對(duì)涉密網(wǎng)絡(luò)安全管理技術(shù)的研究

摘要:涉密網(wǎng)絡(luò)主要是相對(duì)封閉的內(nèi)部網(wǎng)絡(luò)，這個(gè)網(wǎng)絡(luò)中所傳輸?shù)奈募蛿?shù)據(jù)可能會(huì)涉及到某個(gè)領(lǐng)域的核心機(jī)密。因此在網(wǎng)絡(luò)管理中都會(huì)將其的安全作為首要問(wèn)題來(lái)解決。在實(shí)現(xiàn)網(wǎng)絡(luò)安全管理中應(yīng)當(dāng)從安全事件的分類(lèi)、系統(tǒng)硬件安全體系的完善、網(wǎng)絡(luò)應(yīng)用軟件的安全性提升等方面進(jìn)行重點(diǎn)提高，以此來(lái)提高涉密網(wǎng)絡(luò)的安全系數(shù)。

關(guān)鍵詞:安全問(wèn)題安全事件安全管理系統(tǒng)

中圖分類(lèi)號(hào):TP3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1674-098X(2011)03(a)-0022-01

1 涉密網(wǎng)絡(luò)安全管理的主要解決問(wèn)題

隨著涉密網(wǎng)絡(luò)技術(shù)的應(yīng)用和人們安全防范意識(shí)的增強(qiáng)，各種內(nèi)外網(wǎng)安全管理的技術(shù)也隨之增多。一時(shí)間，加強(qiáng)個(gè)人桌面管理及安全的身份識(shí)別，個(gè)人行為規(guī)范的終端管理軟件，涉密文件的保護(hù)加密軟件，為了保護(hù)計(jì)算機(jī)系統(tǒng)而開(kāi)發(fā)的防病毒軟件等，已經(jīng)逐步被人們認(rèn)識(shí)和接受。但是，這各種應(yīng)用軟件都需要在個(gè)人的系統(tǒng)中安裝一個(gè)管理程序，都有一套自己獨(dú)立的工作方式和策略，都需要進(jìn)行不同的分別化管理。這些系統(tǒng)獨(dú)立性明顯，各自的管理功能往往不夠全面，以點(diǎn)帶面的情況嚴(yán)重。在實(shí)際的應(yīng)用中會(huì)產(chǎn)生負(fù)效應(yīng)，比如:不同的軟件之間的功能重疊；不同的軟件都需要消耗額外的系統(tǒng)資源，導(dǎo)致沖突，引發(fā)系統(tǒng)穩(wěn)定性下降；安全系統(tǒng)各自獨(dú)立，沒(méi)有統(tǒng)一的管理方式，出現(xiàn)安全事件的時(shí)候不具備聯(lián)合“作戰(zhàn)”的能力。

因此，表面看涉密網(wǎng)絡(luò)的安全管理軟件是實(shí)現(xiàn)了一定的防護(hù)功能，但是其增加的管理復(fù)雜性，又很難保證整體安全性的完整和統(tǒng)一。按照動(dòng)態(tài)安全模式，一個(gè)安全系統(tǒng)的信息處理系統(tǒng)應(yīng)具備:檢測(cè)、保護(hù)、效應(yīng)這三個(gè)基本環(huán)節(jié)，以此保證系統(tǒng)的獨(dú)立工作的安全性。總之現(xiàn)代的涉密網(wǎng)絡(luò)安全管理技術(shù)缺乏一個(gè)整體性的平臺(tái)，將各種保護(hù)軟件進(jìn)行必要的整合和優(yōu)化，形成完整的保護(hù)及信息處理體系。

2 涉密網(wǎng)絡(luò)安全管理涉及的安全事件描述

涉密網(wǎng)絡(luò)安全管理，主要的管理對(duì)象就是在網(wǎng)絡(luò)中威脅涉密網(wǎng)絡(luò)信息安全的用戶(hù)所采取的“非法”獲取數(shù)據(jù)的行為。這些“非法”主要是指利用技術(shù)手段違反安全規(guī)則，并以此獲得涉密信息。因此要進(jìn)行安全管理就應(yīng)當(dāng)將不安全的用戶(hù)行為進(jìn)行分類(lèi)并進(jìn)行相應(yīng)的措施進(jìn)行管理才能達(dá)到保證安全的目的。

首先網(wǎng)絡(luò)安全涉及的概念有這樣幾個(gè):(1)涉密網(wǎng)絡(luò)，即存在有機(jī)密數(shù)據(jù)傳輸?shù)膬?nèi)部網(wǎng)絡(luò)。(2)網(wǎng)絡(luò)行為，即用戶(hù)通過(guò)網(wǎng)絡(luò)的技術(shù)支持所實(shí)現(xiàn)的各種操作。(3)安全事件，即違反了某個(gè)個(gè)網(wǎng)絡(luò)安全規(guī)則，對(duì)網(wǎng)絡(luò)機(jī)密數(shù)據(jù)產(chǎn)生威脅的網(wǎng)絡(luò)事件，其中包括用戶(hù)、行為、時(shí)間這三個(gè)必備的屬性。4)安全行為，即針對(duì)產(chǎn)生網(wǎng)絡(luò)威脅安全事件的管理行為，包括的是時(shí)間、對(duì)象、動(dòng)作這三個(gè)基本屬性。

