范慧莉，李?？?/p>

（北京空間機(jī)電研究所，北京 100094）

0 引言

隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)和通信技術(shù)的快速發(fā)展和應(yīng)用，信息化的建設(shè)也在不斷發(fā)展，普及程度也在不斷的提高，特別是在促成企業(yè)單位發(fā)生轉(zhuǎn)變的過程，起到了至關(guān)重要的角色。它通過實(shí)現(xiàn)信息資源的高度共享，高度整合，極大的解放、發(fā)展了生產(chǎn)力，更是優(yōu)化了生產(chǎn)關(guān)系，成為了企業(yè)提高市場(chǎng)競(jìng)爭(zhēng)力和可持續(xù)發(fā)展的重要手段[1]。現(xiàn)代信息技術(shù)確實(shí)為企事業(yè)單位帶來無窮的便利，卻也帶來了幸福的煩惱。信息的高度共享與整合帶來的不僅僅是生產(chǎn)效率的提升，更是帶來了巨大的安全隱患。病毒、木馬、非授權(quán)訪問、數(shù)據(jù)竊聽、暴力破解等各種黑客手段，都旨在獲取這些信息資源以從中謀取不當(dāng)利益[2]。

為了保護(hù)企業(yè)信息免受來自互聯(lián)網(wǎng)的攻擊，企業(yè)紛紛建立了自己的內(nèi)部專用網(wǎng)絡(luò)，并在裝有各種控件的專用硬件的幫助下，在航天專網(wǎng)與互聯(lián)網(wǎng)之間建立起了一扇“安全網(wǎng)絡(luò)之門”，以控制企業(yè)內(nèi)部寶貴信息的進(jìn)出，從而實(shí)現(xiàn)網(wǎng)絡(luò)安全。這種手段可以統(tǒng)稱為“物理隔離”[3]。物理隔離確實(shí)可以非常有效的控制、保護(hù)航天專網(wǎng)，能直接將來自網(wǎng)絡(luò)的攻擊隔離在企業(yè)之外。然而，經(jīng)過實(shí)踐發(fā)現(xiàn)，單純的物理隔離是遠(yuǎn)遠(yuǎn)不過的。物理隔離的實(shí)現(xiàn)前提，是所有航天專網(wǎng)的設(shè)備能且只能通過企業(yè)為他設(shè)置的“安全網(wǎng)絡(luò)之門”與互聯(lián)網(wǎng)發(fā)生聯(lián)系。這就意味著，黑客仍然可以通過，使網(wǎng)內(nèi)終端設(shè)備直接連接企業(yè)外部其他的違規(guī)設(shè)備的方式，來達(dá)到繞過企業(yè)設(shè)置的“安全網(wǎng)絡(luò)之門”，進(jìn)而攻擊終端，滲透到航天專網(wǎng)以偷竊信息的目的。為了解決違規(guī)外聯(lián)問題，市場(chǎng)上應(yīng)運(yùn)而生了眾多的違規(guī)外聯(lián)檢測(cè)監(jiān)控系統(tǒng)，然而這些系統(tǒng)的側(cè)重點(diǎn)往往使事后取證而非事前防控，且對(duì)于內(nèi)部設(shè)備連接互聯(lián)網(wǎng)之后的控制能力十分有限，對(duì)于內(nèi)網(wǎng)和互聯(lián)網(wǎng)物理連接的情況還是無能為力，且統(tǒng)一安裝代理客戶端的部署方式，需要策略以及客戶端的整體配合，一旦卸載代理或代理失效，那將讓航天專網(wǎng)設(shè)備處于毫無防控的狀態(tài)，而且隨著企業(yè)航天專網(wǎng)接入設(shè)備的日趨多樣化、跨平臺(tái)化、跨語言化，使得常規(guī)的基于安裝軟件代理的防護(hù)手段適用性越來越窄，軟件生產(chǎn)者必須付出極大的精力與投入才有可能保障代理手段能夠適用于各種設(shè)備[4]。不具備通用性，和全范圍的包容性，顯然是此類代理軟件在設(shè)計(jì)思路上的缺陷，因此這樣的處置方式遠(yuǎn)遠(yuǎn)不能滿足網(wǎng)絡(luò)安全管理的要求。

