论文部分内容阅读
应用背景
近几年来,政府的信息化网络走过了不断发展、完善的历程,已经拥有大量技术先进、种类繁多的网络设备和系统,构成了一个配置复杂的综合性网络。与此同时,由于信息泄漏、信息遭受破坏等带来的损失也令人触目惊心,网络安全问题面临日益严峻的挑战。
目前,在政府的网络中部署有多套网络,如政务办公网(俗称内网)、互联网(外网)以及其他保密网络。为了保证政务信息的安全,防止政务办公信息在互联网上泄漏,政府一般采用内外网完全物理隔离的方法,在一台机器上配置有物理隔离卡以及内外网各一套硬盘,这样内网用户想访问互联网需要重新启动计算机进入外网的硬盘方可上互联网,反之进内网硬盘才能上政务办公网,或者采用内外网各一套机器的方法。
这样的设置直接导致了几种不安全因素的产生:一是有些政府工作人员在应用中觉得频繁重新启动机器很麻烦,便采用互相拨叉网线来实现内外网的切换,致使政务办公信息处于互联网状态下,极易造成资料通过Internet外泄。二是通过移动存储设备在内外网络中互用使信息泄密。此外,还有政府工作人员把政务办公信息通过邮件论坛等方式发布到互联网上,以及政府工作人员浏览一些非法的网站,都会有意无意地造成信息泄密。
针对这种人为造成的政务信息泄密的不安全因素,为确保党政机关信息网络安全和政令畅通,努力做到在政务人员方便高效使用网络的同时,严格掌控政务办公信息的流通安全,青岛市四方区设计开发了基于内外网隔离与监控技术的政务网络信息安全保障系统。在该系统中,通过应用网络技术(防火墙、交换机、路由器)、数据库技术、网络监听技术、数字指纹技术和信息加密手段等先进计算机技术,在基于政府现有网络系统的基础上,借助于内外网隔离技术,将政府网络中一些人为因素造成信息泄密的问题得到了有针对性的解决,实现了政府网络中信息安全保障的功能。
设计构想
这套网络信息安全保障系统的结构图如图1所示:分为客户端,服务器端,数据库设计,数据管理系统四大部分。
客户端主要负责用户登录和连接,可移动存储设备的合法性认证,设备指纹文件的写入。
验证服务器主要负责用户信息验证,用户磁盘合法性认证,客户机的IP地址和MAC地址管理,防火墙交互等功能。
监听服务器主要负责数据流分析,防止网页篡改。
数据库为服务器端的各种信息验证和信息处理提供源数据,数据库设定管理员和普通用户二级权限。数据管理系统采用B/S架构,主要实现用户管理,机器管理,设备管理以及内网IP分配。管理员对普通用户信息进行审核,同时审核磁盘存储和移动存储的合法性,普通用户可以提交移动存储合法化申请和内网IP绑定申请。
系统实现的功能
(一)防止内外网切换功能
实现效果:当客户端用户手动将内外网网线互相切换之后,网络会自动中断,有效的防止通过外网传送内网资料,如果用户通过改变客户端的系统服务配置,网络也会自动关闭,防止系统被恶意攻击。内外网终端自动检测是否连接互联网,如内网用户连接互联网,则自动到服务器端注册,同时服务器端进行报警。
实现原理:内网和外网使用的是不同的IP和不同的磁盘,因此,两者的组合可以唯一的标识一台计算机的认证信息,当IP地址和磁盘标识号的组合无法与服务器端认证信息进行匹配时,则可认定该计算机不合法,在服务器端将该计算机的网络端口进行关闭。
具体步骤:
1、 用户使用客户端计算机向服务器提出联网请求,服务器端进行认证,若此程序上次登录的服务器不是本服务器,则怀疑他进行了内外网混接,不允许连接,否则为其开放网络端口;如内网用户连接互联网,则自动到服务器端注册,同时服务器端进行报警。
2、 服务器在数据库中记录所有曾经正常登录过自己的客户端硬盘序列号。外网内网服务器定时进行数据互换,将在自己服务器上连接过的硬盘序列号传送给对方(通过文件导入导出进行传递),在对方的数据库中标志为禁用。如果发现客户端使用了禁用的硬盘序列号,则禁止客户端连接到外网。
