。

三、創(chuàng)新型管控技術(shù)引入

新型的違規(guī)外聯(lián)管控技術(shù)由監(jiān)控內(nèi)網(wǎng)主機(jī)路由表實(shí)現(xiàn)。任何主機(jī)要與其它網(wǎng)絡(luò)通信要有到這個(gè)目標(biāo)網(wǎng)絡(luò)的路由，企業(yè)內(nèi)網(wǎng)主機(jī)的路由表只是一條靜默路由，其下一跳就是本機(jī)網(wǎng)關(guān)。如果這個(gè)主機(jī)網(wǎng)關(guān)的IP地址或者M(jìn)ac出現(xiàn)錯(cuò)誤，就無(wú)法與其它主機(jī)進(jìn)行通信。所以監(jiān)控主機(jī)路由表可以有效的監(jiān)測(cè)違規(guī)外聯(lián)行為。定義一條缺省內(nèi)網(wǎng)主機(jī)路由，包括網(wǎng)關(guān)IP地址、MAC地址，作為基準(zhǔn)路由。如果內(nèi)網(wǎng)主機(jī)修改了該基準(zhǔn)路由，說(shuō)明該主機(jī)試圖連接未授權(quán)網(wǎng)絡(luò)，視為違規(guī)外聯(lián)，阻斷連接。

技術(shù)引入：本新型管控系統(tǒng)僅用一臺(tái)內(nèi)網(wǎng)服務(wù)器，并在每臺(tái)內(nèi)網(wǎng)終端主機(jī)上靜默安裝客戶端。監(jiān)測(cè)內(nèi)網(wǎng)違規(guī)外聯(lián)，并可以向服務(wù)器控制臺(tái)發(fā)送安全日志進(jìn)行安全報(bào)警。如下圖：

服務(wù)器：網(wǎng)卡配置內(nèi)網(wǎng)IP地址為10.10.10.1，能夠訪問(wèn)到全部需要管控的IP地址范圍。

工作組1：終端主機(jī)IP為10.10.10.2——10.10.10.100，能夠與服務(wù)器端通訊。終端沒(méi)有安裝軟件客戶端。

工作組2：終端主機(jī)IP為10.10.10.101——10.10.10.254，能夠與服務(wù)器端通訊。終端安裝有軟件客戶端，能夠檢測(cè)并阻斷違規(guī)外聯(lián)。

軟件客戶端：監(jiān)控終端違規(guī)外聯(lián)，雙進(jìn)程保護(hù)軟件客戶端。

服務(wù)器端配置IP地址為10.10.10.1，通過(guò)流向，向10.10.10.X段主機(jī)IP逐個(gè)發(fā)送探測(cè)報(bào)文進(jìn)行全網(wǎng)掃描，并取得通信。被探測(cè)的主機(jī)將回應(yīng)報(bào)文返回給服務(wù)器端，服務(wù)器端將得到的主機(jī)信息列表出來(lái)。工作組1終端主機(jī)沒(méi)有安裝軟件客戶端，工作組2終端主機(jī)裝有軟件客戶端。服務(wù)器端通過(guò)流向可以對(duì)工作組2里面的終端主機(jī)下發(fā)策略與遠(yuǎn)程控制操作。服務(wù)器端對(duì)工作組1里面的終端主機(jī)只做內(nèi)網(wǎng)掃描，IP地址、MAC地址等信息收集。如果軟件客戶端監(jiān)測(cè)到工作組2的終端主機(jī)有違規(guī)外聯(lián)發(fā)生，會(huì)阻斷終端主機(jī)的外聯(lián)行為，并通過(guò)流向向服務(wù)器端發(fā)送安全日志和警報(bào)信息。

具體完成功能如下：

（1）掃描內(nèi)網(wǎng)中的終端主機(jī)信息，包括IP地址、MAC地址、主機(jī)名、違規(guī)外聯(lián)事件等;

（2）監(jiān)控內(nèi)網(wǎng)非法直接外聯(lián);

（3）U盤管控，通過(guò)驅(qū)動(dòng)控制，允許合法U盤接入終端，禁止非法U盤接入內(nèi)網(wǎng);

