[00935724]基于行为监管的内部网络安全防护系统

所属领域：计算机技术与网络。主要内容及特点：网络信息技术的不断发展和普及，各种信息安全问题日趋突出，特别是内部网络往往涉及大量涉密和内部敏感信息，防范信息泄漏难度加大。其中，U盘、移动硬盘、存储卡、MP3/MP4等都能够作为移动存储设备。许多失泄密案件的发生都与移动存储设备管理不当有关。还有诸如非法外联、对目标资源的侵权访问、随意更改IP地址、非授权的数据输出与导入、篡改数据、肆意更改系统配置等，均会在不同程度上造成一定的信息泄漏。为了有效管理内部允许使用的移动存储设备，同时对内部计算机上用户的各种行为进行监控，应用相关的技术产品和解决方案成为当务之急。本系统结合现有的计算机信息安全标准与法规、涉密信息系统的安全检查要求和规定而开发的一套安全防护系统。整个系统由硬件系统和软件系统两大部分组成。硬件系统包括监控中心控制台工控机和USB加密狗。软件部分包括控制台监控软件和安装在网络各节点的代理软件两部分；代理根据自身的功能采集捕获信息，并根据控制台制定的策略将采集的信息上报到控制台。控制台可以很清楚的看到各个代理的运行操作情况，及网络中发生的输入输出事件。为了保护知识产权，监控中心控制台配置USB加密狗。监控中心控制台软件安装在工控机上，运行环境为Windows2000 Server，对系统安全策略进行统一管理与发布，对系统的安全设备及配置进行统一管理，对系统的日志进行审计、分析、报告，对安全事件进行应急响应和处理。受控主机代理软件运行在Windows2000各种版本/Windows XP/Windows 2003下，根据监控中心控制台设置的策略规则实时进行信息采集，阻止违规操作，将违规操作报警到控制台。系统通过逻辑认证的方式来管理移动存储设备的使用，同时针对进程管理、设备管理、网络配置管理、防止非法主机接入内部网络等方面进行安全防护。通过控制台设置的安全策略和权限来正确区分、控制、约束单位内部以及外来移动存储设备在安全域中的使用操作；同时对输出的文件资料加密，防止离开安全域或遗失后的泄密问题发生。在主机行为监管方面，开发出对应的进程管理、设备管理、网络配置管理、防止非法接入模块，与移动介质管理相融合，更加完善的对内网信息进行保护。项目采用控制台/代理的分布式结构，实现内部网络的分级集中管理。提出了基于全局安全策略的分布式网络行为监管系统结构和实现技术；提出了可信环境下的网络行为和内容安全监管的系统模型，从服务器层、网络层和主机层构筑立体式内部网信息安全体系结构；提出了旨在强化用户行为和内容安全监管能力的实用性解决方案，实现网络监管的信息化和规范化；采用了的Window核心的HOOKS技术，拦截Windows关于文件操作的API，检查文件操作是否符合设定的文件保护规则。采用wincap动态库来实现对特定网络数据的截取。项目评审专家一致认为，该系统设计合理，技术先进，功能丰富，界面友好，操作方便，运行可靠，有效地解决了USB设备类型识别和唯一性识别问题，代理程序在受控主机中的保护问题，以及主机行为监控、端口监控技术等问题。该系统实现的功能全面，在国内处于领先地位，国外也未见有实现类似功能的文献报道。该成果可应用于政府、部队、国防大型企业单位等重要部门的内部网络安全管理和审计。并建议进一步扩展系统的应用平台，使之适用于多种网络平台，以扩大其使用范围。应用推广情况：该设备已在部分单位试用，通过对移动存储设备的逻辑认证来管理控制移动存储设备的使用。通过设置的安全策略和权限来正确区分、控制、约束单位内部及外来移动存储设备在安全域中的使用操作。同时对输出的文件资料加密，防止离开安全域或遗失后的泄密问题发生。达到了防止涉密和敏感信息泄漏，确保数据完整性和安全保密性的目的。由于具有功能实用、运行稳定、易于操作、成本较低的优点，很受使用单位欢迎。该设备具有广阔的推广应用前景，具有很高的经济及社会效益。