應用背景

近幾年來，政府的信息化網(wǎng)絡走過了不斷發(fā)展、完善的歷程，已經(jīng)擁有大量技術先進、種類繁多的網(wǎng)絡設備和系統(tǒng)，構成了一個配置復雜的綜合性網(wǎng)絡。與此同時，由于信息泄漏、信息遭受破壞等帶來的損失也令人觸目驚心，網(wǎng)絡安全問題面臨日益嚴峻的挑戰(zhàn)。

目前，在政府的網(wǎng)絡中部署有多套網(wǎng)絡，如政務辦公網(wǎng)(俗稱內網(wǎng))、互聯(lián)網(wǎng)(外網(wǎng))以及其他保密網(wǎng)絡。為了保證政務信息的安全，防止政務辦公信息在互聯(lián)網(wǎng)上泄漏，政府一般采用內外網(wǎng)完全物理隔離的方法，在一臺機器上配置有物理隔離卡以及內外網(wǎng)各一套硬盤，這樣內網(wǎng)用戶想訪問互聯(lián)網(wǎng)需要重新啟動計算機進入外網(wǎng)的硬盤方可上互聯(lián)網(wǎng)，反之進內網(wǎng)硬盤才能上政務辦公網(wǎng)，或者采用內外網(wǎng)各一套機器的方法。

這樣的設置直接導致了幾種不安全因素的產生:一是有些政府工作人員在應用中覺得頻繁重新啟動機器很麻煩，便采用互相撥叉網(wǎng)線來實現(xiàn)內外網(wǎng)的切換，致使政務辦公信息處于互聯(lián)網(wǎng)狀態(tài)下，極易造成資料通過Internet外泄。二是通過移動存儲設備在內外網(wǎng)絡中互用使信息泄密。此外，還有政府工作人員把政務辦公信息通過郵件論壇等方式發(fā)布到互聯(lián)網(wǎng)上，以及政府工作人員瀏覽一些非法的網(wǎng)站，都會有意無意地造成信息泄密。

針對這種人為造成的政務信息泄密的不安全因素，為確保黨政機關信息網(wǎng)絡安全和政令暢通，努力做到在政務人員方便高效使用網(wǎng)絡的同時，嚴格掌控政務辦公信息的流通安全，青島市四方區(qū)設計開發(fā)了基于內外網(wǎng)隔離與監(jiān)控技術的政務網(wǎng)絡信息安全保障系統(tǒng)。在該系統(tǒng)中，通過應用網(wǎng)絡技術(防火墻、交換機、路由器)、數(shù)據(jù)庫技術、網(wǎng)絡監(jiān)聽技術、數(shù)字指紋技術和信息加密手段等先進計算機技術，在基于政府現(xiàn)有網(wǎng)絡系統(tǒng)的基礎上，借助于內外網(wǎng)隔離技術，將政府網(wǎng)絡中一些人為因素造成信息泄密的問題得到了有針對性的解決，實現(xiàn)了政府網(wǎng)絡中信息安全保障的功能。

設計構想

這套網(wǎng)絡信息安全保障系統(tǒng)的結構圖如圖1所示:分為客戶端，服務器端，數(shù)據(jù)庫設計，數(shù)據(jù)管理系統(tǒng)四大部分。

客戶端主要負責用戶登錄和連接，可移動存儲設備的合法性認證，設備指紋文件的寫入。

驗證服務器主要負責用戶信息驗證，用戶磁盤合法性認證，客戶機的IP地址和MAC地址管理，防火墻交互等功能。

監(jiān)聽服務器主要負責數(shù)據(jù)流分析，防止網(wǎng)頁篡改。

數(shù)據(jù)庫為服務器端的各種信息驗證和信息處理提供源數(shù)據(jù)，數(shù)據(jù)庫設定管理員和普通用戶二級權限。數(shù)據(jù)管理系統(tǒng)采用B/S架構，主要實現(xiàn)用戶管理，機器管理，設備管理以及內網(wǎng)IP分配。管理員對普通用戶信息進行審核，同時審核磁盤存儲和移動存儲的合法性，普通用戶可以提交移動存儲合法化申請和內網(wǎng)IP綁定申請。

系統(tǒng)實現(xiàn)的功能

(一)防止內外網(wǎng)切換功能

實現(xiàn)效果:當客戶端用戶手動將內外網(wǎng)網(wǎng)線互相切換之后，網(wǎng)絡會自動中斷，有效的防止通過外網(wǎng)傳送內網(wǎng)資料，如果用戶通過改變客戶端的系統(tǒng)服務配置，網(wǎng)絡也會自動關閉，防止系統(tǒng)被惡意攻擊。內外網(wǎng)終端自動檢測是否連接互聯(lián)網(wǎng)，如內網(wǎng)用戶連接互聯(lián)網(wǎng)，則自動到服務器端注冊，同時服務器端進行報警。

