主動式計算機網絡隔離保護系統設計

浪潮軟件集團有限公司 彭世海

現階段，信息技術在諸多領域得到了應用，隨著系統的發展，網絡拓撲結構變得較以往更加復雜，為信息提供安全保護的難度有目共睹。文章便以此為背景，結合計算機網絡所表現出特點，圍繞隔離保護系統展開了討論，首先簡要說明了該系統的優勢，其次介紹了該系統的核心功能，主要為檢測異常以及切斷網絡，同時對設計要點進行了敘述，具體包括C/S還有B/S兩部分，最后結合應用實例，對該系統未來發展方向進行了展望，供相關人員參考。

1 隔離保護系統優勢概述

近幾年，計算機給日常生活所產生的影響以極為直觀的方式被展示了出來，為保證信息技術所具有優勢得到充分發揮，有關人員紛紛加大了對全新技術進行開發的力度，隔離保護系統應運而生。本系統以現有檢測技術、解碼軟件為基礎，在確保用戶針對安全用網所提出需求得到充分滿足的前提下，為局域專網提供系統且全面的保護。其優點主要體現在自動化程度較高、設計簡單且便于運行等方面，一般來說，在網絡處于運行狀態時，系統可自行開啟相應的保護功能，確保用戶在網絡上所做出各項行為均能夠得到實時監控，同時以網絡環境所發生變化為依據，對環境當前安全系數進行判斷，在發現有可能給網絡安全造成威脅的因素存在時，通過關閉連接的方式，為網絡安全提供保護。

事實證明，本系統既可以被用來為專網提供保護，同時也可以被用來為個體用戶提供保護，其中，專網保護所產生積極影響，主要是使單位整體管理水平以及質量得到顯著提高。管理員可通過本系統監控專網所連接計算機，若發現有異常操作存在，系統將在第一時間向總機提交相關信息，由管理員以系統所反饋信息為依據，對異常情況進行處理。由此可見，對本系統進行推廣很有必要，各單位可依托本系統所提供檢測、保護以及自動終止等功能，在對員工進行管理的同時，為專網信息提供相應的安全保護，避免出現重要信息或是機密文件被泄露的情況[1]。對個體用戶而言，本系統的作用主要是能夠在用戶瀏覽文件或網頁時，自動終止可能存在安全隱患的行為。

2 隔離保護系統核心功能

2.1 檢測異常

為計算機提供主動隔離保護的前提是確保網絡異常可得到及時且準確的檢測。以公安信息網為例，作為典型的廣域網，公安信息網共包括四級結構，分別是公安部——公安廳，公安廳——公安局，公安局——公安分局，公安分局——下屬職能部門。在接入信息網后，計算機將獲得相應的IP地址，如果需要對公網、計算機進行連接，對應IP地址將發生更改，常見更改形式有兩種：(1)新增無線網卡、以太口或其他網絡連接；(2)用公網地址替代現有地址，確保運營商能夠通過代理或網橋，為用戶提供訪問公網的途徑。要想在第一時間對網絡異常進行檢測，關鍵是要了解計算機對應IP狀態，在該環節，設計人員提出了以下方案：先啟動IPCONFIG/ALL，再經過重定向生成相應文本，根據文本內容對網卡信息加以確定。

2.2 切斷網絡

在發現網絡存在異常變動后，出于避免信息泄露、為專網安全提供保證的考慮，本系統往往需要將計算機和各網絡間的連接切斷，待網絡恢復正常，方可重新連接并啟動。目前，可被用來對網絡進行快速切斷的方法有兩個：(1)啟動Device Io Control；(2)啟動Get if Table，在對網絡適配器當前狀態加以明確后，通過Set if Entry對其進行改寫。在經過多次測試后，設計人員最終決定選擇后一種方法，其優點是能夠在保證連接被

完全切斷的前提下，減少該環節所需時間，在提高計算機安全性方面具有極為突出的作用。

3 隔離保護系統設計要點

3.1 C/S的應用

3.1.1 明確系統需求

為保證管理人員能夠做到全網監管，設計人員決定對C/S加以應用，將系統分成客戶端、服務端，其中，客戶端負責主動進行連接，服務端負責給出應答。系統投入運行后，由客戶端定時向服務端傳遞主機名、IP地址等信息，若存在網絡斷開或其他異常情況，客戶端應在記錄相關信息的同時，通過計算機向用戶進行提示，確保故障能夠盡快得到解決[2]。

