徐正 龐子敏 邵森龍

1. 浙江省溫州市公安局 2. 浙江省瑞安市公安局 3. 浙江遠望信息股份有限公司

引言

信息技術(shù)的飛速發(fā)展，推動了政府部門工作的高效開展。同時，為了信息保密性、系統(tǒng)可用性等因素，各政府部門建立了專用的網(wǎng)絡，用以承載相關(guān)信息系統(tǒng)的運行，此類專用網(wǎng)絡，要求與互聯(lián)網(wǎng)隔離，采用網(wǎng)閘等專用邊界安全設備進行網(wǎng)絡間的數(shù)據(jù)交互。公安信息網(wǎng)作為一張獨立專網(wǎng)，貫通部、省、市、縣、派出所等各級公安部門，承載了大量公安信息化應用，是公安工作的基礎(chǔ)支撐網(wǎng)絡。對與其他網(wǎng)絡的信息交互，公安信息網(wǎng)要求通過安全加固的邊界接入平臺進行。然而，圍墻若是漏洞百出，大門口的重兵防守就形同虛設。一旦入侵者通過圍墻漏洞進入公安信息網(wǎng)并長期潛伏，對公安信息網(wǎng)的可用性、完整性、保密性就形成巨大挑戰(zhàn)。為此，確保圍墻的牢固、邊界的完整，是對公安信息網(wǎng)“獨立專網(wǎng)”特性的必要保障。

一、現(xiàn)狀與問題

（一）邊界完整性防護現(xiàn)狀

當前，公安信息網(wǎng)邊界完整性檢測與防護主要采用兩種技術(shù)路線：（1）在規(guī)劃的與視頻監(jiān)控網(wǎng)等其他網(wǎng)絡交互位置部署邊界接入平臺產(chǎn)品，實現(xiàn)網(wǎng)絡之間的安全隔離，同時支持安全的數(shù)據(jù)內(nèi)容交互；（2）統(tǒng)一部署“一機兩用”系統(tǒng)，在全網(wǎng)每臺計算機上安裝客戶端軟件來檢測本機是否可連通互聯(lián)網(wǎng)，對于連通互聯(lián)網(wǎng)的計算機進行告警與技術(shù)防護。邊界接入平臺與“一機兩用”系統(tǒng)的部署，以及與相關(guān)事件通報考核機制的結(jié)合，對于避免計算機設備違規(guī)外聯(lián)起到了巨大的威懾作用，發(fā)揮了重要的防護功能，通過技術(shù)能力與管理手段的綜合建設，為公安信息網(wǎng)邊界完整性提供了有效保障。

（二）監(jiān)管盲區(qū)導致的安全隱患

已有的安全建設雖然在公安信息網(wǎng)邊界完整性防護上起到了巨大的作用，但依然存在著監(jiān)管盲區(qū)和短板。

2018年底，溫州市公安局某單位發(fā)生了一起“一機兩用”違規(guī)外聯(lián)事件。但根據(jù)現(xiàn)場人員信息反饋及相關(guān)錄像資料檢查，該計算機確實未曾有人為連接互聯(lián)網(wǎng)的違規(guī)行為。溫州市公安局派人赴現(xiàn)場對詳細過程進一步核查，發(fā)現(xiàn)是該單位一臺計算機在重新安裝網(wǎng)卡驅(qū)動時，“一機兩用”系統(tǒng)產(chǎn)生了告警。經(jīng)進一步技術(shù)分析與查證，確認該計算機在重新安裝網(wǎng)卡驅(qū)動時自動切換到了DHCP模式，獲取到了一個非公安信息網(wǎng)的IP地址，且該IP地址通過其對應的網(wǎng)關(guān)連通了互聯(lián)網(wǎng)。根據(jù)網(wǎng)關(guān)的MAC地址最終定位到了一臺接入公安信息網(wǎng)的TPLINK家用路由器，該路由器上同時連接著互聯(lián)網(wǎng)網(wǎng)線。

該起事件從技術(shù)成因上分析，是由于公安信息網(wǎng)與其他網(wǎng)絡發(fā)生混連引起，通過互聯(lián)網(wǎng)接入設備將公安信息網(wǎng)與互聯(lián)網(wǎng)連通。審視該起事件，至少可以得出兩點認識：

