面向等级保护涉密计算机入网监管系统设计与实现.docVIP

面向等级保护涉密计算机入网监管系统设计与实现 　　摘要：为解决涉密计算机入网监管问题，设计了一套面向等级保护的涉密计算机入网监管系统。该系统将WinPcap驱动与交换机信息中心服务作为开发基础，结合数据库与交换机网络绑定技术，实现涉密计算机入网管理和监控，满足网络安全防护管理要求。 　　关键词关键词：涉密计算机；入网监管；面向等级；WinPcap驱动 　　中图分类号：TP309 文献标识码：A 文章编号：1672-7800（2016）004-0179-03 　　0引言 　　随着信息技术和网络技术的发展，切实有效保障信息安全已成为信息化建设的重要组成部分，信息安全等级保护制度已成为国家的基本制度[1]。我国颁布的《信息安全等级保护工作实施办法》规范了信息安全等级保护管理，明确了等级保护工作开展的方法和流程，以推动信息安全保护工作向科学化、正规化方向发展[2]。本文以安全防护系统建设要求等相关文件为依据，在对涉密计算机入网现状分析的基础上，将WinPcap驱动与交换机信息中心服务作为开发基础，结合数据库与交换机网络绑定技术作为基础手段，设计了一套面向等级保护的涉密计算机入网监管系统。该系统实现了涉密计算机入网管理和监控，为网络安全防护管理提供了自动化手段。 　　1系统设计 　　1.1系统体系结构 　　涉密计算机入网监管系统具有网络监控与入网管理两大功能，将实名登记、网络监控与网络管理集成在一个系统平台上。网络管理员通过系统可以实现实名入网管理、网络资源管控、MIB浏览器、线路状态监视、线路流量测试、网络设备性能监控、网络数据流量统计、VLAN管理、交换机管理等功能。 　　基于交换机信息中心日志输出功能，通过SNMP协议传输至数据层，实现用户终端网络状态监控；将用户信息与交换机绑定技术结合，实现入网终端的接入管控；采用SNMP++协议包与VCL控件相结合，作为可视化开发的前台基础，实现网络管控的图形化显示[3-4]。系统拓扑与应用部署结构如图1所示。 　　涉密计算机入网监管系统通过交换机信息中心，调用网络流量、主机状态、资源分配、病毒报警等要素信息。 　　1.2系统功能模块设计 　　系统主要功能模块包括实名登记、网络监控和网络管理。实名登记模块记录入网用户详细信息，并实现上网终端绑定，实现涉密计算机用户网络准入控制；网络监控模块监控网络状态，用户需配置好交换机信息服务，对外提供COMMUNITY标识，可实现交换机实时状态参数图形化显控；网络管理提供对交换机配置管理的直接通道。功能模块组成如图2所示。 　　实名注册模块写入涉密计算机用户个人详细信息，包括姓名、科室、编号、部门、职务、电话、IP地址、MAC地址、机型、OS、品牌、备注等信息，数据录入可由模板（EXCEL格式）批量导入。 　　入网绑定根据不同交换机型号定义不同配置命令行参数，系统采用ARP绑定与端口绑定相结合方式，可根据入网接入实际情况调整绑定方式。 　　MIB浏览器提供图形化的SNMP管理环境，可接收TRAP，设置查询SNMP变量，解析、保存MIB对象信息，操作SNMP代理设备（交换机）等。 　　线路状态监控模块通过接收交换机TRAP信息，分析发生的事件，监控网络接口工作状态，监视通信线路，实时了解线路工作状态。 　　线路流量检测模块在采样时间间隔内获取SNMP变量值，生成监控曲线，用于监控网络流量峰值、平均值、实时流量等状态，及时预警网络风暴。 　　网络设备性能监控模块实时监测交换主机CPU利用率、可用内存等状态，及时预警感染病毒、网卡故障、交换机BUG等网络安全问题。 　　数据流量统计提供基于IP地址与MAC地址两种统计方式。主要功能是检测局域网内入网终端的流量变化情况，监控异常主机。 　　VLAN管理模块提供VLAN发现、VLAN端口管理、连接主机信息查询管理、TRUNK端口管理、网络拓扑管理等功能。 　　2实现方法 　　2.1实名管理模块功能实现 　　根据用户数信息、交换机信息等日志数据量，采用SQL2000数据库作为监管系统数据支撑，实名管理，设置用户信息表，建立[序号]、[姓名]、[IP]、[MAC]、[职务]、[主机类型]、[主机品牌]、[操作系统]、[编号]、[电话]、[备注]、[添加时间]等字段。用户信息查询与管理基于TREEVIEW组件，将用户信息按照用户所在部门顺序生成。 　　用户绑定设计采用外部VBS脚本读取方法，将配置文件中写入的不同类型绑定命令预先选择输出为VBS脚本，设置用户标识、IP、MAC等变量信息，从用户信息提取变量加入VBS脚本并执行[5]。 　　执行代码如下： 　　TryShellExecute（Handle，open，PChar（ExtractFilePath（Applica