3.1.2 核心功能與實現方法

該系統應具備以下功能：(1)對客戶端、服務端所交換數據進行加密，以免出現用戶非法連入的情況。(2)對特定進程加以檢測，若發現存在特定進程，應盡快將其關閉。(3)由客戶端負責接收并反饋服務端信息。(4)自動檢測并升級程序版本。

在對系統進行設計時，設計人員使用了以下方法：

(1)在客戶端發出連接申請時，通過服務端給出相應提示，同時向客戶端發送時間、日期等字符串，若客戶端可提供經過加密的字符串，代表其合法，可建立連接，反之，則需要將連接申請關斷。

(2)定時檢測預設進程名，若發現進程處于運行狀態，應通過Windows自帶ntsd.exe盡快將其殺死。一般來說，預設進程名多為違規程序、病毒或是流氓軟件。

(3)在連接客戶端、服務端后，由服務端負責對IP所接收信息進行檢測，將檢測結果抄送至對應客戶端，在獲得相關數據后，客戶端應先將其加密，再將加密后信息寫入文件，同時向服務端反饋本機當前狀態。若發現本機存在異常，應通過Client SRV.exe對其進行相應的隔離保護。客戶端所搭載Client.exe負責對信息進行反饋，在用戶登錄系統的同時自行啟動該程序，并對該程序和隔離保護程序進行連接，若保護程序因故終止運行，可經由該程序對其進行再次啟動，反之，保護程序也可對該程序進行啟動。

(4)即使軟件已投入使用，仍然需要以用戶需求為依據，對其功能進行調整，同時對違規程序列表進行更新，只有這樣才能保證系統價值得到實現，由此可見，對該系統進行設計時，設計人員應對如何實現自動升級引起重視。該功能的運行原理較為簡單，重點在于要保證其可靠且安全，通過反復測試的方式，將升級失敗的概率降到最低，以免由于升級失敗，導致保護系統無法正常啟動或類似問題出現，給系統安全性造成不利影響。在對該功能進行設計時，設計人員采取了以下方法：首先是全面檢測，保證系統自行下載升級包版本正確且數據傳輸完整。開機后，由客戶端率先對升級服務器進行連接，對比當前版本和最新版本，若發現已推送全新版本，應以全新版本所配置相關文件為依據，在下載升級包的同時完成CRC計算，對比計算結果和文件預設值，如果二者數值完全一致，則可以對已下載程序進行調用。在本項目中，為確保需要不間斷運行的計算機同樣能夠做到自動更新，設計人員決定以啟動程序的同時自動對升級文件進行檢測為基礎，每隔6h開展一次檢測。其次是在對文件進行更新的基礎上，對升級程序進行全面檢查。先通過客戶端對升級包進行下載，在升級包順利通過校驗后，啟動相應程序完成升級。在操作過程中，為確保系統操作可靠且安全，通常需要通過升級程序檢驗所下載文件，再對最新文件進行下載并分析，確保升級包完整，隨后，向處于運行狀態的客戶端發出“退出”指令，改名并更新程序，待升級工作告一段落，自動重啟所升級程序即可。

3.1.3 效果說明

本文所設計系統以主動為網絡提供隔離保護為基礎，基于C/S架構對計算機信息進行實時采集，結合用戶所提出要求，將病毒及其他異常程序殺死，在為計算機安全提供全方位保護的前提下，降低用戶操作難度。另外，設計人員考慮到該系統需要以用戶需求為依據進行持續完善，新增了相應的自動更新與升級程序，希望能使日后對該系統加以使用的成本得到有力控制。

3.2 B/S的應用

3.2.1 功能分析

對本系統而言，B/S的作用主要是為用戶管理數據提供幫助，確保用戶在不攜帶管理軟件的情況下，仍然能夠完成相應的操作。結合實際使用情況可知，B/S所能提供功能主要集中在以下方面：(1)管理用戶。級別不同的用戶所對應IP地址往往有所不同，一般來說，超級管理員具有對名單進行更改的權限，同時還可以根據下級管理員情況，授予其相應的IP地址。(2)管理計算機信息。在成功登陸系統后，管理員便可通過主界面對計算機信息進行查看，除特殊情況外，主界面均按照IP地址，名稱，安裝與連接時間的順序，對注冊計算機相關信息進行顯示。管理員可在該界面完成發送信息或刪除數據的操作。此外，本系統還應當具備對計算機情況進行篩選的功能，為降低查詢及篩選難度，設計人員決定以計算機狀態為依據，分別對快捷鏈接進行設定，同時新增組合查詢的操作程序。(3)管理事件。只有對計算機歷史信息具有系統且全面的了解，才能保證所采取措施可發揮出應有作用。對本系統而言，事件管理主要包括兩部分內容：1)異常事件，例如，IP地址不合法、計算機新增連接；2)非法事件，例如，軟件非法運行。其中，前者需要進行強制斷開處理，后者則可以選擇向用戶發送警告，由用戶完成后續操作。

