范慧莉，李裕康

（北京空間機電研究所，北京 100094）

0 引言

隨著計算機技術、網(wǎng)絡技術和通信技術的快速發(fā)展和應用，信息化的建設也在不斷發(fā)展，普及程度也在不斷的提高，特別是在促成企業(yè)單位發(fā)生轉(zhuǎn)變的過程，起到了至關重要的角色。它通過實現(xiàn)信息資源的高度共享，高度整合，極大的解放、發(fā)展了生產(chǎn)力，更是優(yōu)化了生產(chǎn)關系，成為了企業(yè)提高市場競爭力和可持續(xù)發(fā)展的重要手段[1]?，F(xiàn)代信息技術確實為企事業(yè)單位帶來無窮的便利，卻也帶來了幸福的煩惱。信息的高度共享與整合帶來的不僅僅是生產(chǎn)效率的提升，更是帶來了巨大的安全隱患。病毒、木馬、非授權訪問、數(shù)據(jù)竊聽、暴力破解等各種黑客手段，都旨在獲取這些信息資源以從中謀取不當利益[2]。

為了保護企業(yè)信息免受來自互聯(lián)網(wǎng)的攻擊，企業(yè)紛紛建立了自己的內(nèi)部專用網(wǎng)絡，并在裝有各種控件的專用硬件的幫助下，在航天專網(wǎng)與互聯(lián)網(wǎng)之間建立起了一扇“安全網(wǎng)絡之門”，以控制企業(yè)內(nèi)部寶貴信息的進出，從而實現(xiàn)網(wǎng)絡安全。這種手段可以統(tǒng)稱為“物理隔離”[3]。物理隔離確實可以非常有效的控制、保護航天專網(wǎng)，能直接將來自網(wǎng)絡的攻擊隔離在企業(yè)之外。然而，經(jīng)過實踐發(fā)現(xiàn)，單純的物理隔離是遠遠不過的。物理隔離的實現(xiàn)前提，是所有航天專網(wǎng)的設備能且只能通過企業(yè)為他設置的“安全網(wǎng)絡之門”與互聯(lián)網(wǎng)發(fā)生聯(lián)系。這就意味著，黑客仍然可以通過，使網(wǎng)內(nèi)終端設備直接連接企業(yè)外部其他的違規(guī)設備的方式，來達到繞過企業(yè)設置的“安全網(wǎng)絡之門”，進而攻擊終端，滲透到航天專網(wǎng)以偷竊信息的目的。為了解決違規(guī)外聯(lián)問題，市場上應運而生了眾多的違規(guī)外聯(lián)檢測監(jiān)控系統(tǒng)，然而這些系統(tǒng)的側(cè)重點往往使事后取證而非事前防控，且對于內(nèi)部設備連接互聯(lián)網(wǎng)之后的控制能力十分有限，對于內(nèi)網(wǎng)和互聯(lián)網(wǎng)物理連接的情況還是無能為力，且統(tǒng)一安裝代理客戶端的部署方式，需要策略以及客戶端的整體配合，一旦卸載代理或代理失效，那將讓航天專網(wǎng)設備處于毫無防控的狀態(tài)，而且隨著企業(yè)航天專網(wǎng)接入設備的日趨多樣化、跨平臺化、跨語言化，使得常規(guī)的基于安裝軟件代理的防護手段適用性越來越窄，軟件生產(chǎn)者必須付出極大的精力與投入才有可能保障代理手段能夠適用于各種設備[4]。不具備通用性，和全范圍的包容性，顯然是此類代理軟件在設計思路上的缺陷，因此這樣的處置方式遠遠不能滿足網(wǎng)絡安全管理的要求。

鑒于企業(yè)內(nèi)部網(wǎng)絡設備的種類多樣性，功能復雜性，以及新違規(guī)外聯(lián)手段的層出不窮，本文提出了一種無代理違規(guī)外聯(lián)檢測方式：通過從底層通訊協(xié)議入手，無需安裝客戶端，能全面覆蓋網(wǎng)絡內(nèi)部所有終端的方式，補充了現(xiàn)有違規(guī)外聯(lián)防護手段短板，提高了網(wǎng)絡內(nèi)部的安全性。

