徐正 龐子敏 邵森龍

1. 浙江省溫州市公安局 2. 浙江省瑞安市公安局 3. 浙江遠(yuǎn)望信息股份有限公司

引言

信息技術(shù)的飛速發(fā)展，推動(dòng)了政府部門工作的高效開展。同時(shí)，為了信息保密性、系統(tǒng)可用性等因素，各政府部門建立了專用的網(wǎng)絡(luò)，用以承載相關(guān)信息系統(tǒng)的運(yùn)行，此類專用網(wǎng)絡(luò)，要求與互聯(lián)網(wǎng)隔離，采用網(wǎng)閘等專用邊界安全設(shè)備進(jìn)行網(wǎng)絡(luò)間的數(shù)據(jù)交互。公安信息網(wǎng)作為一張獨(dú)立專網(wǎng)，貫通部、省、市、縣、派出所等各級公安部門，承載了大量公安信息化應(yīng)用，是公安工作的基礎(chǔ)支撐網(wǎng)絡(luò)。對與其他網(wǎng)絡(luò)的信息交互，公安信息網(wǎng)要求通過安全加固的邊界接入平臺進(jìn)行。然而，圍墻若是漏洞百出，大門口的重兵防守就形同虛設(shè)。一旦入侵者通過圍墻漏洞進(jìn)入公安信息網(wǎng)并長期潛伏，對公安信息網(wǎng)的可用性、完整性、保密性就形成巨大挑戰(zhàn)。為此，確保圍墻的牢固、邊界的完整，是對公安信息網(wǎng)“獨(dú)立專網(wǎng)”特性的必要保障。

一、現(xiàn)狀與問題

（一）邊界完整性防護(hù)現(xiàn)狀

當(dāng)前，公安信息網(wǎng)邊界完整性檢測與防護(hù)主要采用兩種技術(shù)路線：（1）在規(guī)劃的與視頻監(jiān)控網(wǎng)等其他網(wǎng)絡(luò)交互位置部署邊界接入平臺產(chǎn)品，實(shí)現(xiàn)網(wǎng)絡(luò)之間的安全隔離，同時(shí)支持安全的數(shù)據(jù)內(nèi)容交互；（2）統(tǒng)一部署“一機(jī)兩用”系統(tǒng)，在全網(wǎng)每臺計(jì)算機(jī)上安裝客戶端軟件來檢測本機(jī)是否可連通互聯(lián)網(wǎng)，對于連通互聯(lián)網(wǎng)的計(jì)算機(jī)進(jìn)行告警與技術(shù)防護(hù)。邊界接入平臺與“一機(jī)兩用”系統(tǒng)的部署，以及與相關(guān)事件通報(bào)考核機(jī)制的結(jié)合，對于避免計(jì)算機(jī)設(shè)備違規(guī)外聯(lián)起到了巨大的威懾作用，發(fā)揮了重要的防護(hù)功能，通過技術(shù)能力與管理手段的綜合建設(shè)，為公安信息網(wǎng)邊界完整性提供了有效保障。

（二）監(jiān)管盲區(qū)導(dǎo)致的安全隱患

已有的安全建設(shè)雖然在公安信息網(wǎng)邊界完整性防護(hù)上起到了巨大的作用，但依然存在著監(jiān)管盲區(qū)和短板。

2018年底，溫州市公安局某單位發(fā)生了一起“一機(jī)兩用”違規(guī)外聯(lián)事件。但根據(jù)現(xiàn)場人員信息反饋及相關(guān)錄像資料檢查，該計(jì)算機(jī)確實(shí)未曾有人為連接互聯(lián)網(wǎng)的違規(guī)行為。溫州市公安局派人赴現(xiàn)場對詳細(xì)過程進(jìn)一步核查，發(fā)現(xiàn)是該單位一臺計(jì)算機(jī)在重新安裝網(wǎng)卡驅(qū)動(dòng)時(shí)，“一機(jī)兩用”系統(tǒng)產(chǎn)生了告警。經(jīng)進(jìn)一步技術(shù)分析與查證，確認(rèn)該計(jì)算機(jī)在重新安裝網(wǎng)卡驅(qū)動(dòng)時(shí)自動(dòng)切換到了DHCP模式，獲取到了一個(gè)非公安信息網(wǎng)的IP地址，且該IP地址通過其對應(yīng)的網(wǎng)關(guān)連通了互聯(lián)網(wǎng)。根據(jù)網(wǎng)關(guān)的MAC地址最終定位到了一臺接入公安信息網(wǎng)的TPLINK家用路由器，該路由器上同時(shí)連接著互聯(lián)網(wǎng)網(wǎng)線。

