论文新型违规外联监控系统的设计和实现是大学硕士与本科外联毕业论文开题报告范文和相关优秀学术职称论文参考文献资料下载,关于免费教你怎么写外联方面论文范文。
【 摘 要 】 文章深入研究了违规外联发现与阻断技术,针对传统违规外联监控系统的不足,设计了一种新的内网计算机和移动存储介质违规外联行为监控系统.该系统构建了全方位、多层次、立体化的内网安全风险管理模型,通过主动方式发现违规外联有效避免了国内同类软件存在漏报、误报的问题,通过摄录QR 码(Quick Response Code)方式将互联网数据向内网单向传输极大地简化了硬件部署、缩短了响应时间,通过对进程的操作系统驱动级保护确保系统智能代理常态化运行,通过对Windows平台底层数据包的控制确保外联阻断的有效性,最终实现防止内网计算机终端和移动存储介质违规外联的目标.
【 关键词 】 违规外联;内网安全;底层驱动
【 中图分类号 】 TP393.08 【 文献标识码 】 A
1 引言
随着互联网的飞速发展和网络攻击技术的不断更新,网络安全形势日趋严峻,网络失窃密事件时有发生.为了防范来自互联网的入侵和攻击,各单位各部门建立了与互联网物理隔离的内网来存储和交换涉密信息,同时部署入侵检测、网络防病毒等安全设备和系统,在一定程度上保障了内网信息安全.但是,一旦内网用户将内网计算机离线或在线接入互联网,内网终端或全部内网将完全暴露在互联网之中,如果违规接入互联网的计算机被控制,损失将难以估量[1].特别是涉密便携式计算机更加容易被无意接入互联网,容易遭受“摆渡攻击”,造成失泄密事件.基于此,加强内网主机和存储介质违规外联行为的监管迫在眉睫.
2 系统总体设计
2.1 系统结构组成及功能
系统由集中管控中心、告警审计中心、互联网监测服务器和智能代理四部分组成.
集中管理中心由决策管理模块和信息加密模块组成.集中管理中心完成系统管理和控制功能.
告警审计中心由审计取证模块和查询统计模块组成.告警审计中心完成违规外联发现告警和违规事件审计取证功能.
互联网监测服务器由外联监控模块组成.互联网监测服务器负责对违规外联的计算机进行监测,提供查询和报表统计等功能.
智能代理由终端管控模块组成.智能代理是安装在计算机操作系统的系统客户端程序,只要计算机非法联接互联网,智能代理就会主动向互联网监测服务器发送信息.同时,加装了智能代理的计算机被插入移动存储介质或进行光盘刻录时,智能代理程序会在用户不知情的情况下复制到移动存储介质或光盘上,如果再将移动存储介质或光盘接入互联网,移动存储介质或光盘上的智能代理程序会自动运行,也会主动向互联网监测服务器发送信息.
2.2 系统部署模式
系统支持分级部署,集中管理.在内网分两级部署告警审计中心,同时在内网部署集中管控中心,对各个告警审计中心实施集中管理;在互联网上部署互联网监测服务器;在被监控终端上安装智能代理.
3 系统关键技术及实现
3.1 违规外联发现
针对用户先从物理上断开与内网的联接再进行非法上网的情况,传统的解决方案通常是直接阻断[2],但常常导致管理员无法及时发现用户的违规外联行为.本系统基于终端主动报告机制,使得互联网违规外联监测中心能及时发现和定位用户的非法行为,实现了实时监控告警和落地查人功能.
对主机的外联行为,同类系统多采用监测主机路由表变化等方式判定是否发生违规外联事件,这些方式都限于客户端本身知悉其状态的变化,无法远程监控[3].为了将这种变化上报,智能代理必须进行网络数据传输.有的系统采取自定义的通信协议,一旦用户开启了防火墙,很可能无法正常发送数据;也有系统采用“域名解析”方式发现外联.如果采取以上方法判断违规外联行为,漏报、误报和上报不及时等问题依然无法解决.本系统提出了新的违规外联发现方法:通过构造标准的HTTP协议请求数据包,伪装用户访问网页,能够顺利穿透防火墙,将主机的相关信息主动发送到互联网监测中心.通过返回的状态码,确认其违规行为后,再实施阻断,有效避免了使用特殊协议带来的不稳定性.
3.2 信息单向导入
出于保密的考虑,不能在互联网传输内网主机的详细信息,因此本系统为每台受控主机生成与其配置相关的唯一ID,在互联网仅传输该ID.同时在内网建立一个通过唯一ID索引的包含主机配置、单位、使用人等信息的数据库.根据智能代理的上报的ID,便可以查询到详细的注册信息.
