涉密電腦接入互聯(lián)網(wǎng)的報(bào)警策略研究與實(shí)踐

◆張 前 馬 健 周 淼 徐發(fā)強(qiáng)

涉密電腦接入互聯(lián)網(wǎng)的報(bào)警策略研究與實(shí)踐

◆張 前 馬 健 周 淼 徐發(fā)強(qiáng)

（玄武區(qū)人民檢察院 江蘇 210018）

在涉密單位，涉密電腦接入互聯(lián)網(wǎng)存在嚴(yán)重泄密的風(fēng)險(xiǎn)，這是明令禁止的甚至構(gòu)成犯罪。但在實(shí)際工作中，由于保密意識淡薄或管理疏漏，這類事件還是屢屢發(fā)生。有沒有單位內(nèi)部的簡便技術(shù)手段？可以在第一時(shí)間發(fā)現(xiàn)涉密電腦接入互聯(lián)網(wǎng)，及時(shí)采取措施消除或減小泄密損失。本文提出了在單位的互聯(lián)網(wǎng)上使用的兩種搜索報(bào)警策略，通過對涉密電腦的IP和MAC地址進(jìn)行在線監(jiān)測，及時(shí)報(bào)警。這兩種策略均采用CMD編程實(shí)現(xiàn)，易部署，零費(fèi)用，還確保涉密網(wǎng)與互聯(lián)網(wǎng)的物理隔離。

互聯(lián)網(wǎng)；局域網(wǎng)；涉密電腦；IP MAC；監(jiān)測報(bào)警；物理隔離

1 前言

涉密單位都存在如何管理涉密電腦的問題，重點(diǎn)是如何防止涉密電腦接入單位的非涉密網(wǎng)中，尤其是互聯(lián)網(wǎng)。盡管保密教育從不放松，但還是會(huì)有個(gè)別人，要么是失誤，要么是自以為是，或?qū)⑸婷茈娔X直接接入到單位的互聯(lián)網(wǎng)上，或?qū)⑸婷茈娔X重裝系統(tǒng)或重新設(shè)置IP接入到互聯(lián)網(wǎng)中，這里稱第一種為“無心之誤”，第二種為“有心之誤”。

要想杜絕此類事件發(fā)生，除了加強(qiáng)保密制度建設(shè)和保密教育外，最好能夠采取技術(shù)手段，及時(shí)發(fā)現(xiàn)，及時(shí)處理，將泄密事件解決在萌芽狀態(tài)。本文針對涉密電腦的固定IP及獨(dú)有的MAC地址可被在線搜索讀取的特征，以及基于對Windows系統(tǒng)各個(gè)版本DOS兼容模式下的相關(guān)命令語句的研究，提出了CMD語言編程的兩種搜索策略，對涉密電腦接入互聯(lián)網(wǎng)進(jìn)行實(shí)時(shí)監(jiān)測報(bào)警，并成功通過應(yīng)用測試。

2 基于IP地址的搜索策略

針對“無心之誤”造成的涉密電腦接入互聯(lián)網(wǎng)，可以采用基于IP地址的搜索策略。首先必須明確的是，單位的互聯(lián)網(wǎng)都是內(nèi)部的局域網(wǎng)經(jīng)統(tǒng)一接口外聯(lián)到互聯(lián)網(wǎng)的，因此，單位的互聯(lián)網(wǎng)的IP地址都是私有地址，比如172.16.40.*、192.168.1.*等；其次，單位的涉密電腦配置的是涉密網(wǎng)的固定IP，盡管也是私有地址，比如10.132.5.*，出于管理的需要，其IP地址的規(guī)劃分配必定與互聯(lián)網(wǎng)的私有地址不同；最后，同一局域網(wǎng)中，相同IP段的電腦之間是可以PING通對方并讀取對方MAC的?；贗P地址的搜索策略的思路如圖1所示。