鑒于企業(yè)內(nèi)部網(wǎng)絡(luò)設(shè)備的種類多樣性，功能復(fù)雜性，以及新違規(guī)外聯(lián)手段的層出不窮，本文提出了一種無代理違規(guī)外聯(lián)檢測(cè)方式：通過從底層通訊協(xié)議入手，無需安裝客戶端，能全面覆蓋網(wǎng)絡(luò)內(nèi)部所有終端的方式，補(bǔ)充了現(xiàn)有違規(guī)外聯(lián)防護(hù)手段短板，提高了網(wǎng)絡(luò)內(nèi)部的安全性。

1 航天專網(wǎng)安全與違規(guī)外聯(lián)

1.1 航天專網(wǎng)安全重要性

國際標(biāo)準(zhǔn)化組織（ISO）將安全定義為“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)與管理方面的安全保護(hù)，保護(hù)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露”。這是安全在網(wǎng)絡(luò)定義上的延伸，而對(duì)于網(wǎng)絡(luò)安全管理人員來說，是需要時(shí)刻扼守的底線準(zhǔn)則。航天專網(wǎng)中，現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)手段措施，大多將防護(hù)重點(diǎn)放在了內(nèi)外網(wǎng)隔離，以及如何抵抗源自外部網(wǎng)絡(luò)的攻擊上（物理隔離，防火墻，入侵防御系統(tǒng)等），而內(nèi)部網(wǎng)絡(luò)更多的是通過劃分安全域的方式予以一定程度的限制與分隔。然而，對(duì)于航天專網(wǎng)內(nèi)部同一安全域內(nèi)的各個(gè)網(wǎng)絡(luò)終端，則賦予了極大的“信任”，這導(dǎo)致一旦安全威脅源自內(nèi)部，這類攻擊將具有更大的威脅，更高的可能性對(duì)企業(yè)造成巨大傷害。而在所有的信息安全事故中，由于網(wǎng)絡(luò)終端的使用者的疏忽誤操作或蓄意泄密所造成的事故約占70%，也就是說，如果企業(yè)單位不能有效的控制來自內(nèi)部的網(wǎng)絡(luò)安全問題，核心數(shù)據(jù)和涉密信息的損失將是不可估量的。

1.2 違規(guī)外聯(lián)概況

對(duì)于航天專網(wǎng)而言，最基礎(chǔ)的安全手段就是與互聯(lián)網(wǎng)物理隔離。雖然物理隔離能夠從原則上保障外部網(wǎng)絡(luò)和航天專網(wǎng)之間不存在可以產(chǎn)生通訊的物理鏈路，切斷了信息外泄的外部通道，但是網(wǎng)絡(luò)安全的重點(diǎn)從來不單單限于免受外部網(wǎng)絡(luò)的攻擊，同時(shí)也要時(shí)刻監(jiān)視網(wǎng)絡(luò)內(nèi)部的安全情況。由于個(gè)人產(chǎn)生誤操作，或是外來人員通過外來設(shè)備，使內(nèi)外網(wǎng)互通，最終導(dǎo)致失、泄密或影響信息系統(tǒng)性能，這些行為可以統(tǒng)一定義為“違規(guī)外聯(lián)”。

違規(guī)外聯(lián)使原本物理隔離的航天專網(wǎng)與外部的網(wǎng)絡(luò)環(huán)境之間出現(xiàn)了新的不可控通道，外部網(wǎng)絡(luò)可能借助此通道，病毒、木馬、非授權(quán)訪問、數(shù)據(jù)竊聽、暴力破解等多種手段侵入違規(guī)外聯(lián)的計(jì)算機(jī)，非法竊取敏感數(shù)據(jù)，甚至利用該機(jī)器作為跳板進(jìn)一步滲透內(nèi)網(wǎng)的重要服務(wù)器，甚至進(jìn)行跨安全域、跨網(wǎng)絡(luò)破壞，進(jìn)而導(dǎo)致整個(gè)內(nèi)部網(wǎng)絡(luò)面臨巨大安全風(fēng)險(xiǎn)[5]。

