◆張 前 馬 健 周 淼 徐發(fā)強(qiáng)
涉密電腦接入互聯(lián)網(wǎng)的報(bào)警策略研究與實(shí)踐
◆張 前 馬 健 周 淼 徐發(fā)強(qiáng)
(玄武區(qū)人民檢察院 江蘇 210018)
在涉密單位,涉密電腦接入互聯(lián)網(wǎng)存在嚴(yán)重泄密的風(fēng)險(xiǎn),這是明令禁止的甚至構(gòu)成犯罪。但在實(shí)際工作中,由于保密意識淡薄或管理疏漏,這類事件還是屢屢發(fā)生。有沒有單位內(nèi)部的簡便技術(shù)手段?可以在第一時(shí)間發(fā)現(xiàn)涉密電腦接入互聯(lián)網(wǎng),及時(shí)采取措施消除或減小泄密損失。本文提出了在單位的互聯(lián)網(wǎng)上使用的兩種搜索報(bào)警策略,通過對涉密電腦的IP和MAC地址進(jìn)行在線監(jiān)測,及時(shí)報(bào)警。這兩種策略均采用CMD編程實(shí)現(xiàn),易部署,零費(fèi)用,還確保涉密網(wǎng)與互聯(lián)網(wǎng)的物理隔離。
互聯(lián)網(wǎng);局域網(wǎng);涉密電腦;IP MAC;監(jiān)測報(bào)警;物理隔離
涉密單位都存在如何管理涉密電腦的問題,重點(diǎn)是如何防止涉密電腦接入單位的非涉密網(wǎng)中,尤其是互聯(lián)網(wǎng)。盡管保密教育從不放松,但還是會(huì)有個(gè)別人,要么是失誤,要么是自以為是,或?qū)⑸婷茈娔X直接接入到單位的互聯(lián)網(wǎng)上,或?qū)⑸婷茈娔X重裝系統(tǒng)或重新設(shè)置IP接入到互聯(lián)網(wǎng)中,這里稱第一種為“無心之誤”,第二種為“有心之誤”。
要想杜絕此類事件發(fā)生,除了加強(qiáng)保密制度建設(shè)和保密教育外,最好能夠采取技術(shù)手段,及時(shí)發(fā)現(xiàn),及時(shí)處理,將泄密事件解決在萌芽狀態(tài)。本文針對涉密電腦的固定IP及獨(dú)有的MAC地址可被在線搜索讀取的特征,以及基于對Windows系統(tǒng)各個(gè)版本DOS兼容模式下的相關(guān)命令語句的研究,提出了CMD語言編程的兩種搜索策略,對涉密電腦接入互聯(lián)網(wǎng)進(jìn)行實(shí)時(shí)監(jiān)測報(bào)警,并成功通過應(yīng)用測試。
針對“無心之誤”造成的涉密電腦接入互聯(lián)網(wǎng),可以采用基于IP地址的搜索策略。首先必須明確的是,單位的互聯(lián)網(wǎng)都是內(nèi)部的局域網(wǎng)經(jīng)統(tǒng)一接口外聯(lián)到互聯(lián)網(wǎng)的,因此,單位的互聯(lián)網(wǎng)的IP地址都是私有地址,比如172.16.40.*、192.168.1.*等;其次,單位的涉密電腦配置的是涉密網(wǎng)的固定IP,盡管也是私有地址,比如10.132.5.*,出于管理的需要,其IP地址的規(guī)劃分配必定與互聯(lián)網(wǎng)的私有地址不同;最后,同一局域網(wǎng)中,相同IP段的電腦之間是可以PING通對方并讀取對方MAC的?;贗P地址的搜索策略的思路如圖1所示。
圖1 基于IP地址搜索策略的編程思路