3.2.2 效果說明

對B/S加以使用，有助于用戶對計算機當前狀態具有更加全面的了解，設計人員選擇新增ASP并引入IIS系統，在極大程度上避免了系統過于復雜的情況出現，同時開發成本也得到了有力控制。

4 隔離保護系統應用實例

某電站計劃引入本文所設計系統為電站網絡提供保護，阻斷黑客、病毒入侵途徑，確保自身所具有功能可得到最大程度發揮。工作人員以實際情況為依據，最終決定將保護裝置安裝在現有電機組上，為現場負載提供保護，確保負載所消耗剩余電可被及時運至市電網。

該電站需要通過變壓器和隔離保護欄進行供電，確保在出現失電問題后，隔離系統可第一時間將市電網、組電網間的連接切斷，這樣做一方面是為了保證現場負載始終處于正常運行狀態，另一方面是為了保證市電網可靠且安全。電站所搭載系統可被拆分成同步按鈕、斷路器和解列按鈕等部分，市電網處于供電狀態時，只需按下并網按鈕便能夠達到負載供電的效果，如果需要市電網、組電網同步發電，則需要保證發電機可盡快完成均壓調節以及均頻調節操作，同時關閉繼電器，確保斷路器處于閉合狀態，為電網所具有安全性提供保證。

5 主動隔離保護系統未來展望

在對本系統進行試運行后，用戶及單位管理員向設計方提出了以下意見：(1)希望不允許任何網絡接入的保密計算機可單機運行本系統。(2)希望在完成安裝程序的操作后，可自動將IP鎖定。(3)希望能為管理員提供向用戶發出警告或提示的途徑。(4)希望能夠杜絕非法卸載程序的情況出現。(5)希望能夠盡量壓縮程序體積，避免出現程序占用內容過大的問題。

要想使上述需求得到滿足，關鍵是要保證系統能夠定制，充分利用C/S和B/S系統，重新規劃并調整軟件配置。此外，要想使本文所設計系統獲得更加廣泛的應用，還應對其網絡功能進行擴展，上文所介紹設計方案僅對管理員、用戶進行了考慮，其中，管理員可對注冊用戶、計算機進行管理，用戶僅能對IP地址在特定范圍內的計算機進行管理，這并不符合當今社會的發展趨勢，若未來仍沿用上述系統，將造成以下問題：(1)通過指定服務器對計算機進行注冊的模式，無法在全國范圍內得到應用。要想避免服務器出現無法處理用戶請求的情況，關鍵是要引入分布管理模式，簡單來說，就是分層布設服務器，同時對服務器進行層層級聯的處理。(2)難以實現對用戶進行多級授權以及管理的目標。對計算機進行管理的主體為各單位、各職能部門，要想使系統具備大規模應用的條件，關鍵是要對級別還有權限進行靈活設計。除此之外，隨著應用范圍的擴大，用戶所提出需求將變得更加多樣，對軟件功能進行更新或是升級的操作，同樣需要引起重視。

6 結論

實踐所積累經驗表明，要想保證計算機安全，關鍵是要針對各環節特點制定相應的防范措施，例如，通過引入獨立網絡的方式，將計算機受到外界攻擊的概率降至最低。通過上文的分析能夠看出，對主動隔離系統進行優化設計極為重要，此舉可使系統性能獲得更進一步的提升，通過阻斷病毒入侵途徑并消除外界干擾的方式，為計算機安全提供保護。未來該系統仍然是研究的重點，可為各行各業的發展提供有力支持，相關人員應對此引起重視。

引用

[1] 夏曉峰,向宏,肖震宇,等.基于國產密碼算法的數控網絡的認證與驗證模型研究及安全評估[J].電子與信息學報,2020,42(8):1846-1852.

[2] 劉志仁,薛明軍,楊黎明,等.基于區域自組網的配電線路無線差動保護技術研究及應用[J].電力系統保護與控制,2021,49(21):167-174.