內(nèi)網(wǎng)非法外聯(lián)安全監(jiān)控系統(tǒng)的研究與設(shè)計(jì).pdf

1、傳統(tǒng)的網(wǎng)絡(luò)安全管理主要考慮網(wǎng)絡(luò)的外部攻擊，即外網(wǎng)安全，而對(duì)于用戶每天都在使用的客戶端監(jiān)管相對(duì)薄弱。隨著互聯(lián)網(wǎng)的不斷發(fā)展和越來(lái)越多新技術(shù)的應(yīng)用，發(fā)生自內(nèi)網(wǎng)計(jì)算機(jī)的安全事件逐漸增多，傳統(tǒng)的安全管理系統(tǒng)對(duì)此的防范己捉襟見肘。一些政府部門、軍隊(duì)等涉密部門根據(jù)安全需要雖然已經(jīng)對(duì)內(nèi)網(wǎng)采取了隔離措施，如禁止涉密計(jì)算機(jī)接入互聯(lián)網(wǎng)，嚴(yán)禁USB移動(dòng)存儲(chǔ)設(shè)備在涉密計(jì)算機(jī)上使用。但某些用戶可能會(huì)違反規(guī)定使用撥號(hào)、ADSL、雙網(wǎng)卡等方式將涉密計(jì)算機(jī)接入互聯(lián)網(wǎng)；或

2、者為了拷貝數(shù)據(jù)的方便，將在涉密計(jì)算機(jī)上使用過(guò)的移動(dòng)存儲(chǔ)設(shè)備又在接入互聯(lián)網(wǎng)的計(jì)算機(jī)上使用；或者未經(jīng)允許私自將筆記本電腦非法接入涉密內(nèi)網(wǎng)等等。以上這些行為都給內(nèi)網(wǎng)安全帶來(lái)了極大的隱患，很容易造成涉密信息的外漏或者給黑客攻擊提供可乘之機(jī)。
　　 本文深入分析了傳統(tǒng)非法外聯(lián)監(jiān)控手段，尤其是基于雙機(jī)模式的非法外聯(lián)監(jiān)控解決方案和基于代理模式的非法外聯(lián)監(jiān)控解決方案。研究中發(fā)現(xiàn)，針對(duì)雙機(jī)模式的非法外聯(lián)解決方案在實(shí)際應(yīng)用中存在以下四個(gè)問(wèn)題：1）最

3、近幾年發(fā)展起來(lái)并獲得廣泛應(yīng)用的狀態(tài)檢測(cè)防火墻會(huì)過(guò)濾掉非法外聯(lián)的告警包，內(nèi)網(wǎng)安全管理員也就無(wú)法得知內(nèi)網(wǎng)發(fā)生的非法外聯(lián)安全事件；2）用戶可以使用桌面防火墻先阻止非法外聯(lián)的探測(cè)包再外聯(lián)；3）用戶先從物理上斷掉與涉密內(nèi)網(wǎng)的連接再外聯(lián)；4）該方案只能發(fā)現(xiàn)非法外聯(lián)，但無(wú)法阻斷該行為，如果非法外聯(lián)行為未被及時(shí)阻止，內(nèi)網(wǎng)安全將無(wú)法保證。此外，代理模式的解決方案中存在與雙機(jī)模式共同的問(wèn)題：即用戶先從物理上斷掉與涉密內(nèi)網(wǎng)的連接后再外聯(lián)，而且還無(wú)法對(duì)新式的非

4、法外聯(lián)行為進(jìn)行有效監(jiān)控，如在涉密主機(jī)上使用移動(dòng)存儲(chǔ)設(shè)備拷貝文件等，所以這些解決方案將不能實(shí)時(shí)的為內(nèi)網(wǎng)安全管理員提供告警信息和有效監(jiān)控。針對(duì)這些問(wèn)題，本文使用Windows路由表監(jiān)控、Windows IP安全策略控制、NDIS中間層驅(qū)動(dòng)、802.1x局域網(wǎng)接入認(rèn)證以及三種告警技術(shù)結(jié)合等技術(shù)，提出了改進(jìn)的內(nèi)網(wǎng)非法外聯(lián)安全監(jiān)控解決方案，該解決方案能夠?qū)崿F(xiàn)對(duì)內(nèi)網(wǎng)終端非法上網(wǎng)、非法使用USB移動(dòng)存儲(chǔ)設(shè)備、外部計(jì)算機(jī)非法接入到內(nèi)網(wǎng)等安全隱患的全面監(jiān)