3、 服务器端记录用户登陆时间,并通知网关允许其进行外网连接;
4、 在客户端计算机中注入系统服务,并随系统启动而开启,用来定时向服务器端报告其IP地址以及硬盘标识号,从而验证其联网的合法性;
5、 服务器端对客户端的报告进行接收并与服务器上的配置数据进行匹对,对于合法的请求,继续开放其联网端口,对于不正确的配置,则将其网络端口关闭,停止联网服务;
6、 若用户手动将服务关闭,则服务器会出现超时未接受数据的异常,此时认为用户恶意攻击防护系统,服务器会通知网关关闭其网络连接。
内外网切换功能示意图如图2所示。
(二)IP-MAC自动绑定与管理
实现效果:当客户端登录到服务器时,服务器自动进行判断。如果客户端是首次连接到服务器端,那么服务器会自动将IP地址与MAC地址进行绑定,并通知客户端自动对机器网络配置进行修改。
如果客户端的网络配置发现问题,配置了错误的IP地址,那么服务器会自动通知客户端其正确的IP地址并进行修改。
实现原理:服务器将所有的IP地址与MAC地址都存储在数据库中。每次登录时,都根据客户端传送的IP地址与MAC地址进行检索,得到其数据库中的注册IP地址与MAC地址。如果注册地址不存在,则一方面向数据库中进行添加,另一方面通知防火墙进行绑定。如果注册IP地址和实际IP地址不同,则要求客户端将连接配置更改为注册IP地址。如果注册MAC地址与实际MAC地址不同,则说明此客户机占用了他人的IP地址,则会通知客户端重新取得IP地址。
IP-MAC自动绑定与管理示意图如图3所示。
(三)移动存储设备的审核功能
实现效果:客户端用户使用的U盘或者移动硬盘等存储设备必须经过信息中心进行审批,否则在客户端计算机上无法正常使用。
用户将需要审核的移动设备递交信息中心,信息中心工作人员使用密钥生成程序为用户的移动存储设备加载密钥文件;相关内容自动提交到服务器端进行记录。
用户使用未审核的移动存储设备时,客户端系统会因检测不到密钥文件而拒绝该移动存储设备的加载和使用,会提示用户将该存储设备进行提交审核。由于密钥文件与移动存储设备一一对应,因此密钥文件具备不可复制性,每一个移动存储设备必须有符合自己的密钥文件,更换设备会导致无效,从而彻底杜绝来历不明的移动存储设备。
如果用户使用了未经审核的移动存储设备时,客户端会自动的将此U盘禁用,并向服务器报告使用未经审核移动存储设备的时间、IP地址与MAC地址。
实现原理:每一个移动存储设备都具有唯一标识信息,包括VID,PID,Serial Numbers等,认证时使用程序读出所需信息,然后使用指纹生成算法,生成一个唯一标识指纹,并存储在密钥文件中。当用户使用移动存储设备时,客户端程序能够读出该设备的VID,PID,Serial Numbers等信息,生成指纹,与存储在移动存储设备上的密钥文件中的指纹进行匹对,如果符合说明该移动存储设备是经过认证的,否则认为该设备并不合法,用户将无法使用。
(四)防止网页被恶意篡改功能
实现效果。当服务器网站的网页遭遇被恶意篡改等黑客攻击时,服务器防护系统可检测到网页的非正常改动,并向管理员报警,以保证网页的正确性,稳定性与可靠性。
实现原理。服务器中预置关键的网页地址列表,分别对每个网址的内容进行分析,区分相对固定的特征内容和经常动态更新的内容,对这些关键网页的固定部分进行散列存档并可以自动或手动更新。
定期对网页进行再次获取,进行散列并与之前的存档做比对,如果发现其固定部分的特征值发生改变,则表明页面被篡改,此时会发送短信到信息中心工作人员手机进行报警,并将改变内容迅速发送给工作人员,由工作人员手动进行判断分析,如果确实为恶意篡改则恢复原网页;如果是正常改动则需要手动更新散列值,从而确保再次比对时不会发生错误判断。
防止网页被恶意篡改功能示意图如图4所示。
(五)数据流监控功能
