由于网络系统的开放性, 以及现有网络协议和软件系统固有的安全缺陷, 使任何一种网络系统都不可避免地, 或多或少地存在着一定的安全隐患和风险。传统的安全解决方案都是把目标重点放到边界上, 往往忽略了内部网络安全。现有的安全措施没有发挥应有的作用, 网络管理人员无法了解每个网络端点的安全状况, 疲于奔命也无法解决各种终端安全与管理问题。
本论文将主要对内网中网络通信环节的安全监控体系进行设计与探讨, 以期和同行分享。
1 内网通信行为审计监控系统设计
1.1 总体功能设计
内网通信审计监控系统是一种分布式网络用户行为监控系统, 将用户访问控制、网络行为监管、主机安全审计等功能集为一体, 具有控制范围广、监控功能多、监控效率高、自身安全性高等特点, 主要在该系统中实现以下功能目标。
(1) 安全策略的访问控制。
基于安全策略的访问控制是由系统控制台和受控主机代理以分布式协同方式执行的: (1) 控制台提供安全策略的定义、描述、修改、存储和下载功能。 (2) 监控代理将从控制台下载安全策略, 执行访问控制, 处理违规事件。
(2) 远程实时监视。
远程实时监视主要实现对受控主机屏幕操作行为进行实时监视, 采集有关行为数据。由于远程实时监视将产生大量的数据, 并且随着受控主机的增多, 数据量将会成倍地增加, 对数据的采集、传输、处理和存储都会带来很大的负面影响。
为了降低不利的影响因素, 控制台应当对远程实时监视操作进行管理和控制。可选择监视项目、可随时启动或停止某一监视项目、可选择存储监视数据、可选择监视数据展开方式等, 另外采用了先进的数据压缩技术和网络过滤技术来减少监控的数据信息量。
(3) 控制台安全管理。
控制台安全管理主要涉及日志管理、安全审计、用户管理和系统管理等, 其中系统安全控制包含重要数据的加密传输和重要文件的完整性检查。
1.2 体系结构设计
该内网通信监控体系是一个内网行为监管审计系统, 运行于内部网中, 采用集中式管理、分布式控制结构对网络用户操作行为进行监管, 并提供事后安全审计功能。系统主要分为两个子系统:集中式管理中心称为控制台, 分布式控制节点称为监控代理, 可以在内部网中部署多个监控代理。
在该系统中, 控制台和代理之间是双向的C/S模式, 通信采用DES加密。代理程序作为服务, 随着操作系统的启动而启动, 向控制台进行登录, 并进行控制台的身份认证。控制台实时检测已经注册过的所有代理状态, 并提供安全管理功能。
(1) 监控代理:部署在内部网中需要安全保护的节点上, 当用户登陆进入操作系统时, 监控代理以系统服务的方式启动, 并对客户的各种行为进行权限控制和行为跟踪。用户身份使用用户名、用户机的硬盘序列号以及MAC地址和IP地址进行识别, 每个用户由管理员在监控管理平台上赋予不同的操作权限, 并在自己有效的权限内进行文件操作、网络访问操作、外设操作、系统登陆操作等行为。
(2) 控制台:作为网络通信监控系统的控制中心, 安装在内网中一台服务器中, 存储内网中各个PC用户机的访问操作权限和系统规则, 所有不在监控审计之下的PC用户和PC将不能访问网络资源和本地资源, 也不能进行各种操作行为。管理员可以在监控服务器管理平台上建立和修改用户信息, 建立和修改审计规则, 监控客户PC行为, 管理和审计日志, 在线分发升级信息等。
2 内网通信监控体系实现的关键技术分析
2.1 应用层数据内容过滤的实现
应用层数据内容过滤针对的是网络数据中包含的内容而进行的过滤, 该模块监控的网络行为包括:浏览Web页面行为, 收发邮件行为等网络通信。在安全策略设计上, 考虑到用户上网行为的频繁性, 多样性, 采取策略给出的都是禁止的, 没有给出的都是允许的这一策略模式。监控代理程序根据安全策略进行过滤监控, 记录违规行为, 并将违规行为作为日志信息保留, 供控制台察看审计。
应用层数据内容过滤模块主要是改变了系统基础服务提供者的顺序, 将自定义的服务提供者置于服务提供者链的最首当用户应用程序使用Winsock2 API函数时, Ws2_32.dll会调用自定义服务提供者的接口函数, 经过自定义接口函数的处理后再调用系统Winsock2 SPI函数, 执行所请求的服务。这实质上就是在Winsock2 API层和Winsock2 SPI层之间挂接一个自定义接口, 自定义服务提供者主要对系统服务提供者的6个关键函数进行HOOK, 从而完成通信内容的过滤功能。
2.2 传输层请求访问控制的实现
以往的基于传输层访问安全策略用户的可控制动作只有允许或禁止, 而这种模式存在缺陷:像系统有些访问网络的服务, 一旦禁止其访问网络, 系统会失掉一写本来必要且安全的功能。
本系统中的传输层访问请求控制模块在策略设置上对以往单一的模式进行了改进和补充, 即未允许表示禁止, 而允许并不是完全的允许。对一个进程而言, 该策略模式已不是简单的允许或禁止, 而是更具体, 更细致, 可以设置允许或禁止该进程使用本地的某个端口地址段, 也可以设置允许或禁止该进程访问某个远程IP地址段的某个端口地址段, 利用该过滤控制策略, 能够实现进程访问网络端口时的信息安全性。
3 结语
近几年网络安全事件频繁发生, 各种蠕虫病毒利用系统漏洞传播不断爆发, 严重影响网络正确运营, 甚至导致网络与系统瘫痪、重要信息泄密;而传统的安全技术与方案主要保证网络边界的安全, 内网安全成为企业管理的隐患。针对此问题, 本论文研究了内网通信行为审计监控系统, 此系统运行于内部网中, 采用集中式管理、分布式控制结构对网络用户操作行为监管, 并提供事后安全审计功能, 具有对网络应用 (如邮件行为) 和访问网络的应用程序 (包括用户进程和系统进程) 按照安全策略进行监控的功能, 对于进一步提高内网通信安全管理的研究和应用具有一定的推广和实践应用的价值。
摘要:针对目前网络安全体系普遍重视边界安全防护而忽略了内外通信安全的现状, 本论文对内网通信行为安全审计监控系统进行了设计与研究, 给出了内外通信安全监控体系的功能设计目标与系统结构方案, 并在此基础上重点对实现系统的关键技术展开了分析, 从应用层数据内容的过滤和传输层访问请求的控制两个角度进行了论述, 对于进一步提高内网中网络通信安全监控系统的研究和应用具有一定的借鉴和指导意义。
关键词:内网安全,网络通信,监控体系
参考文献
[1] 王宏健, 邵佩英, 张籍.基于Linux防火墙Netfilter的安全应用的设计方法[J].小型微型计算机系统, 2001 (12) :32~34.
[2] Nicholas Wells[著], 张震宇[译].Linux网络与安全指南[M].北京:北京科学出版社, 2004.
[3] 赵丽华, 卢旭英.网络实时监控系统的设计与实现[J].NetSecurity Technologies and Application, 2001, 9 (8) :35~37.
【内网中网络通信安全监控体系的设计研究】相关文章:
基础医学实验教学质量监控体系的设计研究09-11
水电站自动化监控保护及通信系统设计的研究09-11
基于云计算的大学校园网络体系的设计研究09-11
基于TQM理念的高校教学质量监控体系研究09-10
大数据背景下企业网络信息安全技术体系研究09-11
监控系统设计的通信网络论文04-22
质量监控体系思考研究论文04-24