網絡隔離與監控技術在電子政務中的應用

應用背景

近幾年來，政府的信息化網絡走過了不斷發展、完善的歷程，已經擁有大量技術先進、種類繁多的網絡設備和系統，構成了一個配置復雜的綜合性網絡。與此同時，由于信息泄漏、信息遭受破壞等帶來的損失也令人觸目驚心，網絡安全問題面臨日益嚴峻的挑戰。

目前，在政府的網絡中部署有多套網絡，如政務辦公網(俗稱內網)、互聯網(外網)以及其他保密網絡。為了保證政務信息的安全，防止政務辦公信息在互聯網上泄漏，政府一般采用內外網完全物理隔離的方法，在一臺機器上配置有物理隔離卡以及內外網各一套硬盤，這樣內網用戶想訪問互聯網需要重新啟動計算機進入外網的硬盤方可上互聯網，反之進內網硬盤才能上政務辦公網，或者采用內外網各一套機器的方法。

這樣的設置直接導致了幾種不安全因素的產生:一是有些政府工作人員在應用中覺得頻繁重新啟動機器很麻煩，便采用互相撥叉網線來實現內外網的切換，致使政務辦公信息處于互聯網狀態下，極易造成資料通過Internet外泄。二是通過移動存儲設備在內外網絡中互用使信息泄密。此外，還有政府工作人員把政務辦公信息通過郵件論壇等方式發布到互聯網上，以及政府工作人員瀏覽一些非法的網站，都會有意無意地造成信息泄密。

針對這種人為造成的政務信息泄密的不安全因素，為確保黨政機關信息網絡安全和政令暢通，努力做到在政務人員方便高效使用網絡的同時，嚴格掌控政務辦公信息的流通安全，青島市四方區設計開發了基于內外網隔離與監控技術的政務網絡信息安全保障系統。在該系統中，通過應用網絡技術(防火墻、交換機、路由器)、數據庫技術、網絡監聽技術、數字指紋技術和信息加密手段等先進計算機技術，在基于政府現有網絡系統的基礎上，借助于內外網隔離技術，將政府網絡中一些人為因素造成信息泄密的問題得到了有針對性的解決，實現了政府網絡中信息安全保障的功能。

設計構想

這套網絡信息安全保障系統的結構圖如圖1所示:分為客戶端，服務器端，數據庫設計，數據管理系統四大部分。

客戶端主要負責用戶登錄和連接，可移動存儲設備的合法性認證，設備指紋文件的寫入。

驗證服務器主要負責用戶信息驗證，用戶磁盤合法性認證，客戶機的IP地址和MAC地址管理，防火墻交互等功能。

監聽服務器主要負責數據流分析，防止網頁篡改。

數據庫為服務器端的各種信息驗證和信息處理提供源數據，數據庫設定管理員和普通用戶二級權限。數據管理系統采用B/S架構，主要實現用戶管理，機器管理，設備管理以及內網IP分配。管理員對普通用戶信息進行審核，同時審核磁盤存儲和移動存儲的合法性，普通用戶可以提交移動存儲合法化申請和內網IP綁定申請。

系統實現的功能

(一)防止內外網切換功能

實現效果:當客戶端用戶手動將內外網網線互相切換之后，網絡會自動中斷，有效的防止通過外網傳送內網資料，如果用戶通過改變客戶端的系統服務配置，網絡也會自動關閉，防止系統被惡意攻擊。內外網終端自動檢測是否連接互聯網，如內網用戶連接互聯網，則自動到服務器端注冊，同時服務器端進行報警。

實現原理:內網和外網使用的是不同的IP和不同的磁盤，因此，兩者的組合可以唯一的標識一臺計算機的認證信息，當IP地址和磁盤標識號的組合無法與服務器端認證信息進行匹配時，則可認定該計算機不合法，在服務器端將該計算機的網絡端口進行關閉。

具體步驟:

1、用戶使用客戶端計算機向服務器提出聯網請求，服務器端進行認證，若此程序上次登錄的服務器不是本服務器，則懷疑他進行了內外網混接，不允許連接，否則為其開放網絡端口;如內網用戶連接互聯網，則自動到服務器端注冊，同時服務器端進行報警。

2、服務器在數據庫中記錄所有曾經正常登錄過自己的客戶端硬盤序列號。外網內網服務器定時進行數據互換，將在自己服務器上連接過的硬盤序列號傳送給對方(通過文件導入導出進行傳遞)，在對方的數據庫中標志為禁用。如果發現客戶端使用了禁用的硬盤序列號，則禁止客戶端連接到外網。

3、服務器端記錄用戶登陸時間，并通知網關允許其進行外網連接;

4、在客戶端計算機中注入系統服務，并隨系統啟動而開啟，用來定時向服務器端報告其IP地址以及硬盤標識號，從而驗證其聯網的合法性;

5、服務器端對客戶端的報告進行接收并與服務器上的配置數據進行匹對，對于合法的請求，繼續開放其聯網端口，對于不正確的配置，則將其網絡端口關閉，停止聯網服務;

6、若用戶手動將服務關閉，則服務器會出現超時未接受數據的異常，此時認為用戶惡意攻擊防護系統，服務器會通知網關關閉其網絡連接。

內外網切換功能示意圖如圖2所示。

(二)IP-MAC自動綁定與管理

實現效果:當客戶端登錄到服務器時，服務器自動進行判斷。如果客戶端是首次連接到服務器端，那么服務器會自動將IP地址與MAC地址進行綁定，并通知客戶端自動對機器網絡配置進行修改。

