一种三合一的涉密内网综合强审计系统模型

一、 背景

随着计算机网络异常迅猛的发展，网络逐渐成为企业、政府及各种组织的重要信息载体和传输渠道，成为人们日常工作中不可缺少的一部分。网络及其所带来的信息数字化大幅度提高了人们的工作效率，使得海量信息存储和处理成为现实。但是，在享受到网络所带来方便的同时，日益严重的网络信息安全问题，不仅使上网企业、机构及用户蒙受巨大的经济损失，也使国家的安全面临严重威胁。

其实，涉密内网安全需求和技术的研究发展早在几年前就已经开始。从审计的角度来看，内网安全已经发展到第三个阶段。用户对内网安全的需求也从强安全审计到主机审计方向转变，再到内网综合安全防护方向发展。

二、综合强审计

安全审计一般分为网络审计、主机审计、数据库审计、应用审计、综合审计等。所谓综合审计就是指获取并记录网络、主机、数据库、应用系统、安全保密设备自身产生的审计信息等两种以上被审计对象的状态信息和敏感操作，进行统一分析和判断。综合强审计就是综合审计系统与安全监控系统相互配合，在设计到违规事件后自动对违规行为进行阻断。本文从主机审计、介质审计、网络审计等三个方面入手，并结合国家安全监控与安全审计标准，提出一种三合一的涉密内网综合强审计系统模型，即涉密内网安全管理解决方案。

三、系统模型

1.系统组成

整个系统主要由三个子系统组成：涉密计算机桌面监管系统、移动存储设备管理系统和违规外联与网络管理系统。每个子系统又分别由服务器、控制中心以及终端安全代理组成。依据灵活部署和综合审计的思想，将这三个子系统的服务器统一管理和配置，形成安全管理服务器；三个子系统的终端代理也集成在一起形成三合一终端代理。然后通过单一的管理中心对这个三个子系统同时进行配置及管理。

整个系统在工作区域上又分为三类：内部涉密工作区、中间机区域和外部非涉密区域（或互联网区域）。涉密计算机桌面监管系统工作在内部涉密工作区，主要承担涉密计算机（涉密主机）的监控与管理任务；移动存储设备管理系统区工作在内部涉密工作区和中间机区域，主要承担涉密移动存储介质的管理和审计以及非涉密区域的信息通过专用U盘单向导入涉密区域的功能（中间机系统即是单项导入系统）。违规外联与网络管理工作在内部涉密工作区和外部非涉密区域，主要承担涉密计算机（主机）违规连接互联网的报警和阻断功能和非涉密计算机违规接入涉密区域的发现和阻断功能。

下图所示了三合一系统的模型：

图1 三合一综合强审计系统模型

2. 系统功能

三合一的整体功能分为三部分：

1.主机系统审计（即涉密计算机桌面监管系统）

主机系统审计搜集的信息主要包括CPU类型、内存大小、文件、操作系统类型、已安装的应用软件和系统升级补丁的相关信息。

（1）文件操作和文件共享审计

实时记录或者禁止用户通过命令行方式或GUI方式创建、拷贝、移动（重命名）、删除文件和打印文件的操作。实时记录或者禁止文件共享的操作。

（2）进程审计

终端代理通过获取进程信息定时审计该计算机正在运行哪些程序（包括系统服务程序）。并可以通过设置一定的策略允许或者禁止某些进程的运行。

（3）安装软件监控

终端代理通过获取注册表中的相关信息审计该计算机已安装软件（包括系统升级补丁）和卸载的软件。并可以通过设置一定的策略允许或者禁止某些软件的安装。

（4）注册表审计

注册表审计是通过在系统内核中实时截获系统服务实现的，通过该方法可以截获到通过手工或软件实现的注册表访问、修改等操作。用于防止一些病毒和木马程度对注册表的破坏。

（5）系统账户审计

实时记录系统账户变化的情况，例如增加、删除账户、账户的登陆和登出操作等。

2.介质管理（即移动存储设备管理系统）

介质主要包括光盘、U盘、移动硬盘、网络驱动器等设备，这些设备的使用方便了数据的移动，但任意使用的同时也给管理带来了问题。

介质审计实时获得移动存储设备的运行状态，根据策略对光驱、软盘、USB移动存储设备、串口、并口、红外、1394、PDA、PCMCIA卡、调制解调器、蓝牙等设备进行禁用，从而避免了涉密数据被有意或者无意泄漏出去。另外特别针对接入计算机的USB存储介质可以进行单向控制，管理员根据需要设定存储设备的使用权限（只读或者读写），既保留了移动设备的方便性，又堵截了移动存储设备可能带来的安全隐患。

3.网络监控（即违规外联与网络管理系统）

网络层审计主要实现了涉密计算机网络地址控制、端口控制、非法接入监控、违规外联阻断、流量统计和网络行为审计。这些功能都由网络代理来实现，并将相关数据通过加密信道发送到安全管理服务器或者违规外联报警服务器。

（1）网络地址的控制

控制网络内部所有涉密计算机的IP和MAC地址，不使其随意修改网络地址。

（2）端口控制

根据涉密计算机的实际网络需要，允许开放的网络端口，并记录开放的网络端口访问详细记录；关闭那些不需要的端口，并及时阻断那些尝试访问这些被禁端口的连接。

（3）非法接入监控

内部涉密网络工作区域对于非法接入的计算机实时进行发现，通过一定的策略自动对其进行阻断和报警。

（4）违规外联阻断

实时监控涉密的计算机是否与互联网直接联通或者间接联通。如果发现违规外联这样的情况，首先向内部服务器和外部服务器同时发出报警信息，然后将其的网络连接阻断。

（5）网络行为审计

分析网络中的POP3、SMTP、HTTP、FTP等协议数据流，从而还原出涉密计算机上传下载文件、收发邮件和访问网站的行为。

四、典型应用

西安交大捷普网络科技有限公司研发的第二代捷普＠主机监控与审计系统整体架构采用了这种三合一的涉密内网综合强审计模型。这个系统由三个功能相互独立又可联合配置运行的子系统构成：涉密计算机桌面监管系统、移动存储设备管理系统和违规外联监控系统。其特点是功能完备、配置灵活、部署简单。整个系统能够根据用户的需要和实际环境进行拆分和组合，体现出极强的灵活性。既符合涉密产品的规范和标准，又符合市场的实际需求，是一款能够给用户带来安全和效益的好产品。

转自《信息安全与通信保密》2009年第二期

如果您对该产品感兴趣，可联系网路游侠，QQ：55984512、E-Mail：zbc98@163.com 或下载咨询表并填写好之后发给站长。