1.3 常見違規(guī)外聯(lián)方式

違規(guī)外聯(lián)的手段有很多種，常見手段如表1所示。

通過表1看出，無論是何種方式的違規(guī)外聯(lián)，只要發(fā)生，就會(huì)產(chǎn)生巨大的安全問題，并極有可能泄露企業(yè)核心機(jī)密內(nèi)容，導(dǎo)致巨大的不可挽回的損失。

1.4 現(xiàn)有代理檢測(cè)技術(shù)分析

基于違規(guī)手段進(jìn)行檢測(cè)，會(huì)因?yàn)檠邪l(fā)周期的不確定性，導(dǎo)致新違規(guī)手段一段時(shí)間內(nèi)將沒有相應(yīng)的防護(hù)手段。因此，基于違規(guī)手段進(jìn)行檢測(cè)的方式因其適應(yīng)性差，不可預(yù)期性強(qiáng)的缺點(diǎn)，不適合作為有效的檢測(cè)手段[6]。

傳統(tǒng)違規(guī)外聯(lián)的檢測(cè)技術(shù)主要是利用在計(jì)算機(jī)上安裝代理軟件，以此對(duì)設(shè)備進(jìn)行管理。但隨著網(wǎng)絡(luò)內(nèi)接入的終端設(shè)備類型越來越復(fù)雜多樣，此方式也并不能適用于檢測(cè)特殊設(shè)備是否會(huì)產(chǎn)生違規(guī)外聯(lián)行為。

2 無代理檢測(cè)技術(shù)

2.1 技術(shù)原理

本文提出的無代理違規(guī)外聯(lián)檢測(cè)技術(shù)分為兩類，一類是主動(dòng)掃描技術(shù)，一類是被動(dòng)檢測(cè)技術(shù)。其中主動(dòng)掃描技術(shù)適合于非Windows的特殊設(shè)備，而被動(dòng)檢測(cè)技術(shù)適合于具有交互能力但無法安裝檢測(cè)代理軟件的辦公機(jī)。

2.2 主動(dòng)掃描技術(shù)

此技術(shù)的探測(cè)原理使通過探測(cè)設(shè)備與被探測(cè)設(shè)備之間建立TCP的半連接，通過判斷通信是否成功建立以來判定目標(biāo)機(jī)是否產(chǎn)生了違規(guī)外聯(lián)。在TCP/IP協(xié)議中，要建立TCP連接需要進(jìn)行三次握手，如圖1所示。

所謂三次握手（Three-Way Handshake）即建立TCP連接，就是指建立一個(gè)TCP連接時(shí)，需要客戶端和服務(wù)端總共發(fā)送3個(gè)包以確認(rèn)連接的建立[7]。

表1 常見的違規(guī)外聯(lián)方式

圖1 三次握手流程

基于SYN+ACK的回復(fù)來判斷目標(biāo)機(jī)器是否產(chǎn)生違規(guī)外聯(lián)的方式有兩種，一種是在互聯(lián)網(wǎng)上部署取證服務(wù)器，一種是無需互聯(lián)網(wǎng)取證服務(wù)器，純內(nèi)網(wǎng)方式檢測(cè)。

2.2.1 互聯(lián)網(wǎng)取證

在互聯(lián)網(wǎng)上部署取證服務(wù)器，然后取證服務(wù)器上進(jìn)行抓包，只要抓到內(nèi)網(wǎng)的特定探測(cè)響應(yīng)數(shù)據(jù)包，即可確定有內(nèi)網(wǎng)機(jī)器產(chǎn)生了違規(guī)外聯(lián)行為，其基本原理如圖2所示。

探測(cè)器模擬外網(wǎng)取證服務(wù)器的IP地址向測(cè)試機(jī)發(fā)送TCP SYN掃描數(shù)據(jù)包，如果測(cè)試機(jī)沒有違規(guī)外聯(lián)，則探測(cè)包最終將由于沒有路由而被內(nèi)網(wǎng)路由器（交換機(jī)）丟棄；如果測(cè)試機(jī)產(chǎn)生了違規(guī)外聯(lián)，則測(cè)試機(jī)會(huì)向互聯(lián)網(wǎng)取證服務(wù)器回復(fù)TCP SYN+ACK的數(shù)據(jù)包；如果互聯(lián)網(wǎng)取證服務(wù)器收到探測(cè)發(fā)送來的TCP SYN+ACK包，則判定有內(nèi)網(wǎng)機(jī)器發(fā)生了違規(guī)外聯(lián)，具體違規(guī)外聯(lián)的機(jī)器可以根據(jù)構(gòu)造TCP SYN的序列號(hào)，并基于TCP SYN+ACK此序列號(hào)區(qū)分具體機(jī)器。

