【文章內(nèi)容簡介】 IP 地址管理問題 采用計算機管理 IP 地址和用戶信息，若管理項目不統(tǒng)一，不便于統(tǒng)一管理范圍的擴大化和信息共享。經(jīng)調(diào)查，內(nèi)部網(wǎng)絡(luò)存在 IP 地址、計算機名亂用、冒用的危險。一些用戶自行購置的計算機和網(wǎng)絡(luò)設(shè)備，不登記即自行安裝上網(wǎng)，信息中心缺乏有效的監(jiān)控手段，使得上網(wǎng)設(shè)備的 IP 地址沖突現(xiàn)象時有發(fā)生，合法設(shè)備無法正常工作，影響業(yè)務(wù)工作的開展。對違反規(guī)定或禁止上網(wǎng)的計算機及網(wǎng)絡(luò)設(shè)備，希望能從技術(shù)手段上限制其上網(wǎng)。在上面的這些問題中，核心問題是 IP 地址的改動和盜用，主要表現(xiàn)為： （1）IP 地址非正常改動。惡意的改動可能基于不可告人的目的，如：逃避服務(wù)器的記錄、讓服務(wù)器或某些重要任務(wù)的機器無法上網(wǎng)；而非惡意的改動也會造成同樣的后果。（2）IP 地址盜用。將非法節(jié)點接入網(wǎng)絡(luò)，盜竊網(wǎng)上的資源，甚至對主機發(fā)動攻擊。本方案將對計算機及網(wǎng)絡(luò)設(shè)備 IP 地址進(jìn)行有效的管理，可以對計算機和網(wǎng)絡(luò)設(shè)備的 IP 地址、MAC 地址以及主機名進(jìn)行綁定，通過被動偵聽、主動掃查相結(jié)合的方式發(fā)現(xiàn)非法節(jié)點，并且可以阻斷非法節(jié)點的網(wǎng)絡(luò)通訊，對非法節(jié)點信息進(jìn)行報警和日志記錄11 / 34等。 用戶資產(chǎn)信息管理問題 目前內(nèi)網(wǎng)中，管理人員對所管轄網(wǎng)絡(luò)的資源占用和用戶情況難以準(zhǔn)確掌握，實際接入的計算機數(shù)量難以進(jìn)行精確的統(tǒng)計，對面臨的危害難以做出動態(tài)的評估和有效的防范。作為用戶與設(shè)備基礎(chǔ)管理功能，希望建立起臺帳信息，對所有接入計算機和網(wǎng)絡(luò)設(shè)備的用戶信息進(jìn)行登記注冊，這些登記的信息主要包括：用戶姓名、單位名稱、工作崗位、用戶工號、聯(lián)系電話、使用地點、主要用途、資產(chǎn)編號、設(shè)備品牌、設(shè)備類型、設(shè)備序列號等信息，在發(fā)生安全事件時能夠以最快速度定位到具體的用戶。對于未進(jìn)行登記注冊的微機，自動將其隔離在系統(tǒng)之外。同時，應(yīng)該能夠做到動態(tài)地搜索各專用微機的硬件信息和安裝軟件信息，并能夠?qū)@些信息進(jìn)行統(tǒng)計和分析，生成相應(yīng)的基礎(chǔ)信息報告。需要搜索的硬件信息主要包括：計算機類型、CPU 型號、CPU 主頻、內(nèi)存大小、磁盤序列號、磁盤容量、磁盤剩余空間、網(wǎng)卡型號、網(wǎng)卡物理地址、鼠標(biāo)型號、鍵盤型號、顯卡型號、聲卡型號以及各外圍設(shè)備的情況；同時應(yīng)該對各計算機所安裝的軟件自動進(jìn)行搜索，并與預(yù)先指定的軟件進(jìn)行比較，警示那些未按要求安裝軟件的用戶，并及時報警，利用短消息手段，通知信息安全管理部門和相關(guān)的系統(tǒng)管理員。另外，系統(tǒng)還應(yīng)該與安全策略緊密結(jié)合，自動收集與安全相關(guān)的一些系統(tǒng)信息，包括：操作系統(tǒng)版本信息、操作系統(tǒng)補丁信息等，同時針對這些收集的信息進(jìn)行統(tǒng)計和分析，給出安全狀況報告。例如，要求全網(wǎng)安裝最新的操作系統(tǒng)安全補丁，如有計算機未按照要求安裝安全補丁，可能會影響到整個系統(tǒng)的安全狀況。在對這些系統(tǒng)安全信息進(jìn)行收集后，可迅速統(tǒng)計分析出那些不符合安全管理策略的微機，對其進(jìn)行更新，從而保證各微機的安全性。目前，大多的 IP 地址是按網(wǎng)段分配的，信息中心對所管轄網(wǎng)絡(luò)的 IP 地址等資源占用和用戶情況難以掌握，網(wǎng)上的計算機設(shè)備、網(wǎng)絡(luò)設(shè)備的數(shù)量難以準(zhǔn)確統(tǒng)計，具體設(shè)備的基礎(chǔ)軟硬件信息也難于收集和進(jìn)行有效的管理，一些實時運行的網(wǎng)絡(luò)設(shè)備和重要服務(wù)器的運行狀況不能集中監(jiān)控，日常管理難度和工作量都很大。 