葉昊亮

軍隊院校由于學(xué)習(xí)與工作的實際需要擁有多套網(wǎng)絡(luò)，除了只在學(xué)校內(nèi)小范圍使用的各種專網(wǎng)外，使用最多的是兩套用于對外交流的網(wǎng)絡(luò)。一套是連接互聯(lián)網(wǎng)的校園網(wǎng)，用于查找學(xué)習(xí)科研資料以及與地方的各種交流，一套是連接涉密網(wǎng)絡(luò)的園區(qū)網(wǎng)，用于軍隊內(nèi)部資料的查詢、傳輸以及與其他軍隊單位的交流。兩套網(wǎng)絡(luò)都對安全有很高的要求，而與相對開放的互聯(lián)網(wǎng)相比，相對封閉的涉密網(wǎng)絡(luò)對安全可信的網(wǎng)絡(luò)環(huán)境要求更高。而由于網(wǎng)絡(luò)性質(zhì)的不同，其防護(hù)的側(cè)重點(diǎn)也與互聯(lián)網(wǎng)有所不同。

這套SMP安全管理系統(tǒng)，主要是從兩個方面來保障網(wǎng)絡(luò)的正常運(yùn)行和安全使用，一個是網(wǎng)絡(luò)身份，另一個是網(wǎng)絡(luò)防護(hù)。

一、網(wǎng)絡(luò)身份的準(zhǔn)入、準(zhǔn)出控制和多重信息綁定

涉密網(wǎng)絡(luò)要求與其他網(wǎng)絡(luò)實行嚴(yán)格的物理隔離以保障安全，但在現(xiàn)實應(yīng)用中存在一定的管控難題，多數(shù)院校教員和管理人員都需要同時使用校園網(wǎng)和園區(qū)網(wǎng)，這樣的需求使得兩套網(wǎng)絡(luò)部署的時候物理位置無法間隔太遠(yuǎn)，無法從技術(shù)上嚴(yán)格避免人員使用時雙網(wǎng)隔離，這種情況下非法外連、同一計算機(jī)使用雙網(wǎng)等隱患情況就有可能出現(xiàn)，管理人員只能通過定期排查、人員教育等方法來進(jìn)行這方面的監(jiān)管，肯定不能保證萬無一失。為了解決這一安全隱患問題，SMP安全管理系統(tǒng)提供了網(wǎng)絡(luò)身份的準(zhǔn)入、準(zhǔn)出控制和多重信息綁定功能來解決。

通過安全管理系統(tǒng)的用戶管理功能，我們可以對接入涉密園區(qū)網(wǎng)的人員進(jìn)行有效控制，只有通過管理人員嚴(yán)格審核后，開通了有效賬號的權(quán)限人員才能擁有接入涉密園區(qū)網(wǎng)的資格，擁有賬號的權(quán)限人員通過安全管理系統(tǒng)在個人計算機(jī)上安裝的客戶端檢測成功后登陸才能接入涉密園區(qū)網(wǎng)。這種準(zhǔn)入、準(zhǔn)出控制功能定位到了專人專號，避免了非權(quán)限人員隨意接觸使用涉密網(wǎng)絡(luò)的情況發(fā)生。

而通過安全策略模板的設(shè)置，對接入涉密園區(qū)網(wǎng)的計算機(jī)進(jìn)行多重信息綁定，我們采用的是計算機(jī)MAC地址、IP地址、交換機(jī)IP地址、計算機(jī)接入交換機(jī)對應(yīng)的端口以及個人賬號這幾項同時綁定，任何一樣信息檢測不匹配就無法接入園區(qū)網(wǎng)。保證了其他非保密計算機(jī)任何情況下都無法接入涉密園區(qū)網(wǎng)，保密計算機(jī)也無法移動到其他地點(diǎn)使用，避免了人員不規(guī)范使用的隱患。

網(wǎng)絡(luò)身份的準(zhǔn)入、準(zhǔn)出控制和多重信息綁定功能的同時運(yùn)用，基本滿足了園區(qū)網(wǎng)對這方面安全使用的要求。

二、網(wǎng)絡(luò)環(huán)境的有效防護(hù)