1. 危害嚴重

網(wǎng)絡混連狀況已經(jīng)導致了公安信息網(wǎng)與互聯(lián)網(wǎng)數(shù)據(jù)鏈路層的連通，公安信息網(wǎng)邊界圍墻破出重大缺口，內(nèi)部信息可通過這種連接泄漏到互聯(lián)網(wǎng)，外部攻擊也可通過這種連接進入公安信息網(wǎng)，可能造成重大安全事故。

2. 方式隱蔽

因“一機兩用”系統(tǒng)只能對安裝客戶端軟件的計算機本身是否能連通互聯(lián)網(wǎng)進行檢測，而公安信息網(wǎng)內(nèi)還有大量的設備因設備特性或特殊用途導致無法安裝客戶端軟件，如大量的嵌入式設備、網(wǎng)絡設備、Linux系統(tǒng)服務器等，因此“一機兩用”系統(tǒng)對于違規(guī)外聯(lián)的檢測并不能覆蓋這類設備的外聯(lián)場景，存在著監(jiān)管盲區(qū)。若不是因為有計算機恰巧重裝網(wǎng)卡驅(qū)動而發(fā)現(xiàn)它，可能這個網(wǎng)絡混連的巨大隱患會一直潛伏著而不被發(fā)現(xiàn)，直至產(chǎn)生嚴重后果。

基于當前公安信息網(wǎng)邊界完整性檢測技術(shù)上的短板以及此類網(wǎng)絡混連行為可能引起的嚴重危害，對其進行技術(shù)研究并嘗試找出檢測方法具有重要價值與現(xiàn)實意義。

二、技術(shù)原理分析

（一）場景特征分析

分析此類網(wǎng)絡混連的場景，主要有以下特征：

1. 互聯(lián)網(wǎng)接入設備可能以公安信息網(wǎng)地址或其他私網(wǎng)地址接入

互聯(lián)網(wǎng)接入設備連接公安信息網(wǎng)時，兩者之間形成數(shù)據(jù)鏈路層的連接?；ヂ?lián)網(wǎng)接入設備可能使用規(guī)范的公安信息網(wǎng)地址，也可能使用其他私網(wǎng)地址如“192.168”開頭的地址。當以公安信息網(wǎng)地址接入時，其他網(wǎng)內(nèi)設備以它做網(wǎng)關(guān)就可以連通互聯(lián)網(wǎng)。以其他私網(wǎng)地址接入時，網(wǎng)內(nèi)合法設備不能與其直接進行網(wǎng)絡層通信，所以它平時居于靜默狀態(tài)，但網(wǎng)內(nèi)同廣播域的合法設備若使用了互聯(lián)網(wǎng)接入設備LAN口相同網(wǎng)段的地址，則他們就可以通過該互聯(lián)網(wǎng)接入設備連接互聯(lián)網(wǎng)，造成違規(guī)外聯(lián)事實，產(chǎn)生安全風險。尤其在后一種情形下，跨網(wǎng)段的掃描技術(shù)無法將掃描包發(fā)送到互聯(lián)網(wǎng)接入設備上，給探測造成技術(shù)障礙。

2. 互聯(lián)網(wǎng)接入設備DHCP服務開啟狀態(tài)不確定

利用DHCP服務的探測結(jié)果，能夠較為便捷地發(fā)現(xiàn)這類混連的互聯(lián)網(wǎng)接入設備。但同時必須考慮到，某些互聯(lián)網(wǎng)接入設備并沒有開啟DHCP服務功能，此時網(wǎng)內(nèi)設備通過手動設定一個與互聯(lián)網(wǎng)接入設備LAN口相同網(wǎng)段的IP地址，依然可以通過該混連的互聯(lián)網(wǎng)接入設備連通互聯(lián)網(wǎng)。因此，為全面探測到這類混連的互聯(lián)網(wǎng)接入設備，除了正常的利用DHCP服務檢查方式之外，還需要主動嘗試發(fā)現(xiàn)廣播域內(nèi)是否有非公安信息網(wǎng)的IP地址設備存活，并進行外聯(lián)能力探測。

