內(nèi)網(wǎng)安全管理系統(tǒng)研究

王慶一

摘要：內(nèi)網(wǎng)安全管理系統(tǒng)主要對(duì)內(nèi)網(wǎng)上的主機(jī)進(jìn)行統(tǒng)一安全管理，文章通過(guò)對(duì)內(nèi)網(wǎng)安全進(jìn)行分析、處理和控制，提出了較為完善的內(nèi)網(wǎng)安全解決方案。

關(guān)鍵詞：內(nèi)網(wǎng)安全；監(jiān)督；信息泄漏；失泄密

一、前言

隨著互聯(lián)網(wǎng)在全世界的興起，網(wǎng)絡(luò)的應(yīng)用越來(lái)越廣，網(wǎng)絡(luò)安全也就成了一個(gè)非常重要的課題。內(nèi)網(wǎng)安全也成為了人們研究的熱點(diǎn)。國(guó)家、政府、軍事以及銀行、金融、高新企業(yè)等行業(yè)需要一種能夠充分解決網(wǎng)絡(luò)外部攻擊和由內(nèi)而外的信息泄漏的全方位信息安全解決方案。

內(nèi)網(wǎng)安全管理系統(tǒng)主要對(duì)內(nèi)網(wǎng)上的主機(jī)進(jìn)行統(tǒng)一安全管理。統(tǒng)一安全管理是指對(duì)網(wǎng)絡(luò)主機(jī)用戶操作實(shí)施監(jiān)督控制，并對(duì)主機(jī)中的安全軟件（如主機(jī)入侵監(jiān)測(cè)系統(tǒng)、主機(jī)防火墻和主機(jī)身份認(rèn)證系統(tǒng)等等）進(jìn)行統(tǒng)一的管理，使其運(yùn)行在一個(gè)比較合適和安全的狀態(tài)之下。其中，主機(jī)的用戶操作監(jiān)督控制是指對(duì)用戶的操作行為進(jìn)行監(jiān)督（如文件拷貝、網(wǎng)絡(luò)訪問(wèn)、更改網(wǎng)絡(luò)主機(jī)IP地址、添加管理員用戶名以及文件網(wǎng)絡(luò)共享等等用戶操作），同時(shí)對(duì)惡意用戶做出的違規(guī)行為（如撥號(hào)外聯(lián)等等）進(jìn)行控制。

二、內(nèi)網(wǎng)安全管理系統(tǒng)的基本目標(biāo)

（一）面向桌面計(jì)算機(jī)系統(tǒng)的內(nèi)部安全管理系統(tǒng)

管理桌面計(jì)算機(jī)系統(tǒng)的規(guī)模大，效率高，策略周全，能夠?qū)⑵?事業(yè)單位的全部個(gè)人桌面系統(tǒng)納入管理范疇，解決了企業(yè)最難管理的、數(shù)量最多的、覆蓋范圍最大的桌面系統(tǒng)的安全問(wèn)題。

（二）周全的內(nèi)部系統(tǒng)信息泄漏保護(hù)體系

系統(tǒng)集成了針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)、計(jì)算機(jī)外設(shè)、計(jì)算機(jī)外圍接口、數(shù)據(jù)存儲(chǔ)載體、打印機(jī)等可能造成失泄密途徑的保護(hù)技術(shù)和方法，結(jié)合企業(yè)內(nèi)部現(xiàn)有的其他安全系統(tǒng)，如認(rèn)證系統(tǒng)，可構(gòu)成強(qiáng)大、完備的內(nèi)部系統(tǒng)信息泄漏保護(hù)體系，不遺漏任何一個(gè)可能泄密的途徑。

（三）周密的系統(tǒng)資源安全管理

企業(yè)和單位內(nèi)部個(gè)人計(jì)算機(jī)的硬件配置、軟件安裝等信息都在管理和審計(jì)之列，支持動(dòng)態(tài)獲取、控制和管理。從技術(shù)上防止了未經(jīng)批準(zhǔn)就安裝和運(yùn)行任何一款硬件設(shè)備和軟件系統(tǒng)的行為。

（四）集中配置和管理

企業(yè)和單位內(nèi)部的全部個(gè)人計(jì)算機(jī)系統(tǒng)集中在系統(tǒng)的管理之下。支持統(tǒng)一而靈活的安全策略配置，支持統(tǒng)一或者靈活的系統(tǒng)配置管理，支持管理域內(nèi)的安全事件、安全事故的統(tǒng)一配置管理。