實現(xiàn)原理:內網(wǎng)和外網(wǎng)使用的是不同的IP和不同的磁盤，因此，兩者的組合可以唯一的標識一臺計算機的認證信息，當IP地址和磁盤標識號的組合無法與服務器端認證信息進行匹配時，則可認定該計算機不合法，在服務器端將該計算機的網(wǎng)絡端口進行關閉。

具體步驟:

1、用戶使用客戶端計算機向服務器提出聯(lián)網(wǎng)請求，服務器端進行認證，若此程序上次登錄的服務器不是本服務器，則懷疑他進行了內外網(wǎng)混接，不允許連接，否則為其開放網(wǎng)絡端口;如內網(wǎng)用戶連接互聯(lián)網(wǎng)，則自動到服務器端注冊，同時服務器端進行報警。

2、服務器在數(shù)據(jù)庫中記錄所有曾經(jīng)正常登錄過自己的客戶端硬盤序列號。外網(wǎng)內網(wǎng)服務器定時進行數(shù)據(jù)互換，將在自己服務器上連接過的硬盤序列號傳送給對方(通過文件導入導出進行傳遞)，在對方的數(shù)據(jù)庫中標志為禁用。如果發(fā)現(xiàn)客戶端使用了禁用的硬盤序列號，則禁止客戶端連接到外網(wǎng)。

3、服務器端記錄用戶登陸時間，并通知網(wǎng)關允許其進行外網(wǎng)連接;

4、在客戶端計算機中注入系統(tǒng)服務，并隨系統(tǒng)啟動而開啟，用來定時向服務器端報告其IP地址以及硬盤標識號，從而驗證其聯(lián)網(wǎng)的合法性;

5、服務器端對客戶端的報告進行接收并與服務器上的配置數(shù)據(jù)進行匹對，對于合法的請求，繼續(xù)開放其聯(lián)網(wǎng)端口，對于不正確的配置，則將其網(wǎng)絡端口關閉，停止聯(lián)網(wǎng)服務;

6、若用戶手動將服務關閉，則服務器會出現(xiàn)超時未接受數(shù)據(jù)的異常，此時認為用戶惡意攻擊防護系統(tǒng)，服務器會通知網(wǎng)關關閉其網(wǎng)絡連接。

內外網(wǎng)切換功能示意圖如圖2所示。

(二)IP-MAC自動綁定與管理

實現(xiàn)效果:當客戶端登錄到服務器時，服務器自動進行判斷。如果客戶端是首次連接到服務器端，那么服務器會自動將IP地址與MAC地址進行綁定，并通知客戶端自動對機器網(wǎng)絡配置進行修改。

如果客戶端的網(wǎng)絡配置發(fā)現(xiàn)問題，配置了錯誤的IP地址，那么服務器會自動通知客戶端其正確的IP地址并進行修改。

實現(xiàn)原理:服務器將所有的IP地址與MAC地址都存儲在數(shù)據(jù)庫中。每次登錄時，都根據(jù)客戶端傳送的IP地址與MAC地址進行檢索，得到其數(shù)據(jù)庫中的注冊IP地址與MAC地址。如果注冊地址不存在，則一方面向數(shù)據(jù)庫中進行添加，另一方面通知防火墻進行綁定。如果注冊IP地址和實際IP地址不同，則要求客戶端將連接配置更改為注冊IP地址。如果注冊MAC地址與實際MAC地址不同，則說明此客戶機占用了他人的IP地址，則會通知客戶端重新取得IP地址。

IP-MAC自動綁定與管理示意圖如圖3所示。

(三)移動存儲設備的審核功能

實現(xiàn)效果:客戶端用戶使用的U盤或者移動硬盤等存儲設備必須經(jīng)過信息中心進行審批，否則在客戶端計算機上無法正常使用。

用戶將需要審核的移動設備遞交信息中心，信息中心工作人員使用密鑰生成程序為用戶的移動存儲設備加載密鑰文件;相關內容自動提交到服務器端進行記錄。

用戶使用未審核的移動存儲設備時，客戶端系統(tǒng)會因檢測不到密鑰文件而拒絕該移動存儲設備的加載和使用，會提示用戶將該存儲設備進行提交審核。由于密鑰文件與移動存儲設備一一對應，因此密鑰文件具備不可復制性，每一個移動存儲設備必須有符合自己的密鑰文件，更換設備會導致無效，從而徹底杜絕來歷不明的移動存儲設備。

如果用戶使用了未經(jīng)審核的移動存儲設備時，客戶端會自動的將此U盤禁用，并向服務器報告使用未經(jīng)審核移動存儲設備的時間、IP地址與MAC地址。

實現(xiàn)原理:每一個移動存儲設備都具有唯一標識信息，包括VID，PID，Serial Numbers等，認證時使用程序讀出所需信息，然后使用指紋生成算法，生成一個唯一標識指紋，并存儲在密鑰文件中。當用戶使用移動存儲設備時，客戶端程序能夠讀出該設備的VID，PID，Serial Numbers等信息，生成指紋，與存儲在移動存儲設備上的密鑰文件中的指紋進行匹對，如果符合說明該移動存儲設備是經(jīng)過認證的，否則認為該設備并不合法，用戶將無法使用。