（4）USB通訊類設(shè)備（手機(jī)等）管控，通過(guò)驅(qū)動(dòng)控制，禁止使用移動(dòng)設(shè)備共享接入內(nèi)網(wǎng);

（5）檢測(cè)到違規(guī)外聯(lián)時(shí)，阻斷違規(guī)外聯(lián)終端通信，記錄安全日志，控制臺(tái)報(bào)警。

四、新型管控技術(shù)介紹

本研究通過(guò)對(duì)當(dāng)前兩種違規(guī)外聯(lián)管控方式的比較，總結(jié)各自優(yōu)點(diǎn)研發(fā)出一種新型的管控違規(guī)外聯(lián)方式。

（一）新型違規(guī)外聯(lián)管控技術(shù)方案

新型的違規(guī)外聯(lián)管控技術(shù)是在Linux平臺(tái)上的C/S架構(gòu)系統(tǒng)，包括終端軟件端和內(nèi)網(wǎng)服務(wù)器控制端。形成軟件端功能為主，服務(wù)器端為輔的全方位實(shí)時(shí)違規(guī)外聯(lián)管控技術(shù)。解決了非法外聯(lián)的漏報(bào)、誤報(bào)現(xiàn)象，網(wǎng)管員可以通過(guò)服務(wù)器控制端查看內(nèi)網(wǎng)的每一天外聯(lián)記錄，便于信息內(nèi)網(wǎng)安全態(tài)勢(shì)的分析。系統(tǒng)由服務(wù)器管理端和終端軟件端組成：

終端軟件端與服務(wù)器管理端作用如下：

軟件端：

1）監(jiān)控終端，阻斷違規(guī)外聯(lián)（包括非法直接外聯(lián)、非法共享外聯(lián)）;

2）U盤管控，允許合法U盤接入終端，禁止非法終端接入外網(wǎng);

3）禁止USB智能設(shè)備接入，阻斷共享上網(wǎng)外聯(lián);

4）發(fā)生違規(guī)外聯(lián)生成安全日志，并上報(bào)服務(wù)器控制端。

服務(wù)器控制端：

1）掃描內(nèi)網(wǎng)終端和網(wǎng)絡(luò)設(shè)備，并能保存到本地?cái)?shù)據(jù)庫(kù);

2）掃描并識(shí)別內(nèi)網(wǎng)終端和網(wǎng)絡(luò)設(shè)備的IP地址、Mac地址、用戶名等信息，保存本地形成內(nèi)網(wǎng)主機(jī)列表庫(kù);

3）為安裝過(guò)軟件端的終端生成機(jī)器碼，便于查看內(nèi)網(wǎng)客戶端的安裝情況，查看安裝率。并可以用excel導(dǎo)出客戶端的安裝情況;

4）接收客戶端發(fā)出的違規(guī)事件安全日志，發(fā)出警報(bào)。并可以導(dǎo)出安全日志。

（二）數(shù)據(jù)包處理模塊

數(shù)據(jù)包接收處理模塊是判斷內(nèi)網(wǎng)主機(jī)發(fā)生非法外聯(lián)的參照，如果內(nèi)網(wǎng)主機(jī)發(fā)生違規(guī)外聯(lián)，終端軟件客戶端將會(huì)進(jìn)行阻斷攔截，同時(shí)向服務(wù)器端發(fā)生警報(bào)，并將記錄有違規(guī)外聯(lián)終端主機(jī)IP地址、MAC地址、賬戶名以及違規(guī)外聯(lián)類型發(fā)送到服務(wù)器控制端。流程如下圖：

（三）安全事件處理模塊

安全事件指的是違規(guī)外聯(lián)行為事件，如果軟件端檢測(cè)到內(nèi)網(wǎng)終端有違規(guī)外聯(lián)企圖，雖然并沒(méi)有成功違規(guī)外聯(lián)，但軟件客戶端還會(huì)直接進(jìn)行阻斷攔截，生成基于這臺(tái)終端IP地址、MAC地址、用戶名以及發(fā)生違規(guī)外聯(lián)時(shí)間和類型信息的安全日志，便于網(wǎng)管員分析內(nèi)網(wǎng)安全態(tài)勢(shì)。

