内网安全技术研究

摘要：在网络安全领域，内网的安全问题已逐渐成为研究的焦点。首先介绍了内网安全的现状，然后对内网安全的威胁进行了全面、深入的分析，并针对这些威胁提出了相应的安全解决方案，最后设计了内网安全管理的原型系统。

关键词：内网安全；安全威胁；监控

中图分类号：TP393文献标识码：A文章编号：16727800（2012）009013103

0引言

长期以来，人们谈到网络安全都是指一些外部的病毒入侵、黑客攻击，常规防御理念往往局限于利用网关、网络边界设备等进行防御，然而很多这方面的技术对保护内网却没有效用。大量关于黑客入侵、病毒攻击的报道，将人们的注意力导向到重视防范来自外部的攻击，却忽视了来自内部的安全威胁。内部人员误用、滥用、恶用内网资源，盗窃机密数据等严重破坏信息安全的行为，已成为网络中的主要威胁。对此，人们不仅缺乏必要的认识，也缺少合适的防范工具与处理手段。

1内网安全威胁

FBI和CSI在2005年的调查结果显示：将近50%的安全威胁来自内部网络的误用，有35%来自未授权的访问，有10%来自专利信息被窃取，有8%来自内部人员的财务欺骗；在损失金额上，未授权的访问导致了31 233 100美元的损失，专利信息的窃取导致了30 933 000美元的损失，内部网络的误用导致了6 856 450美元的损失，内部人员的财务欺骗导致了2 565 000美元的损失，总计达71 587 550美元。这组数据充分说明了内网安全的重要性，也提醒我们应尽快加强内网安全建设。

内网安全的目标就是要建立一个可信、可控的内部安全网络，内网90%以上的设备由终端主机组成，因此它当之无愧地成为内网安全的重中之重。安全、有效地监控终端主机，必须首先了解来自内部网络的安全威胁。

1.1非法外联

内部人员使用拨号、宽带等方式接入外网，使本来隔离的内网与外网之间开辟了新的连接通道，外部的黑客攻击或者病毒就能够绕过原本连接在内外网之间的防护屏障，顺利侵入非法外联的主机，盗窃内网的敏感信息和机密数据，造成泄密事件。

1.2使用软件违规

内部人员出于好奇或者恶意破坏的目的，在计算机上

（3）基于理解的分词法。此法主要以句法分析、语法分析为依据，结合语义分析进行分词。即在分词的同时要从语料库中的句法、语法，结合语义进行分析，模拟人的思维对句子进行理解，在理解的基础上进行分词。该方法处理流程比较复杂，在实际应用中工作量很大，目前还不能全面推广。

5结语

本文阐述了基于地铁运营服务行业网络舆情监控系统的实现，主要从业务需求、系统框架、关键技术三个方面对舆情监控系统进行了全面解构。采用网络舆情监控系统对网络舆情进行收集、分析、整理，建立起全面高效的舆情监控预警机制。

通过实行网络舆情监控，能够了解舆论动向，从而制定应对策略，并及时采取措施。因此，网络舆情监控对于了解社情民意，缓解舆论压力，促进地铁运营服务质量和管理水平的提高具有重要意义。

安装使用一些黑客软件，从内部发起攻击。还有一些内部人员安全意识淡薄，没有安装指定的防病毒软件等等，这些行为都对内网安全构成了重大威胁。

1.3外设接口使用不当

为了方便使用，计算机提供了各种大量的外设接口，如USB接口、串行接口、并行接口、软盘控制器、DVD/CD-ROM驱动器等，而这些外设接口都可能成为信息泄漏的途径。

1.4外部设备管理不当

如果不加限制地让内部人员在内网主机上安装、使用可移动的存储设备，如软驱、光驱、U盘、移动硬盘、可读写光盘等，会通过移动存储介质间接地与外网进行数据交换，导致病毒的传入或者敏感信息、机密数据的传播与泄漏。

1.5重要文件缺乏保护

计算机内部的相关机密文件被随意进行篡改、删除等操作，个别内部人员对文件进行了共享操作，从而有意无意地造成了内部信息泄漏。

1.6打印机的滥用

一般内部的关键资料不允许打印带出，这些关键资料包括重要的设计图纸、设计文档、参考文献等。对于这些重要电子文档的打印，要进行严格的登记和日志记录，登记所有打印机上的打印记录，以便为资料泄漏提供强有力的线索和证据。

2内网安全管理系统

内网安全首先假设所有的内部网络都存在安全威胁，相对于外网有着更细粒度的安全管理控制，直接控制到主机系统，甚至是数据文件本身，这样就极大地提高了安全性。方案要能保障内部主机与网络系统稳定、可靠地运行，确保内部信息与网络资源受控、合法地使用，确保内部重要信息的安全与保密。

2.1系统概述

桌面安全管理系统的出现为内网安全提供了一个较好的解决方案，它是一种基于“内部用户不可信”前提的内网安全类产品。它需要对各种类型的操作系统进行研究和控制，结合访问控制、操作系统核心技术、网络驱动、密码学、数据安全等技术手段，对信息、重要的内部数据等敏感信息、信息载体及信息处理过程实施保护，使之免遭违规或非法操作的威胁，并能够完整记录相应操作的日志。