1 航天專網(wǎng)安全與違規(guī)外聯(lián)

1.1 航天專網(wǎng)安全重要性

國際標準化組織（ISO）將安全定義為“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術與管理方面的安全保護，保護硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露”。這是安全在網(wǎng)絡定義上的延伸，而對于網(wǎng)絡安全管理人員來說，是需要時刻扼守的底線準則。航天專網(wǎng)中，現(xiàn)有的網(wǎng)絡安全防護手段措施，大多將防護重點放在了內(nèi)外網(wǎng)隔離，以及如何抵抗源自外部網(wǎng)絡的攻擊上（物理隔離，防火墻，入侵防御系統(tǒng)等），而內(nèi)部網(wǎng)絡更多的是通過劃分安全域的方式予以一定程度的限制與分隔。然而，對于航天專網(wǎng)內(nèi)部同一安全域內(nèi)的各個網(wǎng)絡終端，則賦予了極大的“信任”，這導致一旦安全威脅源自內(nèi)部，這類攻擊將具有更大的威脅，更高的可能性對企業(yè)造成巨大傷害。而在所有的信息安全事故中，由于網(wǎng)絡終端的使用者的疏忽誤操作或蓄意泄密所造成的事故約占70%，也就是說，如果企業(yè)單位不能有效的控制來自內(nèi)部的網(wǎng)絡安全問題，核心數(shù)據(jù)和涉密信息的損失將是不可估量的。

1.2 違規(guī)外聯(lián)概況

對于航天專網(wǎng)而言，最基礎的安全手段就是與互聯(lián)網(wǎng)物理隔離。雖然物理隔離能夠從原則上保障外部網(wǎng)絡和航天專網(wǎng)之間不存在可以產(chǎn)生通訊的物理鏈路，切斷了信息外泄的外部通道，但是網(wǎng)絡安全的重點從來不單單限于免受外部網(wǎng)絡的攻擊，同時也要時刻監(jiān)視網(wǎng)絡內(nèi)部的安全情況。由于個人產(chǎn)生誤操作，或是外來人員通過外來設備，使內(nèi)外網(wǎng)互通，最終導致失、泄密或影響信息系統(tǒng)性能，這些行為可以統(tǒng)一定義為“違規(guī)外聯(lián)”。

違規(guī)外聯(lián)使原本物理隔離的航天專網(wǎng)與外部的網(wǎng)絡環(huán)境之間出現(xiàn)了新的不可控通道，外部網(wǎng)絡可能借助此通道，病毒、木馬、非授權訪問、數(shù)據(jù)竊聽、暴力破解等多種手段侵入違規(guī)外聯(lián)的計算機，非法竊取敏感數(shù)據(jù)，甚至利用該機器作為跳板進一步滲透內(nèi)網(wǎng)的重要服務器，甚至進行跨安全域、跨網(wǎng)絡破壞，進而導致整個內(nèi)部網(wǎng)絡面臨巨大安全風險[5]。

1.3 常見違規(guī)外聯(lián)方式

違規(guī)外聯(lián)的手段有很多種，常見手段如表1所示。

通過表1看出，無論是何種方式的違規(guī)外聯(lián)，只要發(fā)生，就會產(chǎn)生巨大的安全問題，并極有可能泄露企業(yè)核心機密內(nèi)容，導致巨大的不可挽回的損失。

1.4 現(xiàn)有代理檢測技術分析

基于違規(guī)手段進行檢測，會因為研發(fā)周期的不確定性，導致新違規(guī)手段一段時間內(nèi)將沒有相應的防護手段。因此，基于違規(guī)手段進行檢測的方式因其適應性差，不可預期性強的缺點，不適合作為有效的檢測手段[6]。

傳統(tǒng)違規(guī)外聯(lián)的檢測技術主要是利用在計算機上安裝代理軟件，以此對設備進行管理。但隨著網(wǎng)絡內(nèi)接入的終端設備類型越來越復雜多樣，此方式也并不能適用于檢測特殊設備是否會產(chǎn)生違規(guī)外聯(lián)行為。

2 無代理檢測技術

2.1 技術原理

本文提出的無代理違規(guī)外聯(lián)檢測技術分為兩類，一類是主動掃描技術，一類是被動檢測技術。其中主動掃描技術適合于非Windows的特殊設備，而被動檢測技術適合于具有交互能力但無法安裝檢測代理軟件的辦公機。