本方案實施后，客戶端管理功能將自動掃查計算機的硬件信息和軟件信息，登記管理計算機的基本信息，并支持統(tǒng)計查詢。硬件信息包括計算機類型、CPU 型號、主頻、12 / 34內(nèi)存大小、磁盤容量、剩余空間、網(wǎng)卡型號等；對 Win32 系統(tǒng)，可收集的軟件信息包括計算機安裝的操作系統(tǒng)，計算機安裝的軟件清單等；基本信息包括 IP 地址、MAC 地址、計算機所在位置、使用人、所屬單位等。 軟硬件違規(guī)行為監(jiān)控計算機的外圍設(shè)備（包括軟驅(qū)、光驅(qū)、USB 盤、并行、串行口、紅外口、1394 端口、Modem 等）為各種信息在不同的計算機設(shè)備之間交流提供了一個方便的途徑，通過它們可以將各種信息（包括病毒、木馬等）復(fù)制到不同的計算機中。但是內(nèi)網(wǎng)中的主機上保存著一些涉密的內(nèi)部信息，這些信息不能夠隨意地傳播，因此有必要對外圍設(shè)備的使用進(jìn)行控制，不允許隨意地使用外圍設(shè)備拷貝機密數(shù)據(jù)。安全管理及監(jiān)控系統(tǒng)應(yīng)該實現(xiàn)對各客戶機外圍設(shè)備的集中監(jiān)視和控制，通過在管理端進(jìn)行設(shè)置，可禁止和啟用各客戶機的外圍設(shè)備，有效地保護計算機上的信息。另外，內(nèi)部存在違規(guī)使用軟件的行為。有些人員在計算機上安裝使用盜版軟件，不但引入了潛在的安全漏洞，降低了計算機系統(tǒng)的安全系數(shù)，還有可能惹來版權(quán)訴訟的麻煩；而一些內(nèi)部人員出于好奇心或者惡意破壞的目的，在計算機上安裝使用一些黑客軟件，從內(nèi)部發(fā)起攻擊；還有一些內(nèi)部人員安全意識淡薄，不安裝指定的防毒軟件等等。這些行為都對內(nèi)網(wǎng)構(gòu)成了重大的安全威脅。要解決這個問題，可以通過安裝在各計算機上的代理終端自動搜集各計算機所有的軟件信息，并匯總到控制器，形成內(nèi)網(wǎng)計算機的軟件資產(chǎn)報表，管理員可以全面了解各計算機所安裝軟件的版本信息，及時發(fā)現(xiàn)安全隱患并升級系統(tǒng)。同時，管理員可以在管理控制器上配置軟件預(yù)案，指定內(nèi)網(wǎng)計算機必須運行的軟件或禁止運行的軟件，由代理終端對計算機上的軟件運行情況進(jìn)行比對檢查，對未運行必備軟件的情況發(fā)出報警，終止已運行的禁用軟件的進(jìn)程。 非法外聯(lián)問題作為內(nèi)網(wǎng)中的計算機，應(yīng)該是專機專用，因此接入系統(tǒng)的計算機應(yīng)該禁止與內(nèi)網(wǎng)或互聯(lián)網(wǎng)等其他外部網(wǎng)絡(luò)發(fā)生直接或間接的連接。但是可能有個別的工作人員，將專用計算機挪作他用，或是為了上網(wǎng)瀏覽信息、玩游戲、發(fā)私人郵件等目的與 Inter 連接，從而造成外網(wǎng)與政務(wù)內(nèi)網(wǎng)或互聯(lián)網(wǎng)等其他外部網(wǎng)絡(luò)發(fā)生直接或間接的連接，可能造成以13 / 34下后果：(一)破壞整體安全防護體系。網(wǎng)絡(luò)的安全是靠整體的安全防護體系來保證的，在這個防護體系里除了必要的安全防護措施以外，還需要建立一系列的管理規(guī)章制度，通過這些制度限定人們的網(wǎng)絡(luò)行為。非法外聯(lián)行為看似小事，但卻是對整體安全防護體系的嚴(yán)重破壞。它在內(nèi)網(wǎng)與其他外部網(wǎng)絡(luò)之間，開辟了一個不經(jīng)過安全防護機制檢查的“后門” ，這個“后門”使整個網(wǎng)絡(luò)的安全性大大降低。（二）引入惡意的入侵。非法外聯(lián)具有一定的隱蔽性，管理人員不易發(fā)現(xiàn)，沒有一定的手段，很難對此進(jìn)行必要的防護，容易遭受惡意的入侵。安裝著桌面操作系統(tǒng)的客戶機的安全性明顯低于網(wǎng)絡(luò)操作系統(tǒng)的安全性，存在著許多安全方面的隱患，在缺少安全防護措施（如防火墻等）的條件下，很容易被攻破。來自互聯(lián)網(wǎng)的惡意入侵者可以輕而易舉地入侵和控制這臺計算機，使入侵者獲得網(wǎng)絡(luò)內(nèi)的合法身份，它可以訪問網(wǎng)絡(luò)中的信息資源，可以對重要服務(wù)器進(jìn)行漏洞掃描、入侵嘗試。如果這些服務(wù)器沒有采取入侵檢測等進(jìn)一步的防護措施，惡意入侵者就可以比較容易地獲取這些服務(wù)器的訪問、控制權(quán)限，隨意地竊取、篡改和刪除重要敏感的數(shù)據(jù)，安裝木馬程序、病毒程序，中斷其正常的服務(wù)，使單位蒙受巨大損失。