（五）便于管理和穩(wěn)固高效的內(nèi)部安全體系

系統(tǒng)體系結(jié)構(gòu)合理，客戶端-服務(wù)器-管理中心3層結(jié)構(gòu)合理，真正實(shí)現(xiàn)了分布式防護(hù)、集中式/分級(jí)管理功能。桌面計(jì)算機(jī)系統(tǒng)的管理層次符合中國(guó)現(xiàn)行企事業(yè)單位的組織與管理體系。

（六）系統(tǒng)安全性高穩(wěn)定性好

系統(tǒng)的安全性綜合取決于系統(tǒng)間通信的安全性，系統(tǒng)各個(gè)組件的安全性以及存儲(chǔ)的內(nèi)部安全數(shù)據(jù)的自身安全。而系統(tǒng)基于PKI體系結(jié)構(gòu)建立。因此無(wú)論是通信的安全性、還是數(shù)據(jù)的私密性、存儲(chǔ)的完整性和可靠性，都有充分的保證。系統(tǒng)的穩(wěn)定性取決于系統(tǒng)間通信的穩(wěn)定性以及系統(tǒng)各個(gè)組件的穩(wěn)定性。系統(tǒng)內(nèi)部通信多種方式相結(jié)合，保證了系統(tǒng)間通信的穩(wěn)固性和有效性。

三、內(nèi)網(wǎng)安全管理系統(tǒng)的功能分析

（一）防數(shù)據(jù)存儲(chǔ)載體失泄密

內(nèi)部安全管理系統(tǒng)確保任何人都無(wú)法利用任何市面可見的數(shù)據(jù)存儲(chǔ)載體以不安全的方式帶出受保護(hù)的內(nèi)部電子數(shù)據(jù)信息。內(nèi)部安全管理系統(tǒng)可控制和管理以下數(shù)據(jù)存儲(chǔ)載體：防本地硬盤失泄密、防擴(kuò)展本地硬盤失泄密、防移動(dòng)硬盤失泄密、防軟盤失泄密、防可刻錄光盤失泄密、防閃存失泄密、防磁帶失泄密。內(nèi)部安全管理系統(tǒng)對(duì)以上數(shù)據(jù)存儲(chǔ)載體均提供禁用、只讀、安全讀寫、正常讀寫等多種安全控制方法。

（二）防計(jì)算機(jī)外設(shè)失泄密

內(nèi)部安全管理系統(tǒng)在確保任何人都無(wú)法利用任何市面可見的數(shù)據(jù)存儲(chǔ)載體以不安全的方式帶出受保護(hù)的內(nèi)部電子數(shù)據(jù)信息之外，額外提供了多種多樣的、周全嚴(yán)密多層次的防計(jì)算機(jī)數(shù)據(jù)信息失泄密的補(bǔ)充手段。防計(jì)算機(jī)外設(shè)失泄密就是對(duì)防數(shù)據(jù)存儲(chǔ)載體失泄密功能之外的最重要的一種有效補(bǔ)充控制手段。內(nèi)部安全管理系統(tǒng)可控制和管理以下計(jì)算機(jī)外設(shè)：從網(wǎng)卡（無(wú)線）防失泄密、從網(wǎng)卡（有線）防失泄密、從調(diào)制解調(diào)器防失泄密、從可刻錄光驅(qū)防失泄密、從軟驅(qū)防失泄密。內(nèi)部安全管理系統(tǒng)對(duì)以上計(jì)算機(jī)外設(shè)均提供禁用和允許等兩種開關(guān)式安全控制方法。

（三）防計(jì)算機(jī)外圍接口失泄密

內(nèi)部安全管理系統(tǒng)在確保任何人都無(wú)法利用任何市面可見的數(shù)據(jù)存儲(chǔ)載體以不安全的方式帶出受保護(hù)的內(nèi)部電子數(shù)據(jù)信息之外，系統(tǒng)額外提供了多種多樣的、周全嚴(yán)密多層次的防計(jì)算機(jī)數(shù)據(jù)信息失泄密的補(bǔ)充手段。防計(jì)算機(jī)外圍接口失泄密與防計(jì)算機(jī)外設(shè)失泄密一起，構(gòu)成了對(duì)防數(shù)據(jù)存儲(chǔ)載體失泄密的有效補(bǔ)充。內(nèi)部安全管理系統(tǒng)可控制和管理以下計(jì)算機(jī)外圍接口：從USB（通用串行總線架構(gòu)）接口防失泄密、從SERIAL（串行總線架構(gòu)）接口防失泄密、從PARALLEL（并行總線架構(gòu)）接口防失泄密、從IrDA（紅外架構(gòu)）接口防失泄密、從BlueTooth（藍(lán)牙）接口防失泄密、從1394（火線架構(gòu)）接口防失泄密、從PCMCIA（個(gè)人計(jì)算機(jī)存儲(chǔ)卡）接口防失泄密、從CF（Compact Flash）接口防失泄密。內(nèi)部安全管理系統(tǒng)對(duì)以上計(jì)算機(jī)外圍接口均提供禁用和允許等兩種開關(guān)式安全控制方法。