实现效果:用户使用客户端计算机发送数据时,服务器端会对发送的数据进行监控。监控程序能够分析数据流内容,判断是否有敏感涉密词汇,实现内容监控,防止重要资料外流。如果监控程序发现数据流中具有敏感涉密词汇,则将其以短消息的形式发送到政府电子政务管理工作人员手机上,以便手动判别其是否属于重要的禁止外流数据。
实现原理:本功能实现原理使用的是旁路监控方式。该方式并不直接截获数据包,而是将数据流原封复制到服务器存储介质上,然后使用程序读取该数据进行分析。该方式的优点是不会造成网络拥堵,即在任何情况下网络都能够保证畅通,缺点是实时性差,在数据流量较大的情况下,不能够及时的对流量数据进行分析处理,因此可能会有延时。
对于数据流的分析,系统采用正则表达式匹配等算法的结合,能够做到数据流中“有危险就报告”,彻底杜绝重要信息数据外流的安全隐患。
数据流监控功能示意图如图5所示。
(六)关键网站的敏感词监控功能
实现效果:当客户端用户浏览外网网页时,应该对这些网页进行分析,查找其网页是否具有涉密或者敏感词汇,如果分析出敏感涉密词汇,则将其进行筛选和记录。
实现原理:在服务器上预置重点监控的网址列表,定期获取网页,进行关键词分析,查找有无涉密敏感词汇,将其进行筛选并且进行登记。
如果用户请求的是在服务器上登记的网站地址,则提示该网页存在问题,建议用户浏览其他类似网站查阅相关资料。对于进行登记的网站,应该对其定期检查,如果该网站并不含有敏感词汇,则应将其从列表中手动删除,对于确实存在敏感词汇的网站,则会重点防范,表现在更多的获取其相关网页进行分析,对于含有敏感词汇的网页均添加到筛选列表中。
作为一种现代管理手段,基于内外网隔离与监控技术的政务网络信息安全保障系统的开发建设和应用实施,进一步增强了政府工作人员的政务信息保密意识;进一步完善了政府工作人员工作运行机制,规范了政府工作人员工作流程,降低了政府行政成本,提高了政府机关执行力,得到了区委、区政府领导的充分肯定和兄弟区市的一致好评。
(作者单位:中国海洋大学信息科学与工程学院)
近几年来,政府的信息化网络走过了不断发展、完善的历程,已经拥有大量技术先进、种类繁多的网络设备和系统,构成了一个配置复杂的综合性网络。与此同时,由于信息泄漏、信息遭受破坏等带来的损失也令人触目惊心,网络安全问题面临日益严峻的挑战。
目前,在政府的网络中部署有多套网络,如政务办公网(俗称内网)、互联网(外网)以及其他保密网络。为了保证政务信息的安全,防止政务办公信息在互联网上泄漏,政府一般采用内外网完全物理隔离的方法,在一台机器上配置有物理隔离卡以及内外网各一套硬盘,这样内网用户想访问互联网需要重新启动计算机进入外网的硬盘方可上互联网,反之进内网硬盘才能上政务办公网,或者采用内外网各一套机器的方法。
这样的设置直接导致了几种不安全因素的产生:一是有些政府工作人员在应用中觉得频繁重新启动机器很麻烦,便采用互相拨叉网线来实现内外网的切换,致使政务办公信息处于互联网状态下,极易造成资料通过Internet外泄。二是通过移动存储设备在内外网络中互用使信息泄密。此外,还有政府工作人员把政务办公信息通过邮件论坛等方式发布到互联网上,以及政府工作人员浏览一些非法的网站,都会有意无意地造成信息泄密。
针对这种人为造成的政务信息泄密的不安全因素,为确保党政机关信息网络安全和政令畅通,努力做到在政务人员方便高效使用网络的同时,严格掌控政务办公信息的流通安全,青岛市四方区设计开发了基于内外网隔离与监控技术的政务网络信息安全保障系统。在该系统中,通过应用网络技术(防火墙、交换机、路由器)、数据库技术、网络监听技术、数字指纹技术和信息加密手段等先进计算机技术,在基于政府现有网络系统的基础上,借助于内外网隔离技术,将政府网络中一些人为因素造成信息泄密的问题得到了有针对性的解决,实现了政府网络中信息安全保障的功能。
设计构想
这套网络信息安全保障系统的结构图如图1所示:分为客户端,服务器端,数据库设计,数据管理系统四大部分。