（三） 、引起病毒的感染和傳播。目前計算機病毒越來越泛濫，危害越來越大，一個普通的病毒可能會造成整個計算機網(wǎng)絡(luò)的癱瘓，而各種計算機病毒都匯集在互聯(lián)網(wǎng)上，不采取任何防護措施而隨意地訪問互聯(lián)網(wǎng)，很容易造成這些病毒傳播到系統(tǒng)內(nèi)部，影響正常業(yè)務(wù)工作的開展。非法外聯(lián)行為存在著將外部網(wǎng)絡(luò)病毒入侵的隱患。（四） 、為不良信息（例如反動、色情信息）的訪問和傳播提供了途徑。從上邊的分析可以看出，非法外聯(lián)具有很大的危害性，因此作為安全管理及監(jiān)控系統(tǒng)，應(yīng)該對非法外聯(lián)的行為進(jìn)行監(jiān)視，一旦發(fā)現(xiàn)這種現(xiàn)象及時通知各級管理人員，在必要的情況下可自行將這些連接斷開，保護內(nèi)部網(wǎng)絡(luò)的整體安全。 網(wǎng)絡(luò)拓?fù)洳榭磁c安全事件定位困難在安全事件發(fā)生時，往往管理人員最初僅能獲取到事故計算機的 IP 地址和 MAC 地14 / 34址等基本信息，無法迅速定位到其實際物理位置和用戶，從而延誤對重要安全事件的處理。內(nèi)網(wǎng)安全系統(tǒng)應(yīng)能提供根據(jù)計算機的基本信息，迅速定位物理位置和用戶的手段。當(dāng)網(wǎng)絡(luò)不通時，可以查看網(wǎng)絡(luò)拓?fù)渲械慕粨Q機該端口的狀態(tài)，端口工作正常，則說明是網(wǎng)絡(luò)完好，是主機自身系統(tǒng)或網(wǎng)卡驅(qū)動問題；若端口工作異?；虿还ぷ?，則說明網(wǎng)絡(luò)存在問題，可以繼續(xù)排查。目前，絕大多數(shù)的網(wǎng)絡(luò)設(shè)備都能夠支持簡單網(wǎng)絡(luò)管理協(xié)議（SNMP） ，所以可以通過SNMP 協(xié)議，達(dá)到自動網(wǎng)絡(luò)拓?fù)涔δ埽瑢崿F(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的自動發(fā)現(xiàn)，從而實現(xiàn)對實際物理位置的迅速定位，同時輔以設(shè)備信息管理功能，實現(xiàn)具體用戶的定位。自動網(wǎng)絡(luò)拓?fù)涫窍到y(tǒng)依據(jù)網(wǎng)絡(luò)的路由信息，自動查找整個網(wǎng)絡(luò)的路由設(shè)備、網(wǎng)絡(luò)交換機以及主機，根據(jù)這些網(wǎng)絡(luò)設(shè)備信息生成并以直觀的圖形方式顯示網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。當(dāng)網(wǎng)絡(luò)管理員已經(jīng)知道了某臺或多臺設(shè)備的 IP 地址，可以用單個網(wǎng)絡(luò)拓?fù)浠蚨鄠€網(wǎng)絡(luò)拓?fù)涔δ?，直接拓?fù)浒l(fā)現(xiàn)設(shè)備。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的顯示方式可以按照用戶的愛好自行拖拽編排，從而以最方便直觀的方式展示網(wǎng)絡(luò)結(jié)構(gòu)。 服務(wù)器與端口監(jiān)控困難隨著計算機越來越滲入工作，計算機使用領(lǐng)域日益拓展，計算機相應(yīng)提供服務(wù)逐漸增多，服務(wù)器也逐漸增多，服務(wù)器群越來越龐大。這些計算機、服務(wù)器上的服務(wù)對單位公務(wù)員的工作日益重要，與此同時，對這些服務(wù)運行狀況的監(jiān)控變得日益困難?？抗ぷ魅藛T每周、每日的巡檢已經(jīng)越來越不能滿足工作的需要。因為現(xiàn)在單位機構(gòu)日益精練，公務(wù)員工作效率大大提高，一專多能是主要的特點，計算機網(wǎng)絡(luò)管理人員身兼數(shù)職，工作負(fù)荷很重，繁瑣地巡檢會消耗大量的工作人員的精力和時間。同時，因巡檢方法本身的局限性，巡檢的效率和效果總是不能令人滿意，但人工巡檢的頻度和時間的消耗總是相矛盾的。 缺乏完整的用戶授權(quán)認(rèn)證系統(tǒng)身份認(rèn)證服務(wù)是幫助系統(tǒng)識別用戶的身份，決定并控制他們在網(wǎng)絡(luò)上能干什么工作，即所謂的授權(quán)管理。