（四）防網(wǎng)絡(luò)失泄密

內(nèi)部安全管理系統(tǒng)在確保任何人都無(wú)法利用任何市面可見的數(shù)據(jù)存儲(chǔ)載體、通過(guò)計(jì)算機(jī)外設(shè)、通過(guò)計(jì)算機(jī)外圍接口以不安全的方式帶出受保護(hù)的內(nèi)部電子數(shù)據(jù)信息之外，系統(tǒng)還針對(duì)使用十分廣泛的計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行了嚴(yán)密的防范和控制，確保任何人都無(wú)法利用網(wǎng)絡(luò)所提供的便利條件以不安全的方式帶出受保護(hù)的內(nèi)部電子數(shù)據(jù)信息。內(nèi)部安全管理系統(tǒng)提供以下防網(wǎng)絡(luò)失泄密手段和方法：網(wǎng)絡(luò)層——IP地址安全控制，提供默認(rèn)訪問(wèn)控制和黑白名單等安全控制方法、IP流量統(tǒng)計(jì)、傳輸層——TCP端口安全控制，提供默認(rèn)訪問(wèn)控制和黑白名單等安全控制方法、UDP端口安全控制，提供默認(rèn)訪問(wèn)控制和黑白名單等安全控制方法、網(wǎng)絡(luò)層和傳輸層組合控制——IP/PORT組合安全控制，提供黑名單控制方法、應(yīng)用層——HTTP安全控制，提供HTTP端口重定義、默認(rèn)訪問(wèn)控制、URL黑白名單、HTTP日志、HTTP重放等安全控制方法、HTTP流量統(tǒng)計(jì)、FTP安全控制，提供FTP端口重定義、默認(rèn)訪問(wèn)控制、FTPL黑白名單、FTP日志、FTP重放等安全控制方法、FTP流量統(tǒng)計(jì)、應(yīng)用層——SMTP安全控制，提供SMTP端口重定義、默認(rèn)訪問(wèn)控制、郵件地址黑白名單（支持SMTP以及WEB MAIL）、SMTP日志、SMTP重放等安全控制方法、SMTP流量統(tǒng)計(jì)、TELNET安全控制，提供TELNET端口重定義、默認(rèn)訪問(wèn)控制、TELNET黑白名單、TELNET日志、TELNET重放等安全控制方法、TELNET流量統(tǒng)計(jì)、P2P點(diǎn)對(duì)點(diǎn)通信——ICQ安全控制，提供允許和禁止等安全控制方法、QQ安全控制，提供允許和禁止等安全控制方法、MSN Messenger安全控制，提供允許和禁止等安全控制方法、本地NETBIOS安全控制，提供允許和禁止開關(guān)式安全控制、NetBIOS日志等安全控制方法、本地NETBIOS流量統(tǒng)計(jì)。

（五）防常規(guī)方式失泄密

在確保任何人都無(wú)法利用任何市面可見的數(shù)據(jù)存儲(chǔ)載體、通過(guò)計(jì)算機(jī)外設(shè)、通過(guò)計(jì)算機(jī)外圍接口、通過(guò)網(wǎng)絡(luò)以不安全的方式帶出受保護(hù)的內(nèi)部電子數(shù)據(jù)信息之外，系統(tǒng)還針對(duì)常規(guī)的可造成內(nèi)部數(shù)據(jù)信息失泄密的途徑進(jìn)行了防范和控制。內(nèi)部安全管理系統(tǒng)提供以下防常規(guī)方式失泄密手段和方法：打印機(jī)安全控制，提供允許和禁止開關(guān)式安全控制、打印日志和影像等安全控制方法、顯示器安全控制，提供允許和禁止開關(guān)式安全控制、顯示日志和影像等安全控制方法。