（四）報(bào)警模塊

終端軟件客戶端生成的安全日志會(huì)直接傳送給控制臺(tái)并彈出報(bào)警頁(yè)面，為管理員記錄和查詢內(nèi)網(wǎng)違規(guī)外聯(lián)安全事件提供很大方便，可以按照內(nèi)網(wǎng)IP地址、MAC地址、用戶名和違規(guī)外聯(lián)事件來(lái)進(jìn)行查詢，這樣可以讓網(wǎng)管員實(shí)時(shí)了解內(nèi)網(wǎng)違規(guī)外聯(lián)的薄弱環(huán)節(jié)以及把握內(nèi)網(wǎng)安全態(tài)勢(shì)。

（五）功能實(shí)現(xiàn)

本次研究的新型違規(guī)外聯(lián)管控系統(tǒng)對(duì)內(nèi)網(wǎng)主機(jī)進(jìn)行監(jiān)測(cè)，需要在內(nèi)網(wǎng)終端主機(jī)上安裝違規(guī)外聯(lián)軟件端，主要用于違規(guī)外聯(lián)行為的檢測(cè)和阻斷，以及安全警報(bào)作用。服務(wù)器控制端在掃描內(nèi)網(wǎng)之后可以看到內(nèi)網(wǎng)主機(jī)IP地址、MAC地址等信息，并可以對(duì)安裝過(guò)客戶端的終端主機(jī)下發(fā)策略。服務(wù)器控住端能夠接受違規(guī)外聯(lián)安全報(bào)警和安全日志。

（六）系統(tǒng)配置

（1）硬件需求。本新型違規(guī)外聯(lián)管控極少占用主機(jī)資源。

（2）軟件配置：系統(tǒng)模式：C/S;終端軟件端：Linux操作系統(tǒng);服務(wù)器控制端：Linux操作系統(tǒng)。

五、結(jié)論

在分析過(guò)內(nèi)網(wǎng)違規(guī)外聯(lián)行為特點(diǎn)后，經(jīng)過(guò)深入了解當(dāng)前內(nèi)網(wǎng)違規(guī)外聯(lián)管控方式的不足之處后，研究一種新型的管控違規(guī)外聯(lián)的方式。本研究能夠在技術(shù)層面上保障內(nèi)網(wǎng)信息安全，并能準(zhǔn)確的把握內(nèi)網(wǎng)外聯(lián)的薄弱環(huán)節(jié)，方便網(wǎng)管人員履行職能，把握內(nèi)網(wǎng)安全態(tài)勢(shì)。本次研究是將整個(gè)內(nèi)網(wǎng)監(jiān)測(cè)工作轉(zhuǎn)換到每一臺(tái)終端主機(jī)上，并能將違規(guī)外聯(lián)的終端主機(jī)成為信息孤島，實(shí)際上是縮小的信息安全管控范圍，降低被黑客攻擊的風(fēng)險(xiǎn)，減少了內(nèi)網(wǎng)信息泄露的出口，保障了內(nèi)網(wǎng)信息的安全性。

參考文獻(xiàn)：

[1]孫娜.非法外聯(lián)技術(shù)研究與實(shí)現(xiàn)[D].北京郵電大學(xué)，2006.

[2]張鴻雁，郭東偉.非法外聯(lián)檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].工業(yè)技術(shù)經(jīng)濟(jì)，2005（05）.

[3]趙永勝，谷利澤.基于路由表的主機(jī)非法外聯(lián)監(jiān)控技術(shù)研究與分析.

[4]TOM GB910：The Telecom Operations Map，version2.1.The TeleManagement.

[5]劉桂棟，莊毅，王雷.內(nèi)網(wǎng)非法接入監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).2006南京通信年會(huì).

[6]W.Richard Stevent，TCP/IP Illustracted Volune 1[M].Addison Wesley，2000.

[7]魯士文.計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議與實(shí)現(xiàn)技術(shù).清華大學(xué)出版社，2000.