圖1 基于IP地址搜索策略的編程思路

在單位的互聯(lián)網(wǎng)配置一臺(tái)搜索報(bào)警電腦，設(shè)置與涉密電腦同網(wǎng)段的IP，并對該網(wǎng)段的IP進(jìn)行PING命令的搜索，發(fā)現(xiàn)有涉密電腦的IP，采用ARP命令讀取并儲(chǔ)存涉密電腦的MAC地址以固定證據(jù)，再播放報(bào)警音樂和發(fā)送Windows消息到技術(shù)人員的互聯(lián)網(wǎng)工作電腦，通知技術(shù)人員及時(shí)處理。如果單位的互聯(lián)網(wǎng)有幾個(gè)網(wǎng)段，就更改搜索報(bào)警電腦的IP地址，逐個(gè)切換到不同的IP段上進(jìn)行搜索。電腦消息報(bào)警和音樂報(bào)警分別如圖2和圖3所示。

圖2 電腦消息報(bào)警

圖3 音樂報(bào)警

技術(shù)人員可以查詢程序記錄的LOG文件，獲得互聯(lián)網(wǎng)上的涉密電腦的IP和MAC，可以通過日常的涉密電腦領(lǐng)用登記明確責(zé)任人以及可能的現(xiàn)場位置，必要時(shí)還可以通過分段斷網(wǎng)、布線查找的方式找到接入互聯(lián)網(wǎng)的涉密電腦。

3 基于MAC地址的搜索策略

針對“有心之誤”造成涉密電腦接入互聯(lián)網(wǎng)，就要采用基于MAC地址的搜索策略。因?yàn)椤坝行娜恕睘榱四芙尤雴挝坏幕ヂ?lián)網(wǎng)，更改了涉密電腦的IP，甚至重裝了系統(tǒng)，這就需要通過搜索涉密電腦MAC地址的方式來進(jìn)行鎖定了。基于MAC地址的搜索策略是：首先建立“涉密電腦MAC.txt”文件，包含單位所有的涉密電腦的MAC地址；再在搜索報(bào)警電腦中執(zhí)行CMD程序，對本網(wǎng)段內(nèi)所有IP進(jìn)行PING嘗試連接，并通過ARP命令讀取該IP的MAC地址，存儲(chǔ)在另一個(gè)文件中，比如“MAC地址搜索結(jié)果總匯.txt”；最后，互聯(lián)網(wǎng)的所有IP地址掃描結(jié)束后，比對“涉密電腦MAC.txt”和“MAC地址搜索結(jié)果總匯.txt”有無相同項(xiàng)，如有，就說明在單位內(nèi)的互聯(lián)網(wǎng)上搜索到了涉密電腦的MAC地址，即發(fā)現(xiàn)了涉密電腦?；贛AC地址的搜索策略的思路如圖四所示。

程序發(fā)現(xiàn)涉密電腦的MAC地址后，立即通過Windows消息和音樂進(jìn)行報(bào)警。技術(shù)人員根據(jù)程序的LOG文件同樣可以確定涉密電腦的IP和MAC地址，鎖定涉密電腦的位置。

4 兩種搜索策略的效用探討

基于MAC地址的搜索策略比基于IP更實(shí)用，因?yàn)镸AC地址在電腦主板上，無論涉密電腦做過什么系統(tǒng)改動(dòng)，都改變不了這個(gè)參數(shù)（惡意修改除外），都可以被搜索出來。但是“無心之誤”接入互聯(lián)網(wǎng)的涉密電腦，其IP是涉密網(wǎng)的地址，不在單位互聯(lián)網(wǎng)的IP段中，還是要通過基于IP地址的搜索策略才能發(fā)現(xiàn)。所以兩種搜索策略需要同時(shí)運(yùn)用，互為補(bǔ)充。

用同一臺(tái)電腦運(yùn)行以上兩種搜索程序是可以的，但是要在時(shí)間上錯(cuò)開，不能同時(shí)運(yùn)行，因?yàn)閮蓚€(gè)搜索程序需要設(shè)置不同的本機(jī)IP，基于IP搜索策略需設(shè)置本機(jī)為涉密電腦同網(wǎng)段的IP，基于MAC搜索策略需設(shè)置本機(jī)為單位互聯(lián)局域網(wǎng)網(wǎng)段的IP。如果增加一塊網(wǎng)卡，一臺(tái)電腦就可以同時(shí)運(yùn)行這兩種搜索程序。