从产品功能和实现的安全目标来看，桌面安全管理系统似乎和主机审计类产品有些相似，两者都涉及到了对操作的日志审计和对主机的控制，也就是“监”和“控”。其实两者是有区别的：主机审计类产品主要侧重于对系统信息和操作的监视、审计，也就是“监”；而桌面安全管理系统不仅能够进行日志审计，更重要的是它的控制功能很强大，因此重在“控”。桌面安全管理系统可以对客户端主机进行实时监控，还可以通过实时修改下发安全策略对客户端主机进行更为严格、粒度更细的控制，从而保证在发生内部安全事件时，能够做出及时、有效的响应；在事后可以通过查看各种审计日志，形成有力的“佐证”，以便对相关人员进行责任追究。

2.2系统结构

桌面安全管理系统根据其功能要求一般分为3个部分：服务器、控制台和客户端。各部分关系如图1所示。

服务器是桌面安全管理系统的核心部分，包括服务程序和后台数据库，一般安装在一台具有高性能CPU和大容量内存的主机上。服务器主要负责将管理员指定的各种安全策略下发到各个客户端，接收客户端收集的各种数据信息存入数据库，并将适当的数据传递给控制台显示。

控制台是系统与管理员的人机接口，是服务器的操作界面。既可以安装专门的控制台软件，通过GUI界面管理服务器，也可以使用浏览器，通过Web界面来管理服务器。管理员通过控制台可以实现管理配置安全策略、系统管理、参数配置、事件管理和日志审计等功能。

客户端是部署在被监控主机上的软件，它主要负责执行管理员下发的安全策略和管理命令，收集主机相关的数据并传输给服务器。

2.3系统安全及性能

终端安全管理系统采用密码学技术，对服务器和客户端、服务器和控制台之间的通讯数据进行了加密处理，保证各组件之间的通信信道的安全性。管理员设置的各种安全策略在客户端主机离线的状态下仍然能够生效，而且在此期间对主机的各种审计日志仍然会正常记录，在客户端主机再次连入内网以后，审计日志就会自动上传到服务器，这样就能够避免主机在离线状态下的违规操作。由于客户端是安全策略的最终执行者和主机信息的收集者，因此其自身的安全保护尤为重要。终端安全管理系统采用各种技术手段来防止客户端在正常模式和安全模式下，进程和服务被恶意停止、程序被恶意卸载、下发的安全策略和各种配置文件被恶意修改和删除，保证客户端能够正常运行，使管理主机时刻对各台计算机进行有效监控。

桌面安全管理系统的主体架构一般采用C/S模式，客户端应用占用主机的系统资源很小，不会影响到主机的正常运行；同时对内网带宽的占用也很小，因此能够在不影响正常工作的前提下最大程度地完成内部数据的保护以及内网安全管理工作。

2.4内网安全管理系统的实现

2.4.1监控程序

读模块负责从操作系统的审计日志文件中读取连续的审计日志数据，并将其转换为一个便于存取操作的通用记录格式，传送给数据分析模块。数据分析模块根据安全规则对收到的审计数据进行分析。如果安全规则给出了明确的响应动作，则向动作响应模块发出动作指令，同时向发送模块传送匹配的数据记录。发送模块负责将接收到的数据传送给监控信息中心服务器。接收模块负责接收控制中心传来的安全规则和动作指令，刷新安全规则和向动作相应模块发送动作指令。动作响应模块负责切断用户与系统的连接和封锁用户系统帐号。各模块关系框图如图2所示。

2.4.2监控信息中心

监控信息中心服务器的接收模块负责接收多个监控发送的数据，并传送给数据分析模块。数据分析模块根据安全规则对接收到的数据进行分析，通过发送模块将动作响应传送给特定的监控。报警信息通过管理模块传送给管理员控制台，同时归档的数据存入数据库中。管理模块为管理员控制台提供安全监控系统的各种管理、监控与数据分析服务，包括修改和部署安全规则，查询和分析数据库的审计数据，并通过发送模块向各个监控部署新的安全规则和发起响应动作。如图3所示。

2.4.3管理员控制台

管理员控制台可以集中显示安全报警信息，拥有对归档审计数据的分析和查询功能，并且安全管理员能够对主机安全监控系统进行安全策略的集中配置和部署。主要分为7个模块：用户界面模块、身份认证模块、报警模块、统计分析模块、策略编辑模块，系统状态模块和通信模块（发送与接收）。如图4所示。

3结语

目前，市场上已经存在一定数量的内网安全管理产品，例如：中网信息技术有限公司的中网桌面安全管理系统、北京天融信科技有限公司的网络卫士安全管理系统等，这些产品都是针对内网安全威胁和内网安全管理系统的功能等方面设计的，对这些产品进行分析和比较，我们发现各个产品的功能主要方面差异不大，只是在个别功能和性能上有所不同，在使用的模式和系统的稳定性上也参差不齐。随着公安信息系统信息化建设的发展，公安内部网络安全问题也日渐突出，打造适合信息化发展需要的内网信息安全产品十分必要。

参考文献：

[1][美] CHRISTOPHER ALBERTS，AUDREY DOROFEE.信息安全管理[M].北京：清华大学出版社，2011.

[2]DAN FARMER，WIETSE VENEMA.Improving the security of your system by breaking into it[EB/OL].http：///docs/inprove_by_breakin.

[3]罗森林.信息系统安全与对抗技术[M].北京：北京理工大学出版社，2010.