2.2 主動掃描技術

此技術的探測原理使通過探測設備與被探測設備之間建立TCP的半連接，通過判斷通信是否成功建立以來判定目標機是否產(chǎn)生了違規(guī)外聯(lián)。在TCP/IP協(xié)議中，要建立TCP連接需要進行三次握手，如圖1所示。

所謂三次握手（Three-Way Handshake）即建立TCP連接，就是指建立一個TCP連接時，需要客戶端和服務端總共發(fā)送3個包以確認連接的建立[7]。

表1 常見的違規(guī)外聯(lián)方式

圖1 三次握手流程

基于SYN+ACK的回復來判斷目標機器是否產(chǎn)生違規(guī)外聯(lián)的方式有兩種，一種是在互聯(lián)網(wǎng)上部署取證服務器，一種是無需互聯(lián)網(wǎng)取證服務器，純內(nèi)網(wǎng)方式檢測。

2.2.1 互聯(lián)網(wǎng)取證

在互聯(lián)網(wǎng)上部署取證服務器，然后取證服務器上進行抓包，只要抓到內(nèi)網(wǎng)的特定探測響應數(shù)據(jù)包，即可確定有內(nèi)網(wǎng)機器產(chǎn)生了違規(guī)外聯(lián)行為，其基本原理如圖2所示。

探測器模擬外網(wǎng)取證服務器的IP地址向測試機發(fā)送TCP SYN掃描數(shù)據(jù)包，如果測試機沒有違規(guī)外聯(lián)，則探測包最終將由于沒有路由而被內(nèi)網(wǎng)路由器（交換機）丟棄；如果測試機產(chǎn)生了違規(guī)外聯(lián)，則測試機會向互聯(lián)網(wǎng)取證服務器回復TCP SYN+ACK的數(shù)據(jù)包；如果互聯(lián)網(wǎng)取證服務器收到探測發(fā)送來的TCP SYN+ACK包，則判定有內(nèi)網(wǎng)機器發(fā)生了違規(guī)外聯(lián)，具體違規(guī)外聯(lián)的機器可以根據(jù)構造TCP SYN的序列號，并基于TCP SYN+ACK此序列號區(qū)分具體機器。

2.2.2 純內(nèi)網(wǎng)取證

純內(nèi)網(wǎng)探測無需在互聯(lián)網(wǎng)部署取證服務器，內(nèi)網(wǎng)探測服務器根據(jù)是否有響應數(shù)據(jù)包來判斷測試機是否產(chǎn)生了違規(guī)外聯(lián)，基本原理圖如圖3所示。

探測器模擬外網(wǎng)IP地址向測試機發(fā)送TCP SYN掃描數(shù)據(jù)包，如果測試機無外網(wǎng)出口，則其TCP SYN+ACK回復包會原路返回給探測器；如果測試機有外網(wǎng)出口，則其TCP SYN+ACK回復包會從外網(wǎng)出口轉(zhuǎn)到互聯(lián)網(wǎng)上；探測器基于是否收到TCP SYN+ACK的響應包來判斷測試機是否產(chǎn)生了外聯(lián)行為。

2.3 被動檢測技術

主動掃描的檢測技術需要一定的前提條件：

1）測試機必須開啟某一個TCP監(jiān)聽端口供探測器發(fā)送TCP SYN探測包；

2）測試機必須啟用路由轉(zhuǎn)發(fā)功能（很多操作系統(tǒng)，比如Windows7以及更高版本W(wǎng)indows默認都是不啟用此轉(zhuǎn)發(fā)功能的，所以不能用此探測技術）。

基于以上兩點可見，主動探測技術對于Windows辦公機的檢測具有一定局限性。基于此本文提出了被動檢測技術，以配合主動探測。被動檢測技術分為在線違規(guī)外聯(lián)檢測和離線違規(guī)外聯(lián)檢測兩種。