（六）個(gè)人計(jì)算機(jī)運(yùn)行狀況監(jiān)控

內(nèi)部安全管理系統(tǒng)提供對(duì)以下個(gè)人計(jì)算機(jī)關(guān)鍵系統(tǒng)資源的運(yùn)行狀況監(jiān)控以及審計(jì)能力：系統(tǒng)摘要信息，提供實(shí)時(shí)單次刷新和策略連續(xù)刷新等監(jiān)控審計(jì)手段、設(shè)備信息，提供實(shí)時(shí)單次刷新和策略連續(xù)刷新等監(jiān)控審計(jì)手段、網(wǎng)絡(luò)信息，提供實(shí)時(shí)單次刷新和策略連續(xù)刷新等監(jiān)控審計(jì)手段、活動(dòng)窗口程序信息，提供實(shí)時(shí)單次刷新和策略連續(xù)刷新等監(jiān)控審計(jì)手段、服務(wù)和驅(qū)動(dòng)信息，提供實(shí)時(shí)單次刷新和策略連續(xù)刷新等監(jiān)控審計(jì)手段、已安裝應(yīng)用程序信息，提供實(shí)時(shí)單次刷新和策略連續(xù)刷新等監(jiān)控審計(jì)手段、系統(tǒng)日志信息，提供實(shí)時(shí)單次刷新和策略連續(xù)刷新等監(jiān)控審計(jì)手段、用戶和組信息，提供實(shí)時(shí)單次刷新和策略連續(xù)刷新等監(jiān)控審計(jì)手段、活動(dòng)進(jìn)程信息，提供實(shí)時(shí)單次刷新和策略連續(xù)刷新等監(jiān)控審計(jì)手段、屏幕信息，提供實(shí)時(shí)單次刷新和策略連續(xù)刷新等監(jiān)控審計(jì)手段、鍵盤信息，提供實(shí)時(shí)單次刷新和策略連續(xù)刷新等監(jiān)控審計(jì)手段、打印信息，提供實(shí)時(shí)單次刷新和策略連續(xù)刷新等監(jiān)控審計(jì)手段、串并口信息，提供實(shí)時(shí)單次刷新和策略連續(xù)刷新等監(jiān)控審計(jì)手段、計(jì)算機(jī)運(yùn)行狀況黑匣子記錄儀。

（七）個(gè)人計(jì)算機(jī)遠(yuǎn)程控制

內(nèi)部安全管理系統(tǒng)提供對(duì)以下個(gè)人計(jì)算機(jī)關(guān)鍵系統(tǒng)資源的遠(yuǎn)程控制能力：活動(dòng)進(jìn)程，提供實(shí)時(shí)殺死指定進(jìn)程的遠(yuǎn)程控制手段、活動(dòng)網(wǎng)絡(luò)連接，提供實(shí)時(shí)停止指定網(wǎng)絡(luò)連接的遠(yuǎn)程控制手段、活動(dòng)窗口程序，提供實(shí)時(shí)關(guān)閉指定窗口程序的遠(yuǎn)程控制手段、服務(wù)和驅(qū)動(dòng)，提供實(shí)時(shí)停止系統(tǒng)服務(wù)、實(shí)時(shí)啟動(dòng)系統(tǒng)服務(wù)、實(shí)時(shí)暫停系統(tǒng)服務(wù)、實(shí)時(shí)繼續(xù)系統(tǒng)服務(wù)、實(shí)時(shí)更改服務(wù)啟動(dòng)方式等遠(yuǎn)程控制手段、已安裝應(yīng)用程序，提供實(shí)時(shí)卸載指定已安裝應(yīng)用程序的遠(yuǎn)程控制手段、系統(tǒng)日志，提供實(shí)時(shí)清除系統(tǒng)日志的遠(yuǎn)程控制手段、用戶和組，提供實(shí)時(shí)刪除用戶、實(shí)時(shí)刪除用戶組的遠(yuǎn)程控制手段、關(guān)機(jī)，提供實(shí)時(shí)關(guān)閉計(jì)算機(jī)的遠(yuǎn)程控制手段、鎖定系統(tǒng)，提供實(shí)時(shí)鎖定計(jì)算機(jī)系統(tǒng)的遠(yuǎn)程控制手段、注銷用戶，提供實(shí)時(shí)注銷計(jì)算機(jī)用戶的遠(yuǎn)程控制手段、屏幕，提供實(shí)時(shí)透過(guò)屏幕遠(yuǎn)程控制計(jì)算機(jī)的遠(yuǎn)程控制手段、打印，提供實(shí)時(shí)停止指定打印的遠(yuǎn)程控制手段。

