葉昊亮

軍隊院校由于學習與工作的實際需要擁有多套網(wǎng)絡，除了只在學校內(nèi)小范圍使用的各種專網(wǎng)外，使用最多的是兩套用于對外交流的網(wǎng)絡。一套是連接互聯(lián)網(wǎng)的校園網(wǎng)，用于查找學習科研資料以及與地方的各種交流，一套是連接涉密網(wǎng)絡的園區(qū)網(wǎng)，用于軍隊內(nèi)部資料的查詢、傳輸以及與其他軍隊單位的交流。兩套網(wǎng)絡都對安全有很高的要求，而與相對開放的互聯(lián)網(wǎng)相比，相對封閉的涉密網(wǎng)絡對安全可信的網(wǎng)絡環(huán)境要求更高。而由于網(wǎng)絡性質(zhì)的不同，其防護的側(cè)重點也與互聯(lián)網(wǎng)有所不同。

這套SMP安全管理系統(tǒng)，主要是從兩個方面來保障網(wǎng)絡的正常運行和安全使用，一個是網(wǎng)絡身份，另一個是網(wǎng)絡防護。

一、網(wǎng)絡身份的準入、準出控制和多重信息綁定

涉密網(wǎng)絡要求與其他網(wǎng)絡實行嚴格的物理隔離以保障安全，但在現(xiàn)實應用中存在一定的管控難題，多數(shù)院校教員和管理人員都需要同時使用校園網(wǎng)和園區(qū)網(wǎng)，這樣的需求使得兩套網(wǎng)絡部署的時候物理位置無法間隔太遠，無法從技術(shù)上嚴格避免人員使用時雙網(wǎng)隔離，這種情況下非法外連、同一計算機使用雙網(wǎng)等隱患情況就有可能出現(xiàn)，管理人員只能通過定期排查、人員教育等方法來進行這方面的監(jiān)管，肯定不能保證萬無一失。為了解決這一安全隱患問題，SMP安全管理系統(tǒng)提供了網(wǎng)絡身份的準入、準出控制和多重信息綁定功能來解決。

通過安全管理系統(tǒng)的用戶管理功能，我們可以對接入涉密園區(qū)網(wǎng)的人員進行有效控制，只有通過管理人員嚴格審核后，開通了有效賬號的權(quán)限人員才能擁有接入涉密園區(qū)網(wǎng)的資格，擁有賬號的權(quán)限人員通過安全管理系統(tǒng)在個人計算機上安裝的客戶端檢測成功后登陸才能接入涉密園區(qū)網(wǎng)。這種準入、準出控制功能定位到了專人專號，避免了非權(quán)限人員隨意接觸使用涉密網(wǎng)絡的情況發(fā)生。

而通過安全策略模板的設(shè)置，對接入涉密園區(qū)網(wǎng)的計算機進行多重信息綁定，我們采用的是計算機MAC地址、IP地址、交換機IP地址、計算機接入交換機對應的端口以及個人賬號這幾項同時綁定，任何一樣信息檢測不匹配就無法接入園區(qū)網(wǎng)。保證了其他非保密計算機任何情況下都無法接入涉密園區(qū)網(wǎng)，保密計算機也無法移動到其他地點使用，避免了人員不規(guī)范使用的隱患。

網(wǎng)絡身份的準入、準出控制和多重信息綁定功能的同時運用，基本滿足了園區(qū)網(wǎng)對這方面安全使用的要求。

二、網(wǎng)絡環(huán)境的有效防護

涉密園區(qū)網(wǎng)對網(wǎng)絡環(huán)境的安全性要求很高，這就需要在各個層面（網(wǎng)絡、主機、管理）上都做好安全防護工作。

在網(wǎng)絡層面上，需要一個整體性的防護，防范從外部涉密網(wǎng)和內(nèi)部園區(qū)網(wǎng)對學校發(fā)起的各種攻擊，并在攻擊事件發(fā)生時及時處理，特別注意要對園區(qū)網(wǎng)內(nèi)的敏感資源進行重點保護。針對這方面的需求，SMP安全管理系統(tǒng)有相應的功能加以解決，敏感資源隔離模板可以專門為所有敏感資源IP配置隔離模板，一旦其遭到攻擊，立刻隔離資源主機，斷絕其與網(wǎng)絡的連接，若檢測到攻擊來自園區(qū)網(wǎng)內(nèi)，其模板設(shè)置中同時有對攻擊源用戶從警告到強制下線的處理方式。同時為了不影響正常的工作使用，防止出現(xiàn)攻擊的誤認定而頻繁隔離，還使用了攻擊頻率分級處理模式，以完善的安全信息事件庫為基礎(chǔ)，結(jié)合安全事件級別和發(fā)生次數(shù)來進行相應的安全措施處理。還有專門的ARP欺騙免疫功能，可以通過安全管理平臺在各個網(wǎng)關(guān)上開啟ARP欺騙免疫。

在主機（終端）層面上，需要完成對于終端的各種常規(guī)防護，防火墻、殺毒軟件的安裝，微軟補丁的及時更新，保護計算機空置時段不被他人使用而安裝的屏幕保護措施，對USB接口等能做間接的訪問和數(shù)據(jù)交換的通道的封鎖等。在這方面SMP安全管理系統(tǒng)并沒有提供直接的防護終端的功能，而是通過設(shè)置規(guī)則組綁定的方式對用戶終端上安裝的軟件提出要求，任一項規(guī)則組要求的軟件未曾安裝，則無法通過認證檢測，不能連入涉密園區(qū)網(wǎng)。這就避免了用戶不安裝各種防護軟件而使得終端長期置于無防護狀態(tài)的情況發(fā)生。

在管理層面上，園區(qū)網(wǎng)的管理人員需要實時了解整個園區(qū)網(wǎng)、使用人員以及接入設(shè)備的狀態(tài)和情況，并在有需要時調(diào)閱以往情況來進行分析總結(jié)。

三、安全管理系統(tǒng)有待改進的功能

這套安全管理系統(tǒng)的功能在一些細節(jié)的地方還有待改進，主要是在系統(tǒng)功能的應用智能方面，并沒有能夠完全達到我們的要求。主要存在的問題有，在進行規(guī)則組綁定時，其綁定的只能是軟件的進程，當需要加入規(guī)則的軟件運行狀態(tài)下進程隱藏無法找到時，就無法進行綁定，也就無法控制用戶進行必需的安裝。同時，系統(tǒng)只能檢測到是否進行了軟件的安裝，但像殺毒軟件有否更新病毒庫，他則無法檢測和控制，使防護的有效程度存在疑問。

四、結(jié)論

通過上面對園區(qū)網(wǎng)安全要求以及安全管理系統(tǒng)功能的分析，我們可以了解，不論是一般的防護還是一些特別的需求，安全管理系統(tǒng)都基本能夠達到，雖然還有一點瑕疵，但身份控制、多重信息綁定以及規(guī)則設(shè)置、全網(wǎng)監(jiān)控這些功能是切實有效的管理手段，可以幫助我們便利的完成園區(qū)網(wǎng)的防護和控制，打造一個安全而健康的網(wǎng)絡工作環(huán)境。