內網非法外聯(lián)安全監(jiān)控系統(tǒng)的研究與設計.pdf

1、傳統(tǒng)的網絡安全管理主要考慮網絡的外部攻擊，即外網安全，而對于用戶每天都在使用的客戶端監(jiān)管相對薄弱。隨著互聯(lián)網的不斷發(fā)展和越來越多新技術的應用，發(fā)生自內網計算機的安全事件逐漸增多，傳統(tǒng)的安全管理系統(tǒng)對此的防范己捉襟見肘。一些政府部門、軍隊等涉密部門根據安全需要雖然已經對內網采取了隔離措施，如禁止涉密計算機接入互聯(lián)網，嚴禁USB移動存儲設備在涉密計算機上使用。但某些用戶可能會違反規(guī)定使用撥號、ADSL、雙網卡等方式將涉密計算機接入互聯(lián)網；或

2、者為了拷貝數據的方便，將在涉密計算機上使用過的移動存儲設備又在接入互聯(lián)網的計算機上使用；或者未經允許私自將筆記本電腦非法接入涉密內網等等。以上這些行為都給內網安全帶來了極大的隱患，很容易造成涉密信息的外漏或者給黑客攻擊提供可乘之機。
　　 本文深入分析了傳統(tǒng)非法外聯(lián)監(jiān)控手段，尤其是基于雙機模式的非法外聯(lián)監(jiān)控解決方案和基于代理模式的非法外聯(lián)監(jiān)控解決方案。研究中發(fā)現(xiàn)，針對雙機模式的非法外聯(lián)解決方案在實際應用中存在以下四個問題：1）最

3、近幾年發(fā)展起來并獲得廣泛應用的狀態(tài)檢測防火墻會過濾掉非法外聯(lián)的告警包，內網安全管理員也就無法得知內網發(fā)生的非法外聯(lián)安全事件；2）用戶可以使用桌面防火墻先阻止非法外聯(lián)的探測包再外聯(lián)；3）用戶先從物理上斷掉與涉密內網的連接再外聯(lián)；4）該方案只能發(fā)現(xiàn)非法外聯(lián)，但無法阻斷該行為，如果非法外聯(lián)行為未被及時阻止，內網安全將無法保證。此外，代理模式的解決方案中存在與雙機模式共同的問題：即用戶先從物理上斷掉與涉密內網的連接后再外聯(lián)，而且還無法對新式的非

4、法外聯(lián)行為進行有效監(jiān)控，如在涉密主機上使用移動存儲設備拷貝文件等，所以這些解決方案將不能實時的為內網安全管理員提供告警信息和有效監(jiān)控。針對這些問題，本文使用Windows路由表監(jiān)控、Windows IP安全策略控制、NDIS中間層驅動、802.1x局域網接入認證以及三種告警技術結合等技術，提出了改進的內網非法外聯(lián)安全監(jiān)控解決方案，該解決方案能夠實現(xiàn)對內網終端非法上網、非法使用USB移動存儲設備、外部計算機非法接入到內網等安全隱患的全面監(jiān)