2.2.2 純內(nèi)網(wǎng)取證

純內(nèi)網(wǎng)探測(cè)無需在互聯(lián)網(wǎng)部署取證服務(wù)器，內(nèi)網(wǎng)探測(cè)服務(wù)器根據(jù)是否有響應(yīng)數(shù)據(jù)包來判斷測(cè)試機(jī)是否產(chǎn)生了違規(guī)外聯(lián)，基本原理圖如圖3所示。

探測(cè)器模擬外網(wǎng)IP地址向測(cè)試機(jī)發(fā)送TCP SYN掃描數(shù)據(jù)包，如果測(cè)試機(jī)無外網(wǎng)出口，則其TCP SYN+ACK回復(fù)包會(huì)原路返回給探測(cè)器；如果測(cè)試機(jī)有外網(wǎng)出口，則其TCP SYN+ACK回復(fù)包會(huì)從外網(wǎng)出口轉(zhuǎn)到互聯(lián)網(wǎng)上；探測(cè)器基于是否收到TCP SYN+ACK的響應(yīng)包來判斷測(cè)試機(jī)是否產(chǎn)生了外聯(lián)行為。

2.3 被動(dòng)檢測(cè)技術(shù)

主動(dòng)掃描的檢測(cè)技術(shù)需要一定的前提條件：

1）測(cè)試機(jī)必須開啟某一個(gè)TCP監(jiān)聽端口供探測(cè)器發(fā)送TCP SYN探測(cè)包；

2）測(cè)試機(jī)必須啟用路由轉(zhuǎn)發(fā)功能（很多操作系統(tǒng)，比如Windows7以及更高版本W(wǎng)indows默認(rèn)都是不啟用此轉(zhuǎn)發(fā)功能的，所以不能用此探測(cè)技術(shù)）。

基于以上兩點(diǎn)可見，主動(dòng)探測(cè)技術(shù)對(duì)于Windows辦公機(jī)的檢測(cè)具有一定局限性?；诖吮疚奶岢隽吮粍?dòng)檢測(cè)技術(shù)，以配合主動(dòng)探測(cè)。被動(dòng)檢測(cè)技術(shù)分為在線違規(guī)外聯(lián)檢測(cè)和離線違規(guī)外聯(lián)檢測(cè)兩種。

2.3.1 在線檢測(cè)

圖2 互聯(lián)網(wǎng)取證過程

圖3 純內(nèi)網(wǎng)取證

在線違規(guī)外聯(lián)檢測(cè)是測(cè)試機(jī)同時(shí)聯(lián)通內(nèi)外網(wǎng)，檢測(cè)代碼實(shí)時(shí)與外網(wǎng)取證服務(wù)器進(jìn)行通信，根據(jù)通信的結(jié)果進(jìn)行取證，基本原理如圖4所示。

探測(cè)器首先要對(duì)WEB服務(wù)器頁面進(jìn)行抓取，并進(jìn)行修改將檢測(cè)代碼附加到頁面中，并進(jìn)行緩存；測(cè)試機(jī)通過瀏覽器訪問內(nèi)網(wǎng)WEB服務(wù)器，此訪問請(qǐng)求會(huì)被探測(cè)器和內(nèi)網(wǎng)WEB服務(wù)器收到；探測(cè)器和內(nèi)網(wǎng)WEB服務(wù)器都給測(cè)試機(jī)的瀏覽器回復(fù)頁面信息，由于探測(cè)器的回復(fù)比WEB服務(wù)器要快，所以瀏覽器接收并使用了探測(cè)器回復(fù)的頁面，此頁面帶有檢測(cè)代碼，而WEB服務(wù)器回復(fù)的頁面會(huì)被瀏覽器當(dāng)做重復(fù)數(shù)據(jù)而丟棄；瀏覽器執(zhí)行檢測(cè)代碼，此代碼首先從內(nèi)網(wǎng)探測(cè)器上獲取測(cè)試機(jī)自身信息；檢測(cè)代碼將測(cè)試機(jī)內(nèi)網(wǎng)信息提交給互聯(lián)網(wǎng)取證服務(wù)器，如果提交失敗，則表示測(cè)試機(jī)沒有違規(guī)外聯(lián)行為，如果提交成功則表示測(cè)試機(jī)產(chǎn)生了違規(guī)外聯(lián)行為，此時(shí)互聯(lián)網(wǎng)取證服務(wù)器記錄測(cè)試機(jī)的內(nèi)網(wǎng)信息；如果檢測(cè)代碼確認(rèn)違規(guī)行為，則將互聯(lián)網(wǎng)取證信息提交給內(nèi)網(wǎng)探測(cè)器，內(nèi)網(wǎng)探測(cè)器在內(nèi)部對(duì)違規(guī)行為進(jìn)行記錄。