3. 混連接入點一般位于網(wǎng)絡接入層，數(shù)據(jù)流量不經(jīng)過核心交換

網(wǎng)絡流量分析類的安全系統(tǒng)一般部署在核心交換附近，當互聯(lián)網(wǎng)接入設備的數(shù)據(jù)流量不經(jīng)過核心交換時，基于流量分析的技術(shù)手段難以實現(xiàn)探測。

（二）檢測實現(xiàn)思路

基于以上特征分析，為全面實現(xiàn)對混連的互聯(lián)網(wǎng)接入設備的探測，需要將探測手段架設在VLAN內(nèi)，充分利用DHCP服務探測技術(shù)，并全面感知同廣播域內(nèi)所有設備的存活狀態(tài)，包括使用本VLAN合規(guī)IP地址和其他私網(wǎng)IP地址的設備。

三、應用實踐

基于以上技術(shù)原理分析，溫州市公安局聯(lián)合浙江省公安廳科技信息化局的技術(shù)力量，在相關(guān)安全廠商的協(xié)助下，開發(fā)了基于客戶端探針的網(wǎng)絡混連檢測系統(tǒng)。

該檢測系統(tǒng)由三部分組成：核心部分是客戶端探針軟件，部署在每個VLAN內(nèi)的若干臺計算機上，由其具體負責對本廣播域內(nèi)混連的互聯(lián)網(wǎng)接入設備的探測；管理器軟件負責對這類客戶端探針軟件的統(tǒng)一管理，包括其工作時的相關(guān)參數(shù)配置以及運行狀態(tài)監(jiān)控；互聯(lián)網(wǎng)告警服務器軟件部署在互聯(lián)網(wǎng)上，用于接收客戶端探針軟件通過混連的互聯(lián)網(wǎng)接入設備發(fā)送出來的信息，一方面確認外聯(lián)事實，另一方面記錄互聯(lián)網(wǎng)接入設備的位置以及相關(guān)信息。總體架構(gòu)如圖2所示。

客戶端探針軟件基于網(wǎng)絡抓包發(fā)包驅(qū)動實現(xiàn)，其工作內(nèi)容主要分為兩個部分：（1）對所處廣播域內(nèi)存活設備的探測；（2）對存活設備的外聯(lián)掃描。

存活設備的信息來源主要分三種：（1）直接利用DHCP協(xié)議，通過抓包發(fā)包驅(qū)動向本廣播域定期發(fā)送DHCP請求廣播包，當廣播域內(nèi)的設備如混連的互聯(lián)網(wǎng)接入設備開啟DHCP服務時，會發(fā)送DHCP應答包回到本計算機，探針軟件收到該應答包后解析出互聯(lián)網(wǎng)接入設備LAN口所使用的IP地址和MAC地址，存放入設備對象表中；（2）根據(jù)計算機網(wǎng)絡配置信息，定期對本網(wǎng)段IP范圍進行掃描，發(fā)現(xiàn)的本網(wǎng)段IP和MAC地址也存入設備對象表；（3）開啟網(wǎng)絡接口偵聽，對接收到的ARP請求包進行解析，提取其中的IP和MAC信息存入設備對象表。

外聯(lián)掃描過程中，探針軟件基于感知到的本廣播域內(nèi)存活設備清單，構(gòu)建出外聯(lián)探測包，通過抓包發(fā)包驅(qū)動發(fā)送給網(wǎng)絡中的每個存活設備。外聯(lián)探測包目標MAC地址為存活設備的實際MAC地址，而目標IP地址為互聯(lián)網(wǎng)告警服務器IP地址，因此當某個存活的設備具備向互聯(lián)網(wǎng)投遞數(shù)據(jù)包的能力時，如混連的互聯(lián)網(wǎng)接入設備，其在收到這類數(shù)據(jù)包后將把包路由投遞給互聯(lián)網(wǎng)告警服務器?；ヂ?lián)網(wǎng)告警服務器即可對收到的數(shù)據(jù)包進行解析，提取出互聯(lián)網(wǎng)接入設備當時所處的公安信息網(wǎng)網(wǎng)段、所使用的LAN口地址、MAC地址和使用的互聯(lián)網(wǎng)出口IP地址等信息。