涉密園區(qū)網(wǎng)對網(wǎng)絡(luò)環(huán)境的安全性要求很高，這就需要在各個層面（網(wǎng)絡(luò)、主機(jī)、管理）上都做好安全防護(hù)工作。

在網(wǎng)絡(luò)層面上，需要一個整體性的防護(hù)，防范從外部涉密網(wǎng)和內(nèi)部園區(qū)網(wǎng)對學(xué)校發(fā)起的各種攻擊，并在攻擊事件發(fā)生時及時處理，特別注意要對園區(qū)網(wǎng)內(nèi)的敏感資源進(jìn)行重點(diǎn)保護(hù)。針對這方面的需求，SMP安全管理系統(tǒng)有相應(yīng)的功能加以解決，敏感資源隔離模板可以專門為所有敏感資源IP配置隔離模板，一旦其遭到攻擊，立刻隔離資源主機(jī)，斷絕其與網(wǎng)絡(luò)的連接，若檢測到攻擊來自園區(qū)網(wǎng)內(nèi)，其模板設(shè)置中同時有對攻擊源用戶從警告到強(qiáng)制下線的處理方式。同時為了不影響正常的工作使用，防止出現(xiàn)攻擊的誤認(rèn)定而頻繁隔離，還使用了攻擊頻率分級處理模式，以完善的安全信息事件庫為基礎(chǔ)，結(jié)合安全事件級別和發(fā)生次數(shù)來進(jìn)行相應(yīng)的安全措施處理。還有專門的ARP欺騙免疫功能，可以通過安全管理平臺在各個網(wǎng)關(guān)上開啟ARP欺騙免疫。

在主機(jī)（終端）層面上，需要完成對于終端的各種常規(guī)防護(hù)，防火墻、殺毒軟件的安裝，微軟補(bǔ)丁的及時更新，保護(hù)計算機(jī)空置時段不被他人使用而安裝的屏幕保護(hù)措施，對USB接口等能做間接的訪問和數(shù)據(jù)交換的通道的封鎖等。在這方面SMP安全管理系統(tǒng)并沒有提供直接的防護(hù)終端的功能，而是通過設(shè)置規(guī)則組綁定的方式對用戶終端上安裝的軟件提出要求，任一項規(guī)則組要求的軟件未曾安裝，則無法通過認(rèn)證檢測，不能連入涉密園區(qū)網(wǎng)。這就避免了用戶不安裝各種防護(hù)軟件而使得終端長期置于無防護(hù)狀態(tài)的情況發(fā)生。

在管理層面上，園區(qū)網(wǎng)的管理人員需要實時了解整個園區(qū)網(wǎng)、使用人員以及接入設(shè)備的狀態(tài)和情況，并在有需要時調(diào)閱以往情況來進(jìn)行分析總結(jié)。

三、安全管理系統(tǒng)有待改進(jìn)的功能

這套安全管理系統(tǒng)的功能在一些細(xì)節(jié)的地方還有待改進(jìn)，主要是在系統(tǒng)功能的應(yīng)用智能方面，并沒有能夠完全達(dá)到我們的要求。主要存在的問題有，在進(jìn)行規(guī)則組綁定時，其綁定的只能是軟件的進(jìn)程，當(dāng)需要加入規(guī)則的軟件運(yùn)行狀態(tài)下進(jìn)程隱藏?zé)o法找到時，就無法進(jìn)行綁定，也就無法控制用戶進(jìn)行必需的安裝。同時，系統(tǒng)只能檢測到是否進(jìn)行了軟件的安裝，但像殺毒軟件有否更新病毒庫，他則無法檢測和控制，使防護(hù)的有效程度存在疑問。

四、結(jié)論

通過上面對園區(qū)網(wǎng)安全要求以及安全管理系統(tǒng)功能的分析，我們可以了解，不論是一般的防護(hù)還是一些特別的需求，安全管理系統(tǒng)都基本能夠達(dá)到，雖然還有一點(diǎn)瑕疵，但身份控制、多重信息綁定以及規(guī)則設(shè)置、全網(wǎng)監(jiān)控這些功能是切實有效的管理手段，可以幫助我們便利的完成園區(qū)網(wǎng)的防護(hù)和控制，打造一個安全而健康的網(wǎng)絡(luò)工作環(huán)境。