网卡方式违规外联监控技术的研究和实现.pdfVIP

网卡方式违规外联监控技术的研究与实现 苗春卫1，2 王思叶1，2 马百铭3 国家保密科学技术研究所1 中共中央办公厅保密技术攻防重点实验室2 深圳金城保密技术有限公司3 摘要本文对违规外联方式、安全隐患及常见违规外联监控技术进行了研究，并重 点针对网卡方式提出了基于C／S(客户端／)lft务器)架构的违规外联监控技术的实现方 法，解决了内网计算机复杂多变的网卡方式违规外联监控的问题。 关键词 违规外联双机架构C／S架构探测阻断 1 引 言 违规外联在相对封闭的内网打开了一个缺口，带来了很多安全隐患。一方面，外部的 攻击者能够绕过内网自身的防护手段如防火墙、入侵检测系统等，顺利侵入违规外联的内 网计算机，窃取内部敏感信息。另一方面，攻击者可利用该计算机作为攻击的跳板，侵人 整个网络，并植入病毒和木马程序，从而进一步的感染整个内网，严重的可造成内网工作 瘫痪或者大量敏感信息被窃取。 违规外联的方式主要由拨号、外设、网卡等方式组成。其中，拨号方式是指内网计算 计算机通过1394口、串口、并口、红外、蓝牙等外设接口接入外网(包括互联网或者其 他禁止与内网连接的网络)中计算机或者其他可交换数据的信息设备。网卡方式是指内 网计算机通过双网卡或者更换网线接人外网。 拨号方式、外设方式都是基于拨号设备和外设接口自身进行违规外联，可以根据策略 选择直接禁用相应设备的方式实现。网卡方式的违规外联相对复杂，内网计算机既可以通 过双网卡同时连接内网和外网，又可以通过更换网线由内网直接转换到外网。既可以在线 违规外联，也可以离线违规外联。与此对应，相对于拨号方式、外设方式等违规外联监控 技术，网卡违规外联监控技术的实现难度较大，必须在违规外联监控技术手段基础上采用 合适的判别机制，才能真正有效的监控网卡违规外联的行为。 ·195· 第十九届全国信息保密学术会议(IS2009)论文集 2常见的违规外联监控技术研究 2．1监控机制 违规外联监控机制主要有两种，一种采用双机架构，另一种采用C／s(客户端／服务 器)架构。两种监控机制的对比分析如表l所示。 表1违规外联监控机制对比 监控机制 实现方式 优 点 缺 点 (1)分为监控中心和报警中心。安装简单，用户端不需 (1)用户采用个人防火 (2)监控中心安装在内网，通 墙可以屏蔽探测包，从而 要安装软件 过主动发送帧探测包对内网的 躲避监控，产生漏报。 主机进行违规外联探测，其中 (2)必须在线检测，用 探测包的源地址模拟为报警中 户脱离内网即可脱离 心的IP地址。 监控。 双机架构 (3)报警中心安装在互联网， (3)仅能报警，无法阻 负责解析违规外联报警信息。 断违规外联。 (4)如果主机正在连接互联网， (4)功能单一，无法防 则监控中心发送的探测包会诱 止用户通过红外、蓝牙等 导该主机自动转发报警信息至 外设方式违规外联 报警中心。报警中心经过解析 后进行报警 (1)分为监控代