通過(guò)對(duì)網(wǎng)絡(luò)安全事件的記錄和統(tǒng)計(jì)，可以發(fā)現(xiàn)違反網(wǎng)絡(luò)安全規(guī)則的行為可以是訪(fǎng)問(wèn)敏感信息、竊聽(tīng)、誤用、機(jī)密文件傳輸?shù)取＿@些行為可以是主動(dòng)的也可以是被動(dòng)的，而其具體的行為就是竊聽(tīng)、傳輸、訪(fǎng)問(wèn)。具體看安全事件的行為有這樣幾個(gè)實(shí)例:(1)主動(dòng)的訪(fǎng)問(wèn)敏感的信息，包括HTTP、BBS、聊天軟件等。(2)誤用的網(wǎng)絡(luò)行為，包括誤用物理鏈接，將內(nèi)外網(wǎng)絡(luò)連通，木馬病毒感染，導(dǎo)致內(nèi)外信息被盜。(3)網(wǎng)絡(luò)竊聽(tīng)，主要就是sniff行為。(4)機(jī)密文件的傳輸，涉密網(wǎng)絡(luò)中的機(jī)密文件被非法的進(jìn)行傳輸，包括郵件、聊天軟件、ftp文件等。

3 涉密網(wǎng)絡(luò)的安全管理系統(tǒng)構(gòu)建

3.1 安全管理硬件結(jié)構(gòu)

針對(duì)不同的網(wǎng)絡(luò)安全事件，涉密信息網(wǎng)絡(luò)的安全管理應(yīng)當(dāng)從幾個(gè)層面進(jìn)行全面的安全防護(hù)體系的構(gòu)建。其涉及的網(wǎng)絡(luò)系統(tǒng)包括，服務(wù)器、信息服務(wù)系統(tǒng)、數(shù)據(jù)庫(kù)服務(wù)系統(tǒng)、網(wǎng)絡(luò)存儲(chǔ)器等。

首先，應(yīng)當(dāng)明確應(yīng)用服務(wù)器是內(nèi)網(wǎng)絡(luò)實(shí)現(xiàn)連接和數(shù)據(jù)傳輸?shù)闹匾ǖ馈Ｐ畔⒎?wù)器、網(wǎng)絡(luò)存儲(chǔ)、數(shù)據(jù)服務(wù)器與應(yīng)用服務(wù)器相互聯(lián)系實(shí)現(xiàn)涉密信息的封閉式傳輸。這里的應(yīng)用服務(wù)器采用的服務(wù)運(yùn)算模式，主要是遠(yuǎn)程接入技術(shù)和軟件操作系統(tǒng)組成的策略技術(shù)為主導(dǎo)，專(zhuān)門(mén)負(fù)責(zé)基于網(wǎng)絡(luò)封閉計(jì)算的應(yīng)用交互，是具備獨(dú)立計(jì)算模式應(yīng)用的服務(wù)器，也是整個(gè)專(zhuān)網(wǎng)涉密信息安全傳輸?shù)幕A(chǔ)。信息服務(wù)器和網(wǎng)絡(luò)存儲(chǔ)、數(shù)據(jù)庫(kù)服務(wù)器都是通過(guò)這個(gè)服務(wù)器所建立起來(lái)的通道進(jìn)行涉密信息的傳遞，在一個(gè)封閉內(nèi)網(wǎng)環(huán)境中接受指定用戶(hù)對(duì)涉密信息的應(yīng)用請(qǐng)求，分別提供相應(yīng)的瀏覽、存儲(chǔ)、交互等服務(wù)。同時(shí)也識(shí)別和拒絕某些非法的安全事件的發(fā)生，并利用自身的軟件系統(tǒng)來(lái)抵御主動(dòng)的安全事件的訪(fǎng)問(wèn)。

3.2 安全管理的軟件系統(tǒng)構(gòu)建

(1)操作系統(tǒng)和應(yīng)用軟件。這些軟件是最基本的網(wǎng)絡(luò)訪(fǎng)問(wèn)接入軟件，而網(wǎng)絡(luò)訪(fǎng)問(wèn)應(yīng)用接入軟件可以對(duì)操作系統(tǒng)進(jìn)行深入的訪(fǎng)問(wèn)。為此，安全化管理從操作系統(tǒng)的基本運(yùn)行機(jī)制入手將應(yīng)用邏輯和操作界面分開(kāi)，以實(shí)現(xiàn)整個(gè)內(nèi)部網(wǎng)絡(luò)的封閉和安全。