在單位的互聯(lián)網(wǎng)配置一臺(tái)搜索報(bào)警電腦,設(shè)置與涉密電腦同網(wǎng)段的IP,并對該網(wǎng)段的IP進(jìn)行PING命令的搜索,發(fā)現(xiàn)有涉密電腦的IP,采用ARP命令讀取并儲(chǔ)存涉密電腦的MAC地址以固定證據(jù),再播放報(bào)警音樂和發(fā)送Windows消息到技術(shù)人員的互聯(lián)網(wǎng)工作電腦,通知技術(shù)人員及時(shí)處理。如果單位的互聯(lián)網(wǎng)有幾個(gè)網(wǎng)段,就更改搜索報(bào)警電腦的IP地址,逐個(gè)切換到不同的IP段上進(jìn)行搜索。電腦消息報(bào)警和音樂報(bào)警分別如圖2和圖3所示。
圖2 電腦消息報(bào)警
圖3 音樂報(bào)警
技術(shù)人員可以查詢程序記錄的LOG文件,獲得互聯(lián)網(wǎng)上的涉密電腦的IP和MAC,可以通過日常的涉密電腦領(lǐng)用登記明確責(zé)任人以及可能的現(xiàn)場位置,必要時(shí)還可以通過分段斷網(wǎng)、布線查找的方式找到接入互聯(lián)網(wǎng)的涉密電腦。
針對“有心之誤”造成涉密電腦接入互聯(lián)網(wǎng),就要采用基于MAC地址的搜索策略。因?yàn)椤坝行娜恕睘榱四芙尤雴挝坏幕ヂ?lián)網(wǎng),更改了涉密電腦的IP,甚至重裝了系統(tǒng),這就需要通過搜索涉密電腦MAC地址的方式來進(jìn)行鎖定了。基于MAC地址的搜索策略是:首先建立“涉密電腦MAC.txt”文件,包含單位所有的涉密電腦的MAC地址;再在搜索報(bào)警電腦中執(zhí)行CMD程序,對本網(wǎng)段內(nèi)所有IP進(jìn)行PING嘗試連接,并通過ARP命令讀取該IP的MAC地址,存儲(chǔ)在另一個(gè)文件中,比如“MAC地址搜索結(jié)果總匯.txt”;最后,互聯(lián)網(wǎng)的所有IP地址掃描結(jié)束后,比對“涉密電腦MAC.txt”和“MAC地址搜索結(jié)果總匯.txt”有無相同項(xiàng),如有,就說明在單位內(nèi)的互聯(lián)網(wǎng)上搜索到了涉密電腦的MAC地址,即發(fā)現(xiàn)了涉密電腦?;贛AC地址的搜索策略的思路如圖四所示。
程序發(fā)現(xiàn)涉密電腦的MAC地址后,立即通過Windows消息和音樂進(jìn)行報(bào)警。技術(shù)人員根據(jù)程序的LOG文件同樣可以確定涉密電腦的IP和MAC地址,鎖定涉密電腦的位置。
基于MAC地址的搜索策略比基于IP更實(shí)用,因?yàn)镸AC地址在電腦主板上,無論涉密電腦做過什么系統(tǒng)改動(dòng),都改變不了這個(gè)參數(shù)(惡意修改除外),都可以被搜索出來。但是“無心之誤”接入互聯(lián)網(wǎng)的涉密電腦,其IP是涉密網(wǎng)的地址,不在單位互聯(lián)網(wǎng)的IP段中,還是要通過基于IP地址的搜索策略才能發(fā)現(xiàn)。所以兩種搜索策略需要同時(shí)運(yùn)用,互為補(bǔ)充。
用同一臺(tái)電腦運(yùn)行以上兩種搜索程序是可以的,但是要在時(shí)間上錯(cuò)開,不能同時(shí)運(yùn)行,因?yàn)閮蓚€(gè)搜索程序需要設(shè)置不同的本機(jī)IP,基于IP搜索策略需設(shè)置本機(jī)為涉密電腦同網(wǎng)段的IP,基于MAC搜索策略需設(shè)置本機(jī)為單位互聯(lián)局域網(wǎng)網(wǎng)段的IP。如果增加一塊網(wǎng)卡,一臺(tái)電腦就可以同時(shí)運(yùn)行這兩種搜索程序。