(四)防止網(wǎng)頁被惡意篡改功能

實現(xiàn)效果。當服務器網(wǎng)站的網(wǎng)頁遭遇被惡意篡改等黑客攻擊時，服務器防護系統(tǒng)可檢測到網(wǎng)頁的非正常改動，并向管理員報警，以保證網(wǎng)頁的正確性，穩(wěn)定性與可靠性。

實現(xiàn)原理。服務器中預置關鍵的網(wǎng)頁地址列表，分別對每個網(wǎng)址的內容進行分析，區(qū)分相對固定的特征內容和經(jīng)常動態(tài)更新的內容，對這些關鍵網(wǎng)頁的固定部分進行散列存檔并可以自動或手動更新。

定期對網(wǎng)頁進行再次獲取，進行散列并與之前的存檔做比對，如果發(fā)現(xiàn)其固定部分的特征值發(fā)生改變，則表明頁面被篡改，此時會發(fā)送短信到信息中心工作人員手機進行報警，并將改變內容迅速發(fā)送給工作人員，由工作人員手動進行判斷分析，如果確實為惡意篡改則恢復原網(wǎng)頁;如果是正常改動則需要手動更新散列值，從而確保再次比對時不會發(fā)生錯誤判斷。

防止網(wǎng)頁被惡意篡改功能示意圖如圖4所示。

(五)數(shù)據(jù)流監(jiān)控功能

實現(xiàn)效果:用戶使用客戶端計算機發(fā)送數(shù)據(jù)時，服務器端會對發(fā)送的數(shù)據(jù)進行監(jiān)控。監(jiān)控程序能夠分析數(shù)據(jù)流內容，判斷是否有敏感涉密詞匯，實現(xiàn)內容監(jiān)控，防止重要資料外流。如果監(jiān)控程序發(fā)現(xiàn)數(shù)據(jù)流中具有敏感涉密詞匯，則將其以短消息的形式發(fā)送到政府電子政務管理工作人員手機上，以便手動判別其是否屬于重要的禁止外流數(shù)據(jù)。

實現(xiàn)原理:本功能實現(xiàn)原理使用的是旁路監(jiān)控方式。該方式并不直接截獲數(shù)據(jù)包，而是將數(shù)據(jù)流原封復制到服務器存儲介質上，然后使用程序讀取該數(shù)據(jù)進行分析。該方式的優(yōu)點是不會造成網(wǎng)絡擁堵，即在任何情況下網(wǎng)絡都能夠保證暢通，缺點是實時性差，在數(shù)據(jù)流量較大的情況下，不能夠及時的對流量數(shù)據(jù)進行分析處理，因此可能會有延時。

對于數(shù)據(jù)流的分析，系統(tǒng)采用正則表達式匹配等算法的結合，能夠做到數(shù)據(jù)流中“有危險就報告”，徹底杜絕重要信息數(shù)據(jù)外流的安全隱患。

數(shù)據(jù)流監(jiān)控功能示意圖如圖5所示。

(六)關鍵網(wǎng)站的敏感詞監(jiān)控功能

實現(xiàn)效果:當客戶端用戶瀏覽外網(wǎng)網(wǎng)頁時，應該對這些網(wǎng)頁進行分析，查找其網(wǎng)頁是否具有涉密或者敏感詞匯，如果分析出敏感涉密詞匯，則將其進行篩選和記錄。

實現(xiàn)原理:在服務器上預置重點監(jiān)控的網(wǎng)址列表，定期獲取網(wǎng)頁，進行關鍵詞分析，查找有無涉密敏感詞匯，將其進行篩選并且進行登記。

如果用戶請求的是在服務器上登記的網(wǎng)站地址，則提示該網(wǎng)頁存在問題，建議用戶瀏覽其他類似網(wǎng)站查閱相關資料。對于進行登記的網(wǎng)站，應該對其定期檢查，如果該網(wǎng)站并不含有敏感詞匯，則應將其從列表中手動刪除，對于確實存在敏感詞匯的網(wǎng)站，則會重點防范，表現(xiàn)在更多的獲取其相關網(wǎng)頁進行分析，對于含有敏感詞匯的網(wǎng)頁均添加到篩選列表中。

作為一種現(xiàn)代管理手段，基于內外網(wǎng)隔離與監(jiān)控技術的政務網(wǎng)絡信息安全保障系統(tǒng)的開發(fā)建設和應用實施，進一步增強了政府工作人員的政務信息保密意識;進一步完善了政府工作人員工作運行機制，規(guī)范了政府工作人員工作流程，降低了政府行政成本，提高了政府機關執(zhí)行力，得到了區(qū)委、區(qū)政府領導的充分肯定和兄弟區(qū)市的一致好評。

(作者單位:中國海洋大學信息科學與工程學院)