2.3.2 離線檢測(cè)

離線違規(guī)外聯(lián)檢測(cè)就是利用了檢測(cè)瀏覽器Cookie的技術(shù)[8]，來查看本地是否存留了互聯(lián)網(wǎng)服務(wù)器的殘留Cookie信息，并通過技術(shù)手段，解決了不同域名之間Cookie無法訪問的技術(shù)壁壘，基本原理流程如圖5所示。

圖4 在線檢測(cè)原理圖

圖5 離線檢測(cè)原理圖

測(cè)試機(jī)離開內(nèi)網(wǎng)，違規(guī)訪問互聯(lián)網(wǎng)，此時(shí)瀏覽器會(huì)遺留訪問互聯(lián)網(wǎng)的Cookie在硬盤上；探測(cè)器首先將檢測(cè)JavaScript代碼附加到頁面中，并進(jìn)行緩存；測(cè)試機(jī)斷開互聯(lián)網(wǎng)，接入內(nèi)網(wǎng)，并通過瀏覽器訪問內(nèi)網(wǎng)WEB服務(wù)器；探測(cè)器和內(nèi)網(wǎng)WEB服務(wù)器都給測(cè)試機(jī)的瀏覽器回復(fù)頁面信息，由于探測(cè)器的回復(fù)比真實(shí)WEB服務(wù)器要快，所以瀏覽器接收并使用了探測(cè)器回復(fù)的頁面，此頁面帶有檢測(cè)代碼，而真實(shí)WEB服務(wù)器回復(fù)的頁面會(huì)被瀏覽器當(dāng)做重復(fù)數(shù)據(jù)而丟棄；瀏覽器執(zhí)行檢測(cè)代碼，檢測(cè)代碼首先訪問互聯(lián)網(wǎng)服務(wù)器，此時(shí)瀏覽器會(huì)向內(nèi)網(wǎng)DNS服務(wù)器發(fā)送域名IP地址解析請(qǐng)求；內(nèi)網(wǎng)DNS服務(wù)器已經(jīng)提前配置好將對(duì)應(yīng)IP地址解析為內(nèi)網(wǎng)探測(cè)器IP地址，所以內(nèi)網(wǎng)DNS服務(wù)器回復(fù)測(cè)試機(jī)瀏覽器對(duì)應(yīng)域名為內(nèi)網(wǎng)探測(cè)器IP；檢測(cè)代碼通過瀏覽器訪問本地的Cookie信息成功，如果發(fā)現(xiàn)有互聯(lián)網(wǎng)殘留的Cookie則表示機(jī)器曾經(jīng)接入過互聯(lián)網(wǎng)，此時(shí)向探測(cè)器發(fā)送違規(guī)記錄并進(jìn)行取證。

3 結(jié)語

本文提出的主動(dòng)掃描和被動(dòng)檢測(cè)的無代理違規(guī)外聯(lián)檢測(cè)技術(shù)，并不是取代當(dāng)前傳統(tǒng)基于代理軟件的檢測(cè)模式，而是使兩者協(xié)同配合，令其在各自適合的環(huán)境和適用范圍發(fā)揮作用，相互輔助，相互彌補(bǔ)，在面臨復(fù)雜的終端網(wǎng)路設(shè)備時(shí)，能最終確實(shí)的保證網(wǎng)絡(luò)的安全。