本內(nèi)網(wǎng)安全管理系統(tǒng)在信息系統(tǒng)中實現(xiàn)對用戶的身份鑒別、實現(xiàn)信息的保密性、完整性、真實性和抗抵賴性等保護，采用當(dāng)今流行的高強度安全策略——我國自主知識產(chǎn)15 / 34權(quán)的 PKI 技術(shù)為基礎(chǔ)的數(shù)字證書技術(shù)。應(yīng)用系統(tǒng)可以基于數(shù)字證書以及相關(guān)的經(jīng)國家有關(guān)部門認(rèn)可的密碼算法認(rèn)證登錄系統(tǒng)的用戶的真實身份，進(jìn)行數(shù)字簽名和驗證簽名，采用數(shù)字簽名技術(shù)解決抗抵賴性和數(shù)據(jù)完整性的的問題，利用安全系統(tǒng)提供的加密算法，解決信息的保密性問題。16 / 34第 4 章 系統(tǒng)架構(gòu)與內(nèi)網(wǎng)安全解決方案 eCop 系統(tǒng)架構(gòu) L A NX領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端 X領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端 L A NX領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端 X領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端L A NX領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端 X領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端L A NX領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端 X領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端 L A NX領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端 X領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端L A NX領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端 X領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端 L A NX領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端 X領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端 L A NX領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端 X領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端L A NX領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端 X領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端領(lǐng) 導(dǎo) 的 終 端藍(lán) 線 表 示 I P 地 址 數(shù) 據(jù) 流 向 ，紅 線 表 示 客 戶 端 管 理 數(shù) 據(jù) 流 向I P 地址管理代理端e C o p 中央控制端e C o p 客戶端eCop 的體系結(jié)構(gòu)如上圖所示，在內(nèi)部網(wǎng)絡(luò)部署一臺 eCop 中央控制器，它基于瀏覽器/客戶端模式設(shè)計，采用軟硬件一體化的功能服務(wù)器設(shè)計方式。同時，在內(nèi)部網(wǎng)絡(luò)中各被管理計算機上安裝相應(yīng)的客戶端程序，對各客戶機進(jìn)行管理、監(jiān)視和控制。每一臺接入內(nèi)部網(wǎng)絡(luò)中的計算機設(shè)備必須下載安裝客戶端程序，或者在 eCop 中央控制器上保存其 IP 及 MAC 地址配置信息，否則將會被管理系統(tǒng)認(rèn)為是非法接入內(nèi)部網(wǎng)絡(luò)，客戶端程序的下載安裝由各客戶機通過瀏覽器連接到控制器后自動完成。整個系統(tǒng)支持在線升級，控制器系統(tǒng)進(jìn)行升級后，客戶端程序可以按照控制器端的配置在啟動時自動升級。eCop 以 Java、Web 技術(shù)為架構(gòu)，采用面向?qū)ο蠛?Me