涉密電腦的捕獲時(shí)間,即涉密電腦從接入單位的互聯(lián)網(wǎng)到被搜索程序發(fā)現(xiàn)的時(shí)間,主要取決于PING命令的響應(yīng)時(shí)間和需要搜索的IP地址的數(shù)量。理論上講,只要采用任務(wù)分擔(dān)的方式,即用多臺(tái)搜索電腦、多個(gè)搜索程序同時(shí)運(yùn)行,將需要搜索的有限的IP地址進(jìn)行劃分,將捕獲時(shí)間控制在數(shù)十秒以內(nèi)是可以實(shí)現(xiàn)的。
在作者所在的單位,既有涉密局域網(wǎng),也有連接外部互聯(lián)網(wǎng)的內(nèi)部局域網(wǎng),即單位的互聯(lián)網(wǎng),或叫外網(wǎng)。涉密局域網(wǎng)中的涉密電腦如果“退役”,就存在人為“不小心”或“好心”接入外網(wǎng)的風(fēng)險(xiǎn),于是我們在外網(wǎng)上配置了兩臺(tái)筆記本電腦,一臺(tái)運(yùn)行基于IP搜索策略,其CMD程序主要部分如下:
圖4 基于MAC地址搜索策略的編程思路
另一臺(tái)運(yùn)行基于MAC搜索策略,其CMD程序主要部分如下:
這兩個(gè)搜索報(bào)警程序保存為.cmd文件,不用編譯,分別存放在兩臺(tái)筆記本電腦的系統(tǒng)啟動(dòng)目錄下,開機(jī)后自動(dòng)運(yùn)行,每天24小時(shí)循環(huán)搜索外網(wǎng)上的涉密電腦,一旦發(fā)現(xiàn),就播放報(bào)警音樂,報(bào)警的Windows消息也會(huì)發(fā)送到技術(shù)人員的外網(wǎng)辦公電腦的屏幕上。經(jīng)測試,涉密電腦從接入外網(wǎng)到被發(fā)現(xiàn)的捕獲時(shí)間大約在半小時(shí)左右。如果單位發(fā)生了涉密網(wǎng)與外網(wǎng)的物理連接,等于是所有在線的涉密電腦都接入了互聯(lián)網(wǎng),幾分鐘就可以發(fā)現(xiàn)。以上均為模擬測試,實(shí)戰(zhàn)部署。
針對涉密電腦接入單位的互聯(lián)網(wǎng)的失誤屢屢發(fā)生,本文從技術(shù)層面上提出了在單位的互聯(lián)網(wǎng)上進(jìn)行在線監(jiān)測報(bào)警的解決方法,具體包括基于IP搜索的策略和基于MAC搜索的策略,分別解決“無心之誤”和“有心之誤”,編程實(shí)現(xiàn)的語言是CMD,經(jīng)實(shí)戰(zhàn)模擬驗(yàn)證達(dá)到了設(shè)計(jì)效果。增加報(bào)警電腦的數(shù)量和增加報(bào)警程序的數(shù)量可以將捕獲時(shí)間壓縮在1分鐘以內(nèi),可以使涉密電腦接入單位互聯(lián)網(wǎng)的嚴(yán)重事件得到快速報(bào)警和及時(shí)解決。本文研究的監(jiān)測報(bào)警方法,對銀行、工商、稅務(wù)、公安、軍隊(duì)等部門防止涉密電腦接入其非涉密網(wǎng)絡(luò),或等級保護(hù)網(wǎng)絡(luò)的電腦接入其互聯(lián)網(wǎng)同樣適用。
[1]王春海,張翠軒.非常網(wǎng)管:DOS命令技術(shù)詳解[M].人民郵電出版社.
[2]李慶東,張文娟.網(wǎng)絡(luò)安全問題研究[J].情報(bào)科學(xué),2000(08).