如果客戶端的網絡配置發現問題，配置了錯誤的IP地址，那么服務器會自動通知客戶端其正確的IP地址并進行修改。

實現原理:服務器將所有的IP地址與MAC地址都存儲在數據庫中。每次登錄時，都根據客戶端傳送的IP地址與MAC地址進行檢索，得到其數據庫中的注冊IP地址與MAC地址。如果注冊地址不存在，則一方面向數據庫中進行添加，另一方面通知防火墻進行綁定。如果注冊IP地址和實際IP地址不同，則要求客戶端將連接配置更改為注冊IP地址。如果注冊MAC地址與實際MAC地址不同，則說明此客戶機占用了他人的IP地址，則會通知客戶端重新取得IP地址。

IP-MAC自動綁定與管理示意圖如圖3所示。

(三)移動存儲設備的審核功能

實現效果:客戶端用戶使用的U盤或者移動硬盤等存儲設備必須經過信息中心進行審批，否則在客戶端計算機上無法正常使用。

用戶將需要審核的移動設備遞交信息中心，信息中心工作人員使用密鑰生成程序為用戶的移動存儲設備加載密鑰文件;相關內容自動提交到服務器端進行記錄。

用戶使用未審核的移動存儲設備時，客戶端系統會因檢測不到密鑰文件而拒絕該移動存儲設備的加載和使用，會提示用戶將該存儲設備進行提交審核。由于密鑰文件與移動存儲設備一一對應，因此密鑰文件具備不可復制性，每一個移動存儲設備必須有符合自己的密鑰文件，更換設備會導致無效，從而徹底杜絕來歷不明的移動存儲設備。

如果用戶使用了未經審核的移動存儲設備時，客戶端會自動的將此U盤禁用，并向服務器報告使用未經審核移動存儲設備的時間、IP地址與MAC地址。

實現原理:每一個移動存儲設備都具有唯一標識信息，包括VID，PID，Serial Numbers等，認證時使用程序讀出所需信息，然后使用指紋生成算法，生成一個唯一標識指紋，并存儲在密鑰文件中。當用戶使用移動存儲設備時，客戶端程序能夠讀出該設備的VID，PID，Serial Numbers等信息，生成指紋，與存儲在移動存儲設備上的密鑰文件中的指紋進行匹對，如果符合說明該移動存儲設備是經過認證的，否則認為該設備并不合法，用戶將無法使用。

(四)防止網頁被惡意篡改功能

實現效果。當服務器網站的網頁遭遇被惡意篡改等黑客攻擊時，服務器防護系統可檢測到網頁的非正常改動，并向管理員報警，以保證網頁的正確性，穩定性與可靠性。

實現原理。服務器中預置關鍵的網頁地址列表，分別對每個網址的內容進行分析，區分相對固定的特征內容和經常動態更新的內容，對這些關鍵網頁的固定部分進行散列存檔并可以自動或手動更新。

定期對網頁進行再次獲取，進行散列并與之前的存檔做比對，如果發現其固定部分的特征值發生改變，則表明頁面被篡改，此時會發送短信到信息中心工作人員手機進行報警，并將改變內容迅速發送給工作人員，由工作人員手動進行判斷分析，如果確實為惡意篡改則恢復原網頁;如果是正常改動則需要手動更新散列值，從而確保再次比對時不會發生錯誤判斷。

防止網頁被惡意篡改功能示意圖如圖4所示。

(五)數據流監控功能

實現效果:用戶使用客戶端計算機發送數據時，服務器端會對發送的數據進行監控。監控程序能夠分析數據流內容，判斷是否有敏感涉密詞匯，實現內容監控，防止重要資料外流。如果監控程序發現數據流中具有敏感涉密詞匯，則將其以短消息的形式發送到政府電子政務管理工作人員手機上，以便手動判別其是否屬于重要的禁止外流數據。

實現原理:本功能實現原理使用的是旁路監控方式。該方式并不直接截獲數據包，而是將數據流原封復制到服務器存儲介質上，然后使用程序讀取該數據進行分析。該方式的優點是不會造成網絡擁堵，即在任何情況下網絡都能夠保證暢通，缺點是實時性差，在數據流量較大的情況下，不能夠及時的對流量數據進行分析處理，因此可能會有延時。

對于數據流的分析，系統采用正則表達式匹配等算法的結合，能夠做到數據流中“有危險就報告”，徹底杜絕重要信息數據外流的安全隱患。

數據流監控功能示意圖如圖5所示。

(六)關鍵網站的敏感詞監控功能

實現效果:當客戶端用戶瀏覽外網網頁時，應該對這些網頁進行分析，查找其網頁是否具有涉密或者敏感詞匯，如果分析出敏感涉密詞匯，則將其進行篩選和記錄。

實現原理:在服務器上預置重點監控的網址列表，定期獲取網頁，進行關鍵詞分析，查找有無涉密敏感詞匯，將其進行篩選并且進行登記。

如果用戶請求的是在服務器上登記的網站地址，則提示該網頁存在問題，建議用戶瀏覽其他類似網站查閱相關資料。對于進行登記的網站，應該對其定期檢查，如果該網站并不含有敏感詞匯，則應將其從列表中手動刪除，對于確實存在敏感詞匯的網站，則會重點防范，表現在更多的獲取其相關網頁進行分析，對于含有敏感詞匯的網頁均添加到篩選列表中。

作為一種現代管理手段，基于內外網隔離與監控技術的政務網絡信息安全保障系統的開發建設和應用實施，進一步增強了政府工作人員的政務信息保密意識;進一步完善了政府工作人員工作運行機制，規范了政府工作人員工作流程，降低了政府行政成本，提高了政府機關執行力，得到了區委、區政府領導的充分肯定和兄弟區市的一致好評。

(作者單位:中國海洋大學信息科學與工程學院)