涉密電腦的捕獲時(shí)間，即涉密電腦從接入單位的互聯(lián)網(wǎng)到被搜索程序發(fā)現(xiàn)的時(shí)間，主要取決于PING命令的響應(yīng)時(shí)間和需要搜索的IP地址的數(shù)量。理論上講，只要采用任務(wù)分擔(dān)的方式，即用多臺(tái)搜索電腦、多個(gè)搜索程序同時(shí)運(yùn)行，將需要搜索的有限的IP地址進(jìn)行劃分，將捕獲時(shí)間控制在數(shù)十秒以內(nèi)是可以實(shí)現(xiàn)的。

5 單位互聯(lián)網(wǎng)上涉密電腦搜索報(bào)警的實(shí)施案例

在作者所在的單位，既有涉密局域網(wǎng)，也有連接外部互聯(lián)網(wǎng)的內(nèi)部局域網(wǎng)，即單位的互聯(lián)網(wǎng)，或叫外網(wǎng)。涉密局域網(wǎng)中的涉密電腦如果“退役”，就存在人為“不小心”或“好心”接入外網(wǎng)的風(fēng)險(xiǎn)，于是我們在外網(wǎng)上配置了兩臺(tái)筆記本電腦，一臺(tái)運(yùn)行基于IP搜索策略，其CMD程序主要部分如下：

圖4 基于MAC地址搜索策略的編程思路

另一臺(tái)運(yùn)行基于MAC搜索策略，其CMD程序主要部分如下：

這兩個(gè)搜索報(bào)警程序保存為.cmd文件，不用編譯，分別存放在兩臺(tái)筆記本電腦的系統(tǒng)啟動(dòng)目錄下，開機(jī)后自動(dòng)運(yùn)行，每天24小時(shí)循環(huán)搜索外網(wǎng)上的涉密電腦，一旦發(fā)現(xiàn)，就播放報(bào)警音樂，報(bào)警的Windows消息也會(huì)發(fā)送到技術(shù)人員的外網(wǎng)辦公電腦的屏幕上。經(jīng)測試，涉密電腦從接入外網(wǎng)到被發(fā)現(xiàn)的捕獲時(shí)間大約在半小時(shí)左右。如果單位發(fā)生了涉密網(wǎng)與外網(wǎng)的物理連接，等于是所有在線的涉密電腦都接入了互聯(lián)網(wǎng)，幾分鐘就可以發(fā)現(xiàn)。以上均為模擬測試，實(shí)戰(zhàn)部署。

6 小結(jié)

針對涉密電腦接入單位的互聯(lián)網(wǎng)的失誤屢屢發(fā)生，本文從技術(shù)層面上提出了在單位的互聯(lián)網(wǎng)上進(jìn)行在線監(jiān)測報(bào)警的解決方法，具體包括基于IP搜索的策略和基于MAC搜索的策略，分別解決“無心之誤”和“有心之誤”，編程實(shí)現(xiàn)的語言是CMD，經(jīng)實(shí)戰(zhàn)模擬驗(yàn)證達(dá)到了設(shè)計(jì)效果。增加報(bào)警電腦的數(shù)量和增加報(bào)警程序的數(shù)量可以將捕獲時(shí)間壓縮在1分鐘以內(nèi)，可以使涉密電腦接入單位互聯(lián)網(wǎng)的嚴(yán)重事件得到快速報(bào)警和及時(shí)解決。本文研究的監(jiān)測報(bào)警方法，對銀行、工商、稅務(wù)、公安、軍隊(duì)等部門防止涉密電腦接入其非涉密網(wǎng)絡(luò)，或等級保護(hù)網(wǎng)絡(luò)的電腦接入其互聯(lián)網(wǎng)同樣適用。

[1]王春海，張翠軒.非常網(wǎng)管：DOS命令技術(shù)詳解[M].人民郵電出版社.

[2]李慶東，張文娟.網(wǎng)絡(luò)安全問題研究[J].情報(bào)科學(xué)，2000（08）.