管理器軟件負責對客戶端探針軟件的管理，由客戶端通信程序、數(shù)據(jù)庫、WEB頁面組成。

在管理器WEB頁面上可查看當前各個客戶端探針設備在線狀態(tài)及運行情況，同時可以策略的模式向各個客戶端探針軟件配置互聯(lián)網(wǎng)告警服務器IP地址、功能項開關(guān)及各項周期間隔參數(shù)等。

互聯(lián)網(wǎng)告警服務器軟件負責接收外聯(lián)告警信息，作為整個系統(tǒng)的數(shù)據(jù)查看端，通過網(wǎng)頁的形式進行數(shù)據(jù)的檢索。同時，針對發(fā)現(xiàn)的混連事件，互聯(lián)網(wǎng)告警服務器軟件即時發(fā)送短信到相關(guān)人員手機以便在第一時間處理。

四、推廣成效

2019年初，網(wǎng)絡混連檢測系統(tǒng)開發(fā)完成，首先在一個測試環(huán)境中進行了功能檢查，對互聯(lián)網(wǎng)接入設備采用公安信息網(wǎng)IP或其他私網(wǎng)IP地址，開啟DHCP服務或不開啟DHCP服務等各種條件組合的場景進行了驗證，結(jié)果表明工作正常，同時對客戶端探針軟件的計算資源消耗進行了觀察，不影響計算機的正常使用，也未對網(wǎng)絡的運行產(chǎn)生影響。

基于以上測試效果，溫州市公安局將該系統(tǒng)實際部署于公安信息網(wǎng)中，在管轄范圍內(nèi)的每個網(wǎng)段挑選了兩至三臺計算機安裝客戶端探針軟件，經(jīng)一個月左右時間的運行，對網(wǎng)內(nèi)存在的混連情況起到了全面排查效果，有力地保障了溫州市公安局公安信息網(wǎng)邊界的完整。

進一步，溫州市公安局積極向浙江省公安廳科技信息化局進行成果匯報，將相關(guān)技術(shù)應用到浙江公安安全管理平臺客戶端，部署到浙江省省內(nèi)網(wǎng)所有終端。該系統(tǒng)運用至今，已檢測到了近500起網(wǎng)絡混連事件，消除了網(wǎng)絡安全事故隱患，得到省公安廳高度認可。

此外，2019年以來該系統(tǒng)也在內(nèi)蒙古、黑龍江等省公安專網(wǎng)部署，在浙江社保、溫州醫(yī)科大附一醫(yī)、附二醫(yī)、中國軟件評測中心、北京賽迪軟評中心等企事業(yè)內(nèi)部網(wǎng)落地發(fā)揮效用，贏得一致肯定。該項目獲得了“‘智慧公安我先行’全國公安基層技術(shù)革新獎優(yōu)秀獎”和“溫州市公安局在線警務應用創(chuàng)新大賽”金獎。

五、結(jié)語

保障網(wǎng)絡邊界完整性是維護公安信息網(wǎng)安全的基礎(chǔ)工作，通過一次偶發(fā)的違規(guī)外聯(lián)事件，深度分析其形成機制，挖掘出這類網(wǎng)絡混連模式對公安信息網(wǎng)“獨立專網(wǎng)”特性產(chǎn)生嚴重破壞的場景，不難推測，在公安信息網(wǎng)實際應用中，可能還存在著其他更隱蔽、危害更大的形式，成為數(shù)據(jù)泄露與網(wǎng)絡入侵的通道。

習近平總書記在“4·19”講話中指出，網(wǎng)絡安全具有很強的隱蔽性，一個技術(shù)漏洞、安全風險可能隱藏幾年都發(fā)現(xiàn)不了，結(jié)果是“誰進來了不知道、是敵是友不知道、干了什么不知道”，長期“潛伏”在里面，一旦有事就發(fā)作了。檢測公安信息網(wǎng)非法邊界的工作就屬于習近平總書記強調(diào)的“知道風險在哪里，是什么樣的風險，什么時候發(fā)生風險”范疇，因此顯得更加急迫，且任重道遠。

本研究與應用實踐的經(jīng)驗，對網(wǎng)絡混連場景起到了有效的檢測作用，產(chǎn)生了良好效果，具有在公安信息網(wǎng)推廣應用的價值。