該起事件從技術(shù)成因上分析，是由于公安信息網(wǎng)與其他網(wǎng)絡(luò)發(fā)生混連引起，通過互聯(lián)網(wǎng)接入設(shè)備將公安信息網(wǎng)與互聯(lián)網(wǎng)連通。審視該起事件，至少可以得出兩點(diǎn)認(rèn)識：

1. 危害嚴(yán)重

網(wǎng)絡(luò)混連狀況已經(jīng)導(dǎo)致了公安信息網(wǎng)與互聯(lián)網(wǎng)數(shù)據(jù)鏈路層的連通，公安信息網(wǎng)邊界圍墻破出重大缺口，內(nèi)部信息可通過這種連接泄漏到互聯(lián)網(wǎng)，外部攻擊也可通過這種連接進(jìn)入公安信息網(wǎng)，可能造成重大安全事故。

2. 方式隱蔽

因“一機(jī)兩用”系統(tǒng)只能對安裝客戶端軟件的計(jì)算機(jī)本身是否能連通互聯(lián)網(wǎng)進(jìn)行檢測，而公安信息網(wǎng)內(nèi)還有大量的設(shè)備因設(shè)備特性或特殊用途導(dǎo)致無法安裝客戶端軟件，如大量的嵌入式設(shè)備、網(wǎng)絡(luò)設(shè)備、Linux系統(tǒng)服務(wù)器等，因此“一機(jī)兩用”系統(tǒng)對于違規(guī)外聯(lián)的檢測并不能覆蓋這類設(shè)備的外聯(lián)場景，存在著監(jiān)管盲區(qū)。若不是因?yàn)橛杏?jì)算機(jī)恰巧重裝網(wǎng)卡驅(qū)動(dòng)而發(fā)現(xiàn)它，可能這個(gè)網(wǎng)絡(luò)混連的巨大隱患會一直潛伏著而不被發(fā)現(xiàn)，直至產(chǎn)生嚴(yán)重后果。

基于當(dāng)前公安信息網(wǎng)邊界完整性檢測技術(shù)上的短板以及此類網(wǎng)絡(luò)混連行為可能引起的嚴(yán)重危害，對其進(jìn)行技術(shù)研究并嘗試找出檢測方法具有重要價(jià)值與現(xiàn)實(shí)意義。

二、技術(shù)原理分析

（一）場景特征分析

分析此類網(wǎng)絡(luò)混連的場景，主要有以下特征：

1. 互聯(lián)網(wǎng)接入設(shè)備可能以公安信息網(wǎng)地址或其他私網(wǎng)地址接入

互聯(lián)網(wǎng)接入設(shè)備連接公安信息網(wǎng)時(shí)，兩者之間形成數(shù)據(jù)鏈路層的連接?；ヂ?lián)網(wǎng)接入設(shè)備可能使用規(guī)范的公安信息網(wǎng)地址，也可能使用其他私網(wǎng)地址如“192.168”開頭的地址。當(dāng)以公安信息網(wǎng)地址接入時(shí)，其他網(wǎng)內(nèi)設(shè)備以它做網(wǎng)關(guān)就可以連通互聯(lián)網(wǎng)。以其他私網(wǎng)地址接入時(shí)，網(wǎng)內(nèi)合法設(shè)備不能與其直接進(jìn)行網(wǎng)絡(luò)層通信，所以它平時(shí)居于靜默狀態(tài)，但網(wǎng)內(nèi)同廣播域的合法設(shè)備若使用了互聯(lián)網(wǎng)接入設(shè)備LAN口相同網(wǎng)段的地址，則他們就可以通過該互聯(lián)網(wǎng)接入設(shè)備連接互聯(lián)網(wǎng)，造成違規(guī)外聯(lián)事實(shí)，產(chǎn)生安全風(fēng)險(xiǎn)。尤其在后一種情形下，跨網(wǎng)段的掃描技術(shù)無法將掃描包發(fā)送到互聯(lián)網(wǎng)接入設(shè)備上，給探測造成技術(shù)障礙。