客户端主要负责用户登录和连接,可移动存储设备的合法性认证,设备指纹文件的写入。
验证服务器主要负责用户信息验证,用户磁盘合法性认证,客户机的IP地址和MAC地址管理,防火墙交互等功能。
监听服务器主要负责数据流分析,防止网页篡改。
数据库为服务器端的各种信息验证和信息处理提供源数据,数据库设定管理员和普通用户二级权限。数据管理系统采用B/S架构,主要实现用户管理,机器管理,设备管理以及内网IP分配。管理员对普通用户信息进行审核,同时审核磁盘存储和移动存储的合法性,普通用户可以提交移动存储合法化申请和内网IP绑定申请。
系统实现的功能
(一)防止内外网切换功能
实现效果:当客户端用户手动将内外网网线互相切换之后,网络会自动中断,有效的防止通过外网传送内网资料,如果用户通过改变客户端的系统服务配置,网络也会自动关闭,防止系统被恶意攻击。内外网终端自动检测是否连接互联网,如内网用户连接互联网,则自动到服务器端注册,同时服务器端进行报警。
实现原理:内网和外网使用的是不同的IP和不同的磁盘,因此,两者的组合可以唯一的标识一台计算机的认证信息,当IP地址和磁盘标识号的组合无法与服务器端认证信息进行匹配时,则可认定该计算机不合法,在服务器端将该计算机的网络端口进行关闭。
具体步骤:
1、 用户使用客户端计算机向服务器提出联网请求,服务器端进行认证,若此程序上次登录的服务器不是本服务器,则怀疑他进行了内外网混接,不允许连接,否则为其开放网络端口;如内网用户连接互联网,则自动到服务器端注册,同时服务器端进行报警。
2、 服务器在数据库中记录所有曾经正常登录过自己的客户端硬盘序列号。外网内网服务器定时进行数据互换,将在自己服务器上连接过的硬盘序列号传送给对方(通过文件导入导出进行传递),在对方的数据库中标志为禁用。如果发现客户端使用了禁用的硬盘序列号,则禁止客户端连接到外网。
3、 服务器端记录用户登陆时间,并通知网关允许其进行外网连接;
4、 在客户端计算机中注入系统服务,并随系统启动而开启,用来定时向服务器端报告其IP地址以及硬盘标识号,从而验证其联网的合法性;
5、 服务器端对客户端的报告进行接收并与服务器上的配置数据进行匹对,对于合法的请求,继续开放其联网端口,对于不正确的配置,则将其网络端口关闭,停止联网服务;
6、 若用户手动将服务关闭,则服务器会出现超时未接受数据的异常,此时认为用户恶意攻击防护系统,服务器会通知网关关闭其网络连接。
内外网切换功能示意图如图2所示。
(二)IP-MAC自动绑定与管理
实现效果:当客户端登录到服务器时,服务器自动进行判断。如果客户端是首次连接到服务器端,那么服务器会自动将IP地址与MAC地址进行绑定,并通知客户端自动对机器网络配置进行修改。
如果客户端的网络配置发现问题,配置了错误的IP地址,那么服务器会自动通知客户端其正确的IP地址并进行修改。
实现原理:服务器将所有的IP地址与MAC地址都存储在数据库中。每次登录时,都根据客户端传送的IP地址与MAC地址进行检索,得到其数据库中的注册IP地址与MAC地址。如果注册地址不存在,则一方面向数据库中进行添加,另一方面通知防火墙进行绑定。如果注册IP地址和实际IP地址不同,则要求客户端将连接配置更改为注册IP地址。如果注册MAC地址与实际MAC地址不同,则说明此客户机占用了他人的IP地址,则会通知客户端重新取得IP地址。
IP-MAC自动绑定与管理示意图如图3所示。
(三)移动存储设备的审核功能
实现效果:客户端用户使用的U盘或者移动硬盘等存储设备必须经过信息中心进行审批,否则在客户端计算机上无法正常使用。
用户将需要审核的移动设备递交信息中心,信息中心工作人员使用密钥生成程序为用户的移动存储设备加载密钥文件;相关内容自动提交到服务器端进行记录。
