1 引言

目前，在我国的各个行业系统中，都有大量的国家秘密存储在计算机和网络中。尤其是航天系统，其秘密信息往往涉及国家发展战略等重要内容，如何有效地保护这些信息的安全，是我们必须解决的问题。作为涉密单位，信息系统最基本的防护手段是将涉密内网和外部网络进行物理隔离。一直以来，安全防御理念局限在常规的网关级别(防火墙等)、网络边界(漏洞扫描、安全审计、防病毒、IDS)等方面的防御，重要的安全设施大致集中于机房、网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。但是在实际情况下，来自网络内部的安全威胁却是多数网络管理人员真正需要面对的问题。目前网络管理工作量最大的部分是客户端安全部分，对网络的正常运转威胁最大的也同样是客户端安全管理。因此，我们在设计网络安全系统、规划系统功能的时候应该将对用户行为的控制和限制纳入综合考虑中。

2 系统总体框架设计

系统设计的目标是防止涉密内网信息泄漏，这就要求系统构造一个逻辑上的内部网络安全域，对这个安全网络域内所有计算机上的重要信息的存储和传输实施访问控制、数据保护和日志记录，提供完善的集中管理控制机制、有效的安全策略管理和细致清晰的审计分析报告。这样才能够有效地防止内部网络重要信息通过各种可能途径被非法泄漏。要保证信息的安全，必须建立一套完整的内网防信息泄漏体系。功能包括计算机资源审计和管理、计算机网络防信息泄漏、计算机外设防信息泄漏。系统采用C／S结构，服务器(Server)通过客户端(Client)来实现对整个网络安全管理和安全监控参数的配置，并且定制相关的安全策略，还有一个数据库服务器，用于存放审计信息记录，用户访问记录，安全策略等。

服务器的功能如图1所示，网络数据包监听功能就是监听所有通过内外网的网络数据包：网络数据包分析功能就是把监听的数据包，进行分析，包括链路层分析、网络层分析、传输层分析、应用层分析，网络数据包管理功能就是根据网络数据包分析的结果根据安全策略进行过滤，计算机资源收集功能就是根据客户端反馈来的计算机资源记录，以备审计；计算机资源审计功能根据安全策略对收集到的计算机资源进行审计，例如发现计算机运行新的用户进程，添加了新的用户设备等。计算机资源管理功能就是对各个计算机进行相应的控制。安全策略的制定功能包括MC地址过滤策略、IP地址过滤策略、端口过滤策略、HTTP控制策略、邮件控制策略、外设控制策略等等的制定，计算机外设的管理包括对各种存储设备、计算机端口和打印机等的管理。

图1 服务器的功能

客户端的功能如图2所示，计算机外设管理功能就是根据服务器端制定的计算机外设管理策略对本机的存储设备、计算机端口和打印机等的管理；计算机行为监控功能就是时时监控计算机用户的行为，例如，定时发送截屏图片给服务器；计算机资源的收集功能就是收集本机所有的软硬件资源，反馈给服务器。

图2 客户端的功能

3 系统工作原理

网络安全系统应分为控制台和客户端两部分。控制台安装在内网服务器上，管理员通过控制台制定功能策略，通过控制台将策略下发到联入内网的客户端，同时接收来自客户端的信息；客户端安装在联网的各台计算机上，将无条件地接受下发的指令和策略。对于下发时未开机的客户端，指令和策略先行挂起，在客户端开机时进行更新生效；对于下发时已开机的客户端则即时生效。

4 系统功能设计
 
    4．1客户端非授权卸载
 
    客户端经控制台授权安装，且一经安装，非经控制台发出的卸载指令不可卸载。其原理是：卸载程序的存放和发起均在控制端，且客户端的权限仅为普通使用者，而非管理员。
 
    4．2连接网络设置
 
    客户端通过控制台分配的IP地址访问内网，且IP地址与客户端对应计算机的MA C地址绑定，做到一个IP地址对应一个MA C地址，从而将计算机进行户籍管理，客户端每次访问内网时均自动与控制台存储的该计算机信息进行核对，既防止了非授权计算机接入内网，又能够在违规计算机上控制或限制其行为。
 
    控制端通过内网将信任关系发送到客户端，控制客户端只能访问拥有信任关系的服务器等网络设备及其他客户端，从而杜绝了客户端电脑私自联入国际互联网的可能。
 
    4．3用户登录设置
 
    采用将用户信息导入USB Key，并将该USBKe y与用户使用的客户端进行绑定的方式。使用人需同时插入USB Key并输入密码，经控制台验证后方可登录或解锁，防止其他用户非授权使用该计算机。同时设置密码复杂度策略(设置字母大小写及数字、符号混用)和控制密码输入次数策略(密码多次输入不正确就锁定客户端)，可以避免用户密码设计过于简单以及其他用户试图多次尝试攻破密码的问题。
 
    4．4移动存储介质控制
 
    将需要在内网使用的移动存储介质在控制台上进行注册，经过注册的移动存储介质插入授权的内网计算机时，经过控制台的验证即可顺利使用；未经控制台注册的移动存储介质，由于在控制台上找不到对应的验证信息而无法使用。同时，经过注册的移动存储介质由于使用时需要验证，因此不能在没有安装客户端的计算机上使用，从而避免了互联网与内网由于信息的随意性传递导致泄密隐患。
 
    4．5客户端硬件的控制
 
    客户端用户在计算机上安装的硬件设备可能存在失泄密隐患，诸如光驱、蓝牙、红外线等接口关闭，策略下发到客户端后即可控制相应端口的使用。用户私自安装或更换硬件的情况可以通过网络自动发送到控制台或被控制台扫描得到，形成预警信息，协助管理员进行相应的处理。
 
    4．6客户端软件的控制
 
    客户端用户在计算机上未经授权安装的可能夹带病毒、木马等恶意代码，给客户端电脑乃至整个内网带来安全隐患，因此，控制台的下发策略应用包括限制其安装的策略，其原理是通过降低客户端用户的权限，使其只有使用的User权限或PowerUser权限而没有Administrator权限。准许安装时通过控制台授予以收回。即使用户采取非常手段将该计算机重新安装操作系统，由于安装在客户端的网络安全系统已经遭到破坏，该计算机与控制台的联系已经中断，控制台不能对该计算机进行验证通过，因此控制台仍会将该计算机视为非授权计算机，即使该计算机设置了原IP地址也已经不能访问内部网络了。
 
    4．7日志管理
 
    设定的管理员及用户的操作记录均应定期自动上传至存储服务器，并采用特殊格式形成加密存储，防止非授权的条目删除及修改，保证审计的真实性和可信性。
 
    4．8三员管理
 
    为保障网络安全系统的有效运行，系统的管理人员应分为以下三类：系统管理员负责在服务器和客户端上安装网络安全系统，并进行维护。安全保密员负责制定并下发控制台指令和策略，并对客户端的行为进行管理。安全审计员负责通过查阅服务器的日志对系统管理员和安全保密员的行为进行审计。三员的权限相互独立，互不交叉，从而防范违规事件的发生。
 
5 结束语
 
    本文通过对内网信息安全实际状况的分析，提出了一个完整而有效的内网防信息泄漏解决方案。它通过强化对网络终端计算机状态、行为以及事件的管理，解决了来自用户终端计算机大批量的安全管理问题，有效地实现了企业涉密内网安全的可控性管理。