您的当前位置:首页正文

基于混合方式的违规外联监控措施研究

2020-11-01 来源:易榕旅网
基于混合方式的违规外联监控措施研究

发表时间:2016-03-01T11:42:15.223Z 来源:《电力设备》2015年8期供稿 作者: 马莉 郑岩鹏

[导读] 国网山东省电力公司滨州供电公司 本文简要分析了内网外联面临的严峻形势,详细介绍了当前应用的主要违规外联监控技术。 (国网山东省电力公司滨州供电公司 山东滨州 256600)

摘要:本文简要分析了内网外联面临的严峻形势,详细介绍了当前应用的主要违规外联监控技术。在分析对比现行违规外联监控技术优劣性的基础上,提出了新的防范内网违规外联的技术措施,从而有效减少了因违规外联引发的内网安全隐患,保障了内部网络的信息安全。

关键词:信息设备;违规外联监控;混合方式

1 引言

电力公司的信息化和数字化的发展伴随着信息泄露、数据丢失、病毒入侵、网络瘫痪等不安全事件对信息系统的挑战。结合全网信息网络现状及需求,从管理及技术上阻止入侵信息系统事件的发生,有效控制违规外联,提高公司信息内网的安全性。本论文主要研究以技术手段为主,管理手段为辅的方式,减少因违规外联引发的内网安全隐患,保障内部网络的信息安全。 2 现行违规外联监控技术

目前普遍采用的是双机方式违规外联监控和代理方式违规外联监控等两种监控技术。代理方式违规外联监控技术主要通过在终端部署代理驱动软件、监控终端数据包和路由表信息来监控违规外联行为。双机方式违规外联监控技术主要通过在内外网部署探测服务器、探测数据包的方式来监控违规外联行为。 1)代理方式违规外联监控

代理方式违规外联监控通过部署在内网终端上的违规外联监控代理软件来实现监控。违规外联监控代理和违规外联监控报警中心是代理方式违规外联监控系统的重要组成部分。

违规外联代理监控代理软件根据安全管理员设置的安全策略实时监控宿主内网终端的违规行为,并按照要求的格式和规定的频度把该宿主内网终端的相关信息上传至监控报警中心。当监测到内网终端有违规外联行为时,违规外联代理软件就会主动切断该内网终端的网络连接。违规外联代理软件能根据监控报警中心发布的策略进行更新和升级,并具备进程保护能力,以防被用户非法终止。

监控报警中心是指部署在内网服务器上对违规外联代理进行监控管理的程序。监控报警中心能实时响应违规外联代理发起的连接请求,并完成相应的信息传递,还能够根据管理员的要求对接收到的信息进行分类归档,以供安全审计。

代理方式违规外联监控过程如下:违规外联监控代理实时监控所在内网终端的上网行为,定期将收集到的内网终端信息发送到监控报警中心。当监测到异常情况时,违规外联代理就会立即上报监控报警中心,再由监控报警中心告知安全管理员。

相对于双机方式,代理方式违规外联监控的准确性有很大的提高,减少了误报、漏报的概率,并能及时阻断违规外联终端的网络连接。但这种方式也有其缺点:

(1)如果违规外联监控代理保护不当,被用户终止后,系统就无法再监控违规外联行为。

(2)如果安装在内网终端上的安全防护软件阻断了监控代理与监控报警中心之间的通信,那么监控代理就无法把监控到的异常信息上报给监控报警中心,将导致违规外联监控的失效。 2)双机方式违规外联监控

双机方式违规外联监控是通过TCP/IP 协议攻击欺骗的方式来实现的,监控系统主要由内网发包服务器和外网监控报警服务器两部分组成。系统部署比较简单。

双机方式违规外联监控的过程如下:内网发包服务器向内网终端发送探测数据包,该数据包的源IP 地址是外网监控报警服务器的IP 地址,联入外网的内网终端会把该回包响应发送给外网监控报警服务器,外网监控报警服务器即可将该违规外联告警发送给安全管理员,并记录该违规外联内网终端的相关识别信息。但双机方式违规外联监控存在以下缺陷:

(1)内网终端的安全防护阻断了内网探测包,导致违规外联的内网终端无法响应探测数据包。

(2)假使处于内部网络的计算机先断开内网,然后再接入外网,内网发包服务器的探测包就不会达到被监控的主机。

(3)如果违规外联内网终端的防护软件阻断了告警数据包的发送,那么监控告警服务器就收不到告警数据包,也就无法检测到违规外联事件的发生。

(4)由于此技术类似于网络攻击,所以存在被误报成病毒、恶意攻击的可能。

(5)在具有一定规模的内网中部署内网发包服务器较为复杂。电力企业的信息内网规模都比较庞大,包含了各类局域网,这些隔离的子网会阻断或者过滤内网发包服务器发送的探测数据包,导致探测数据包无法有效传递到各内网终端,需要在每个子网均部署发包服务器。

3 混合方式违规外联监控方案研究

在目前2 种违规外联监控解决方案的基础上,各取其长,提出了混合方式违规外联监控解决方案。混合方式解决方案由内网平台和外网平台组成,采取内网平台为主、外网平台为辅的系统架构,其中外网平台是1 台独立的外网违规外联监控服务器;内网平台由内网违规外联监控代理和违规外联监控服务器组成。

违规外联行为监控由监控内网主机路由表实现。任何主机要与其他网络通信必须要有到这个目标网络的路由。缺省情况下,企业内网主机的路由表中只有一条默认路由,其下一条地址就是本机网关地址。如果这个网关的IP 地址或MAC地址出现错误,就会导致主机与其他网络之间的通信不可达。所以,监控主机路由表是监控主机违规外联的有效方法。

违规外联监控代理定期轮询宿主主机的路由表,并将该路由表与基准路由进行比对,一旦出现基准路由信息与内网主机路由信息不一致,就记录该主机信息,并上报内网违规外联监控服务器,同时删除路由表,切断该主机的网络连接,阻断这次违规外联行为。如果无法

上报内网违规外联监控服务器,违规外联代理就向外网违规外联监控服务器上报,通过外网违规外联监控服务器将告警发送至信息安全管理员。

违规外联嫌疑行为主要指内网主机中断内网连接,再联入外网的行为。违规外联嫌疑监控是对违规外联监控预警的完善和补充。违规外联嫌疑行为一般发生在内网违规外联监控代理与内网违规外联监控服务器通信异常的情况下。当内网违规外联监控服务器没有收到内网违规外联监控代理上传信息,也没有收到内网违规外联监控代理上传的关机信号时,内网违规外联监控服务器就会向该主机的违规外联监控代理发送TCP 探测包。如果内网违规外联监控服务器未收到回复包,就说明该主机的网络连接已经断开,或出现了非法关机的情况。如果收到了该主机TCP RST回包,则说明该主机上的违规外联监控代理进程已经被屏蔽,系统就会生成违规外联嫌疑记录并上报网络安全管理员。如果没有收到回复,则说明该内网主机已经被防护屏蔽或网络物理连接已断开,监控代理将记录在违规外联嫌疑日志,待该内网主机联入外网时,监控代理就会把违规外联日志上报至外网违规外联监控服务器;或待下次监控代理正常连接内网监测服务器时,将情况上报;如果内网违规外联监控服务器监测到内网主机长期不在线,系统也会生成违规外联嫌疑记录并上报网络安全管理员。 4 结束语

本文主要对违规外联行为进行了分析,对当前的违规外联监控方案进行了深入的比较研究,并根据当前方案中的缺陷与不足,提出了改进违规外联的方案,有效的保证了信息内网的安全。 参考文献:

[1] 李建等.计算机网络安全的现状及探讨[J].计算机与数字工程,2000.09.07 [2] 谢家荣.涉密计算机保密防范技术研究[J].计算机与数字工程,2000,28(3) 作者简介:

马莉,1970.12.17,女,学历:大专。单位:国网滨州供电公司,研究方向:信息安全、计算机应用、网络工程。

郑岩鹏,1969.09.18,男,学历:大学本科。单位:国网滨州供电公司,研究方向:电气系统及其自动化、电力工程、电力系统安全。

因篇幅问题不能全部显示,请点此查看更多更全内容