用户使用未审核的移动存储设备时,客户端系统会因检测不到密钥文件而拒绝该移动存储设备的加载和使用,会提示用户将该存储设备进行提交审核。由于密钥文件与移动存储设备一一对应,因此密钥文件具备不可复制性,每一个移动存储设备必须有符合自己的密钥文件,更换设备会导致无效,从而彻底杜绝来历不明的移动存储设备。
如果用户使用了未经审核的移动存储设备时,客户端会自动的将此U盘禁用,并向服务器报告使用未经审核移动存储设备的时间、IP地址与MAC地址。
实现原理:每一个移动存储设备都具有唯一标识信息,包括VID,PID,Serial Numbers等,认证时使用程序读出所需信息,然后使用指纹生成算法,生成一个唯一标识指纹,并存储在密钥文件中。当用户使用移动存储设备时,客户端程序能够读出该设备的VID,PID,Serial Numbers等信息,生成指纹,与存储在移动存储设备上的密钥文件中的指纹进行匹对,如果符合说明该移动存储设备是经过认证的,否则认为该设备并不合法,用户将无法使用。
(四)防止网页被恶意篡改功能
实现效果。当服务器网站的网页遭遇被恶意篡改等黑客攻击时,服务器防护系统可检测到网页的非正常改动,并向管理员报警,以保证网页的正确性,稳定性与可靠性。
实现原理。服务器中预置关键的网页地址列表,分别对每个网址的内容进行分析,区分相对固定的特征内容和经常动态更新的内容,对这些关键网页的固定部分进行散列存档并可以自动或手动更新。
定期对网页进行再次获取,进行散列并与之前的存档做比对,如果发现其固定部分的特征值发生改变,则表明页面被篡改,此时会发送短信到信息中心工作人员手机进行报警,并将改变内容迅速发送给工作人员,由工作人员手动进行判断分析,如果确实为恶意篡改则恢复原网页;如果是正常改动则需要手动更新散列值,从而确保再次比对时不会发生错误判断。
防止网页被恶意篡改功能示意图如图4所示。
(五)数据流监控功能
实现效果:用户使用客户端计算机发送数据时,服务器端会对发送的数据进行监控。监控程序能够分析数据流内容,判断是否有敏感涉密词汇,实现内容监控,防止重要资料外流。如果监控程序发现数据流中具有敏感涉密词汇,则将其以短消息的形式发送到政府电子政务管理工作人员手机上,以便手动判别其是否属于重要的禁止外流数据。
实现原理:本功能实现原理使用的是旁路监控方式。该方式并不直接截获数据包,而是将数据流原封复制到服务器存储介质上,然后使用程序读取该数据进行分析。该方式的优点是不会造成网络拥堵,即在任何情况下网络都能够保证畅通,缺点是实时性差,在数据流量较大的情况下,不能够及时的对流量数据进行分析处理,因此可能会有延时。
对于数据流的分析,系统采用正则表达式匹配等算法的结合,能够做到数据流中“有危险就报告”,彻底杜绝重要信息数据外流的安全隐患。
数据流监控功能示意图如图5所示。
(六)关键网站的敏感词监控功能
实现效果:当客户端用户浏览外网网页时,应该对这些网页进行分析,查找其网页是否具有涉密或者敏感词汇,如果分析出敏感涉密词汇,则将其进行筛选和记录。
实现原理:在服务器上预置重点监控的网址列表,定期获取网页,进行关键词分析,查找有无涉密敏感词汇,将其进行筛选并且进行登记。
如果用户请求的是在服务器上登记的网站地址,则提示该网页存在问题,建议用户浏览其他类似网站查阅相关资料。对于进行登记的网站,应该对其定期检查,如果该网站并不含有敏感词汇,则应将其从列表中手动删除,对于确实存在敏感词汇的网站,则会重点防范,表现在更多的获取其相关网页进行分析,对于含有敏感词汇的网页均添加到筛选列表中。
作为一种现代管理手段,基于内外网隔离与监控技术的政务网络信息安全保障系统的开发建设和应用实施,进一步增强了政府工作人员的政务信息保密意识;进一步完善了政府工作人员工作运行机制,规范了政府工作人员工作流程,降低了政府行政成本,提高了政府机关执行力,得到了区委、区政府领导的充分肯定和兄弟区市的一致好评。
(作者单位:中国海洋大学信息科学与工程学院)