2.3.1 在線檢測

圖2 互聯(lián)網(wǎng)取證過程

圖3 純內(nèi)網(wǎng)取證

在線違規(guī)外聯(lián)檢測是測試機同時聯(lián)通內(nèi)外網(wǎng)，檢測代碼實時與外網(wǎng)取證服務器進行通信，根據(jù)通信的結(jié)果進行取證，基本原理如圖4所示。

探測器首先要對WEB服務器頁面進行抓取，并進行修改將檢測代碼附加到頁面中，并進行緩存；測試機通過瀏覽器訪問內(nèi)網(wǎng)WEB服務器，此訪問請求會被探測器和內(nèi)網(wǎng)WEB服務器收到；探測器和內(nèi)網(wǎng)WEB服務器都給測試機的瀏覽器回復頁面信息，由于探測器的回復比WEB服務器要快，所以瀏覽器接收并使用了探測器回復的頁面，此頁面帶有檢測代碼，而WEB服務器回復的頁面會被瀏覽器當做重復數(shù)據(jù)而丟棄；瀏覽器執(zhí)行檢測代碼，此代碼首先從內(nèi)網(wǎng)探測器上獲取測試機自身信息；檢測代碼將測試機內(nèi)網(wǎng)信息提交給互聯(lián)網(wǎng)取證服務器，如果提交失敗，則表示測試機沒有違規(guī)外聯(lián)行為，如果提交成功則表示測試機產(chǎn)生了違規(guī)外聯(lián)行為，此時互聯(lián)網(wǎng)取證服務器記錄測試機的內(nèi)網(wǎng)信息；如果檢測代碼確認違規(guī)行為，則將互聯(lián)網(wǎng)取證信息提交給內(nèi)網(wǎng)探測器，內(nèi)網(wǎng)探測器在內(nèi)部對違規(guī)行為進行記錄。

2.3.2 離線檢測

離線違規(guī)外聯(lián)檢測就是利用了檢測瀏覽器Cookie的技術[8]，來查看本地是否存留了互聯(lián)網(wǎng)服務器的殘留Cookie信息，并通過技術手段，解決了不同域名之間Cookie無法訪問的技術壁壘，基本原理流程如圖5所示。

圖4 在線檢測原理圖

圖5 離線檢測原理圖

測試機離開內(nèi)網(wǎng)，違規(guī)訪問互聯(lián)網(wǎng)，此時瀏覽器會遺留訪問互聯(lián)網(wǎng)的Cookie在硬盤上；探測器首先將檢測JavaScript代碼附加到頁面中，并進行緩存；測試機斷開互聯(lián)網(wǎng)，接入內(nèi)網(wǎng)，并通過瀏覽器訪問內(nèi)網(wǎng)WEB服務器；探測器和內(nèi)網(wǎng)WEB服務器都給測試機的瀏覽器回復頁面信息，由于探測器的回復比真實WEB服務器要快，所以瀏覽器接收并使用了探測器回復的頁面，此頁面帶有檢測代碼，而真實WEB服務器回復的頁面會被瀏覽器當做重復數(shù)據(jù)而丟棄；瀏覽器執(zhí)行檢測代碼，檢測代碼首先訪問互聯(lián)網(wǎng)服務器，此時瀏覽器會向內(nèi)網(wǎng)DNS服務器發(fā)送域名IP地址解析請求；內(nèi)網(wǎng)DNS服務器已經(jīng)提前配置好將對應IP地址解析為內(nèi)網(wǎng)探測器IP地址，所以內(nèi)網(wǎng)DNS服務器回復測試機瀏覽器對應域名為內(nèi)網(wǎng)探測器IP；檢測代碼通過瀏覽器訪問本地的Cookie信息成功，如果發(fā)現(xiàn)有互聯(lián)網(wǎng)殘留的Cookie則表示機器曾經(jīng)接入過互聯(lián)網(wǎng)，此時向探測器發(fā)送違規(guī)記錄并進行取證。

3 結(jié)語

本文提出的主動掃描和被動檢測的無代理違規(guī)外聯(lián)檢測技術，并不是取代當前傳統(tǒng)基于代理軟件的檢測模式，而是使兩者協(xié)同配合，令其在各自適合的環(huán)境和適用范圍發(fā)揮作用，相互輔助，相互彌補，在面臨復雜的終端網(wǎng)路設備時，能最終確實的保證網(wǎng)絡的安全。