基于內網的安全管理設備系統設計

陳興伯，張云雯，翟曉丹

（1.海軍大連艦艇學院，大連 116000；2.大連東軟信息學院，大連 116023）

1 引言

隨著以Internet為代表的信息網絡技術的應用日益普及，校園網通過與Internet相連，在享受Internet方便快捷的同時，也面臨著遭遇攻擊的風險。內部網絡也存在很大的安全隱患，由于內部用戶對網絡的結構和應用模式都比較了解，因此來自內部的安全威脅更大一些。現在，黑客攻擊工具在網上泛濫成災，而個別學生的心理特點決定了其利用這些工具進行攻擊的可能性。在安全管理設備系統的設計過程中遵循技術與管理手段并重，網絡安全防護與主機終端安全防護并重的設計理念進行系統的規劃與設計。針對信息內網面臨的主要安全威脅提供相應安全解決方案，從而實現信息內網終端的全面的安全管理。

2 系統模塊設計

安全管理設備系統系統模塊分為控制服務器、管理控制臺、終端代理三個模塊。系統架構控制服務器是系統的核心，包含系統中心數據庫，完成安全策略、部署信息的存放，對所屬終端代理的狀態管理和控制消息的傳遞等功能。管理控制臺，與控制服務器之間采用B/S架構，它完成用戶登錄認證、安全策略、系統運行參數的配置及部署，查看終端代理報警審計信息以及信息的展示。終端代理，根據安全策略的配置完成對各種系統操作行為進行審計、監控、阻斷的功能，并將審計數據可靠地傳送到控制服務器，還包含了自身安全性的控制。此外，還包含終端用戶協同管理及服務功能。

3 功能設計

根據需求分析安全管理設備系統應具備的功能模塊主要包括系統補丁安全檢測與升級、違規接入網絡監控等功能模塊。內網終端存在補丁升級不及時將報警，有非法違規接入的外來主機系統將監控并報警。

3.1 補丁升級管理

客戶端程序調用GetVersionEx函數獲得終端操作系統中的補丁信息，包括已安裝的SP包情況，已安裝的補丁。然后通過MBSA工具生成XML補丁信息文件，與服務器微軟補丁庫數據進行匹配并分析文件得到未安裝補丁的信息。系統設計實現操作系統補丁自動分析并下發功能，只需要設置適當的分發策略，就可實現操作系統的補丁自動掃描與安裝，可以極大的方便內網計算機用戶進行補丁安裝。補丁服務器等待安全管理設備系統的管理控制臺的策略任務，任務信息以xml格式傳送，此格式具有良好的擴展性。服務器收到任務數據信息后，首先解析xml文件，將xml文件中記錄的任務信息轉到相應的任務處理流程同時進行處理。如果收到的任務類型為“自動分析并下發任務”，則服務器先根據任務中每個主機建立相應的子任務，同時分別進行處理；補丁服務器向終端代理發出執行補丁掃描的指令，并等待目標設備反饋的補丁掃描結果。補丁服務器接受目標主機的分析結果xml文件，解析此xml文件，分析出哪些系統補丁已經安裝，哪些系統補丁沒有安裝，并寫入安全管理設備系統中心數據庫。補丁服務器根據目標終端主機的補丁安裝信息數據及任務制定時下發的策略，對目標終端主機生成下發任務；補丁服務器等待客戶端主機的系統補丁安裝結果，將終端代理反饋的補丁安裝狀態、安裝時間等數據記錄到子任務的數據庫表中。到此整個補丁分發并安裝任務運行結束。在補丁安裝任務的執行過程中，如果個別客戶端主機不在線，安裝子任務將無法執行。補丁服務器將采用另外的策略來解決這種情況；如果終端不在線，則針對此客戶端主機的子任務將被臨時掛起，補丁服務器周期性檢查被掛起的子任務，看是否具備了執行條件，如果具備了執行條件，則重新激活被掛起的子任務，重新下發執行。流程如圖1所示。

圖1 補丁分發流程

3.2 非法外聯管理

在通常情況下，終端代理是通過以太網連接到局域網上的，在網卡上綁定有內部IP、掩碼和網關，TCP/IP協議根據這些信息生成網絡路由表，該路由表將默認路由指向網關，任何數據的發送都使用該路由表選擇出最優路徑對外發送。當該終端進行撥號時，終端除了原有的連接到局域網上的以太網外，還會有一個撥號產生的外網連接，在該網絡接口上會綁定ISP分配的IP、掩碼和網關，系統將增加路由表，默認網關將被更新為新的IP地址。依據這個路由信息表的不同，就可以分辨出主機是否外連。設終端A為一臺內網主機，在其沒有外網連接時，其收到外網終端B的ICMP報文時，其終端路由表發現此報文不是本網IP；于是，先向默認網關C發送一個ARP報文，獲取網關的物理地址，然后構造一個以B終端為目的IP地開始接受阻斷列表發送偽造的ARP應答包被阻斷終端是否通過驗證，以該默認網關的物理MAC地址為目的物理地址的ICMP響應報文。但A撥號外連上網后，A的默認網關發生改變，當A通過ARP報文獲取默認的物理地址時，將產生不了ARP回應報文，于是，將不能產生一個ICMP回應報文。依據這種網絡流量的差別，就可以發現網絡中的撥號終端。對內部網絡終端非法外連檢測流程如圖2所示。

4 結束語

安全管理設備系統設計，實現了對內網終端進行了整體資源和網絡安全規劃，對移動存儲設備非法接入內部網絡進行了控制，實現了靜態IP同MAC地址的綁定，內網終端采用實名制登記和補丁程序的自動分發，有效解決了網絡中計算機非法接入、移動存儲泄密和非法外聯問題。

圖2 非法外聯檢測