(2)應(yīng)用程序的完善，應(yīng)用程序主要是在操作系統(tǒng)的基礎(chǔ)上形成的具有特定功能的用于程序，實(shí)際上在內(nèi)部網(wǎng)絡(luò)是遠(yuǎn)程接入軟件實(shí)現(xiàn)功能的對(duì)象，即遠(yuǎn)程接入軟件實(shí)現(xiàn)連接后，就會(huì)使用這些應(yīng)用程序完成某項(xiàng)操作，而達(dá)到訪(fǎng)問(wèn)的目的。

(3)是最高級(jí)別的安全管理組件的應(yīng)用，有:基本安全管理組件；傳輸監(jiān)測(cè)組件，主要包括網(wǎng)絡(luò)數(shù)據(jù)捕獲、協(xié)議數(shù)據(jù)還原、敏感信息過(guò)濾及結(jié)果處理等四個(gè)子模塊；竊聽(tīng)檢測(cè)組件，竊聽(tīng)監(jiān)測(cè)安全組件主要包括共享式網(wǎng)絡(luò)Sniff行為。

3.3 安全管理的具體措施

(1)客戶(hù)端卸載限制，客戶(hù)端經(jīng)控制臺(tái)授權(quán)安裝，未經(jīng)授權(quán)用戶(hù)將無(wú)法卸載，即卸載程序的存放和發(fā)起均在控制端，且客戶(hù)端的權(quán)限為使用權(quán)。(2)網(wǎng)絡(luò)連接限制，即客戶(hù)端通過(guò)控制臺(tái)分配的IP地址訪(fǎng)問(wèn)內(nèi)網(wǎng)，且IP地址與客戶(hù)端對(duì)應(yīng)計(jì)算機(jī)的MAC地址綁定，做到一個(gè)IP地址對(duì)應(yīng)一個(gè)MAC地址，從而將計(jì)算機(jī)進(jìn)行戶(hù)籍管理，客戶(hù)端每次訪(fǎng)問(wèn)內(nèi)網(wǎng)時(shí)均自動(dòng)與控制臺(tái)存儲(chǔ)的該計(jì)算機(jī)信息進(jìn)行核對(duì)，既防止了非授權(quán)計(jì)算機(jī)接入內(nèi)網(wǎng)，又能夠在違規(guī)事件發(fā)生的第一時(shí)間鎖定違規(guī)計(jì)算機(jī)，控制或限制其行為。(3)登陸限制，可以采用KEY登陸方式，可以是USB KEY，也可以是密碼KEY，也可以將二者綁定，結(jié)合使用。設(shè)置密碼復(fù)雜度策略和控制密碼輸入次數(shù)策略，對(duì)登陸進(jìn)行限制。(4)移動(dòng)存儲(chǔ)器限制，移動(dòng)存儲(chǔ)器在使用時(shí)應(yīng)當(dāng)在控制臺(tái)上進(jìn)行注冊(cè)，并設(shè)計(jì)其經(jīng)過(guò)控制臺(tái)的驗(yàn)證方可使用。對(duì)沒(méi)有注冊(cè)的移動(dòng)存儲(chǔ)器不予以驗(yàn)證而無(wú)法使用。同時(shí)應(yīng)保證沒(méi)有客戶(hù)端的計(jì)算機(jī)不能對(duì)其進(jìn)行驗(yàn)證，以此避免客戶(hù)利益非客戶(hù)端網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)的轉(zhuǎn)移和下載，保證涉密信息的安全。(5)客戶(hù)端的硬件限制，客戶(hù)端用戶(hù)在計(jì)算機(jī)上安裝的硬件設(shè)備可能存在失泄密隱患，諸如光驅(qū)，帶藍(lán)牙、紅外等無(wú)線(xiàn)收發(fā)數(shù)據(jù)的模塊。可以通過(guò)在控制臺(tái)配置策略將光驅(qū)、藍(lán)牙、紅外等接口關(guān)閉，策略下發(fā)到客戶(hù)端后即可控制相應(yīng)端口的使用。以此保證非安全的硬件接入到涉密網(wǎng)絡(luò)中。

參考文獻(xiàn)

[1]趙瑞霞.淺談涉密計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)措施[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2010，(05).

[2]馮義德，唐云海.涉密網(wǎng)絡(luò)系統(tǒng)輸入輸出控制分析[J].計(jì)算機(jī)安全，2008，(01).

[3]黃衛(wèi)星.涉密網(wǎng)絡(luò)的優(yōu)化管理的基本理念[J].中州學(xué)刊，2010，(01).

[4]趙霞.網(wǎng)絡(luò)保密及安全防護(hù)技術(shù)淺析[J].科技創(chuàng)新導(dǎo)報(bào)，2010，(10).

[5]李燕.淺談涉密網(wǎng)絡(luò)信息資源管理[J].科技導(dǎo)報(bào)，2010，(08).