（八）計(jì)算機(jī)文件系統(tǒng)安全操作管理

內(nèi)部安全管理系統(tǒng)對(duì)個(gè)人計(jì)算機(jī)最重要的資源之一文件系統(tǒng)提供了完善、細(xì)致和徹底的管理、控制以及審計(jì)能力。內(nèi)部安全管理系統(tǒng)對(duì)以下文件系統(tǒng)操作進(jìn)行安全控制：文件系統(tǒng)－創(chuàng)建、打開、讀、寫、刪除、重命名、拷貝。內(nèi)部安全管理系統(tǒng)對(duì)以上文件系統(tǒng)操作均提供禁止和允許等兩種開關(guān)式安全控制方法。

（九）文件加解密服務(wù)

內(nèi)部安全管理系統(tǒng)向安全意識(shí)高、保護(hù)電子數(shù)據(jù)信息意識(shí)強(qiáng)烈的人額外提供了遵循PKI體系結(jié)構(gòu)的文件加解密服務(wù)。內(nèi)部安全管理系統(tǒng)向提供以下文件加解密服務(wù)：文件和文件夾加解密、文件保險(xiǎn)柜、文件安全共享、文件安全刪除。

（十）安全策略管理

內(nèi)部安全管理系統(tǒng)完全支持策略生命周期。內(nèi)部安全管理系統(tǒng)完提供以下策略功能：新建策略，提供向?qū)А⒛０宓榷喾N新建策略的方法、審核策略、評(píng)估策略、發(fā)布策略、應(yīng)用策略、策略反饋、策略修改、策略存檔。

（十一）內(nèi)部安全審計(jì)報(bào)告

內(nèi)部安全管理系統(tǒng)提供詳盡細(xì)致的內(nèi)部安全審計(jì)報(bào)告。安全審計(jì)員使用該平臺(tái)可以對(duì)系統(tǒng)進(jìn)行全面的審計(jì)，獲取豐富信息，以便了解系統(tǒng)的使用狀況。審計(jì)對(duì)象分為3個(gè)層次：系統(tǒng)節(jié)點(diǎn)、部門節(jié)點(diǎn)、單機(jī)節(jié)點(diǎn)。審計(jì)項(xiàng)目包括了6個(gè)子項(xiàng)：告警信息、介質(zhì)信息、打印信息、文件操作、網(wǎng)絡(luò)信息、系統(tǒng)信息。不同的審計(jì)項(xiàng)目各自為其提供了豐富的審計(jì)條件。審計(jì)結(jié)果查看方式：報(bào)表模式、記錄列表模式。

四、結(jié)論

內(nèi)網(wǎng)安全系統(tǒng)是面向桌面計(jì)算機(jī)系統(tǒng)的，周全的、便于管理和穩(wěn)固高效的內(nèi)部安全體系。內(nèi)網(wǎng)安全模塊的設(shè)計(jì)主要是防止存儲(chǔ)載體、外設(shè)、外圍接口、網(wǎng)絡(luò)、文件加解密服務(wù)和審計(jì)報(bào)告等等。內(nèi)網(wǎng)安全是外網(wǎng)安全的一種擴(kuò)展和提升；它是基于更加科學(xué)和客觀的信任模型建立起來(lái)的。內(nèi)網(wǎng)安全關(guān)注的對(duì)象不僅僅包括外部網(wǎng)絡(luò)的所有用戶，也包括了更可能引起信息安全威脅的內(nèi)部網(wǎng)絡(luò)用戶，甚至關(guān)注到計(jì)算機(jī)上的設(shè)備或進(jìn)程，內(nèi)網(wǎng)安全從更加全面和完整的角度對(duì)信息安全威脅的對(duì)象和途徑進(jìn)行了分析、處理和控制，使信息安全成為一個(gè)完整的整體，而不是一個(gè)存在明顯漏洞的片面解決方案。

參考文獻(xiàn)：

1、張煥國(guó),覃中平,王麗娜.信息與通信安全[M].科學(xué)出版社,2003.

2、段米毅,孫春來(lái).基于內(nèi)容監(jiān)控的網(wǎng)絡(luò)監(jiān)控技術(shù)的實(shí)現(xiàn)[J].高技術(shù)通訊,2001(11).

3、蔣東興,徐時(shí)新.主機(jī)網(wǎng)絡(luò)安全初探[J].小型微型計(jì)算機(jī)系統(tǒng),2000(7).

（作者單位：湖北工業(yè)大學(xué)；渤海銀行北京分行）