QR 码(Quick Response Code)技术是近年来出现的一种矩阵二维码编码的技术,最大能在一幅二值图像中存储4000多个字符 [4].本系统将互联网监控中心得到的告警信息编号、违规外联终端ID等编码生成二维码图像显示在屏幕上.告警审计中心通过摄像头定时捕捉该图像,解码得到其中的信息.通过在图像中设置同步信息,确保传输的稳定性.仅需一个摄像头,便能达到很好的实践效果.通过采用QR 码图像识别技术,实现了隔离网间数据的单向导入,提高了系统的自动化程度.
3.3 连接阻断控制
Windows 的网络体系结构包括两个重要接口传输层驱动接口(TDI Transport Driver Interface)与网络驱动接口标准(NDIS Network Driver Interface Specification).
传输层驱动接口(TDI)实际上是一套接口的集合,这套接口连接着应用层的socket和底层的NDIS协议驱动,能够响应生成请求和控制请求.与网络驱动接口标准(NDIS)相比,TDI离应用层比较近,容易得到应用层的信息,比如一个连接建立后,如果获取了打开这个连接的进程号,也就得知了打开这个连接的应用程序.但不足之处也很明显,它不能截获如ICMP、IGMP、ARP等数据,也不能截获使用原始Socket发送的数据.为了应对这种情况,使用NDIS驱动过滤层来实现对网络流量的完全控制.
NDIS驱动有三种模块运行在三个层次上:协议驱动上层提供直接供应用层的Socket使用的数据传输接口;下层则绑定小端口,用于发送与接收以太网包;小端口驱动直接针对网卡,给协议层提供接收和发送数据包的能力;中间层驱动介于协议驱动和小端口驱动之间.
理论上NDIS中间层驱动可以做到拦截所有通过NDIS发送和接受的数据包,无论应用程序使用什么协议都无法绕过.本系统综合运用TDI接口过滤和NDIS中间层驱动过滤技术,有效控制应用程序的网络访问行为,进而阻断非法联接.
4 结束语
本文从内网安全管理所面临的实际问题出发,实现了具有涉密计算机违规外联监控、涉密移动存储介质违规行为监测等功能的违规外联监控系统,实现了对内网计算机终端和移动存储介质违规外联行为的发现与实时阻断.
参考文献
[1] 庞雄昌,王喆.一种改进的内网安全防护策略[J].计算机安全,2011,(12): 9-12.
[2] 刘贵明.违规外联监测系统设计和实现[J].信息安全与通信保密,2008(7):180-182.
[3] 孙娜.内网违规外联安全监控系统的研究与设计[D].北京:北京邮电大学,2006:6-8.
[4] 付裕,黄雅萍,刘晓强等.QR码抗倾斜识别方法的研究与应用[J].计算机应用与软件,2011 28(12):100-102,145.
作者简介:
潘峰(1979-),男,辽宁义县人,硕士;主要研究方向和关注领域:网络安全、信息集成.
李宝强(1981-),男,山东济南人,学士;主要研究方向和关注领域:网络安全.
张电(1979-),男,河南通许人,硕士;主要研究方向和关注领域:网络安全.
姚前进(1978-),男,安徽林泉人,硕士;主要研究方向和关注领域:信息网络管理.
总结:这是一篇与外联论文范文相关的免费优秀学术论文范文资料,为你的论文写作提供参考。
参考文献:
1、 一种基于数据中心的全景式运行监控系统的设计 【摘 要】信息系统监控领域多种类型的系统建设使得领域数据存储分散、功能独立可视化体验差。论文通过分析领域数据,基于多年信息化建设成果,实现监控数。
2、 派出所视频监控导侦系统的设计和实现 摘 要:针对目前已有的视频监控系统缺乏整体规划,各派出所之间的视频资源共享难以实现以及落后的单位自管探头模式这一现状,本文研发了基于位置准确、生。
3、 汽车超载监控系统信号传输模块的设计 摘 要: 当前的汽车超载监测系统无法处理汽车行驶状态的随机性问题,使得系统中的信号传输模块存在信号传输稳定性差和准确率低的弊端。因此,塑造汽车超。
4、 新疆煤田火灾监测监控系统设计 摘要:本文阐述了新疆煤田火灾治理的现状,论述了建立新疆煤田火区监测监控系统的必要性。根据煤田火灾的治理实际,设计并详细叙述了新疆煤田火灾监测监控。
5、 通信导航设备集中监控系统分析设计 摘 要:通信导航设备集中监控系统,集计算机网络技术、通信技术和自动化技术于一体的系统组成,完成对不同地方的远程监控的信息采集系统,常见的有:通信。
6、 网络视频监控系统总体架构设计 [摘 要] 网络视频监控系统与传统的视频侦控系统的网络结构类似,大体上包括视频图像及音频数据获取部分、网络传输部分、数据存储部分、以及终端监视控。