2. 互聯(lián)網(wǎng)接入設(shè)備DHCP服務(wù)開啟狀態(tài)不確定

利用DHCP服務(wù)的探測結(jié)果，能夠較為便捷地發(fā)現(xiàn)這類混連的互聯(lián)網(wǎng)接入設(shè)備。但同時(shí)必須考慮到，某些互聯(lián)網(wǎng)接入設(shè)備并沒有開啟DHCP服務(wù)功能，此時(shí)網(wǎng)內(nèi)設(shè)備通過手動(dòng)設(shè)定一個(gè)與互聯(lián)網(wǎng)接入設(shè)備LAN口相同網(wǎng)段的IP地址，依然可以通過該混連的互聯(lián)網(wǎng)接入設(shè)備連通互聯(lián)網(wǎng)。因此，為全面探測到這類混連的互聯(lián)網(wǎng)接入設(shè)備，除了正常的利用DHCP服務(wù)檢查方式之外，還需要主動(dòng)嘗試發(fā)現(xiàn)廣播域內(nèi)是否有非公安信息網(wǎng)的IP地址設(shè)備存活，并進(jìn)行外聯(lián)能力探測。

3. 混連接入點(diǎn)一般位于網(wǎng)絡(luò)接入層，數(shù)據(jù)流量不經(jīng)過核心交換

網(wǎng)絡(luò)流量分析類的安全系統(tǒng)一般部署在核心交換附近，當(dāng)互聯(lián)網(wǎng)接入設(shè)備的數(shù)據(jù)流量不經(jīng)過核心交換時(shí)，基于流量分析的技術(shù)手段難以實(shí)現(xiàn)探測。

（二）檢測實(shí)現(xiàn)思路

基于以上特征分析，為全面實(shí)現(xiàn)對混連的互聯(lián)網(wǎng)接入設(shè)備的探測，需要將探測手段架設(shè)在VLAN內(nèi)，充分利用DHCP服務(wù)探測技術(shù)，并全面感知同廣播域內(nèi)所有設(shè)備的存活狀態(tài)，包括使用本VLAN合規(guī)IP地址和其他私網(wǎng)IP地址的設(shè)備。

三、應(yīng)用實(shí)踐

基于以上技術(shù)原理分析，溫州市公安局聯(lián)合浙江省公安廳科技信息化局的技術(shù)力量，在相關(guān)安全廠商的協(xié)助下，開發(fā)了基于客戶端探針的網(wǎng)絡(luò)混連檢測系統(tǒng)。

該檢測系統(tǒng)由三部分組成：核心部分是客戶端探針軟件，部署在每個(gè)VLAN內(nèi)的若干臺計(jì)算機(jī)上，由其具體負(fù)責(zé)對本廣播域內(nèi)混連的互聯(lián)網(wǎng)接入設(shè)備的探測；管理器軟件負(fù)責(zé)對這類客戶端探針軟件的統(tǒng)一管理，包括其工作時(shí)的相關(guān)參數(shù)配置以及運(yùn)行狀態(tài)監(jiān)控；互聯(lián)網(wǎng)告警服務(wù)器軟件部署在互聯(lián)網(wǎng)上，用于接收客戶端探針軟件通過混連的互聯(lián)網(wǎng)接入設(shè)備發(fā)送出來的信息，一方面確認(rèn)外聯(lián)事實(shí)，另一方面記錄互聯(lián)網(wǎng)接入設(shè)備的位置以及相關(guān)信息?？傮w架構(gòu)如圖2所示。

客戶端探針軟件基于網(wǎng)絡(luò)抓包發(fā)包驅(qū)動(dòng)實(shí)現(xiàn)，其工作內(nèi)容主要分為兩個(gè)部分：（1）對所處廣播域內(nèi)存活設(shè)備的探測；（2）對存活設(shè)備的外聯(lián)掃描。

存活設(shè)備的信息來源主要分三種：（1）直接利用DHCP協(xié)議，通過抓包發(fā)包驅(qū)動(dòng)向本廣播域定期發(fā)送DHCP請求廣播包，當(dāng)廣播域內(nèi)的設(shè)備如混連的互聯(lián)網(wǎng)接入設(shè)備開啟DHCP服務(wù)時(shí)，會發(fā)送DHCP應(yīng)答包回到本計(jì)算機(jī)，探針軟件收到該應(yīng)答包后解析出互聯(lián)網(wǎng)接入設(shè)備LAN口所使用的IP地址和MAC地址，存放入設(shè)備對象表中；（2）根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)配置信息，定期對本網(wǎng)段IP范圍進(jìn)行掃描，發(fā)現(xiàn)的本網(wǎng)段IP和MAC地址也存入設(shè)備對象表；（3）開啟網(wǎng)絡(luò)接口偵聽，對接收到的ARP請求包進(jìn)行解析，提取其中的IP和MAC信息存入設(shè)備對象表。

外聯(lián)掃描過程中，探針軟件基于感知到的本廣播域內(nèi)存活設(shè)備清單，構(gòu)建出外聯(lián)探測包，通過抓包發(fā)包驅(qū)動(dòng)發(fā)送給網(wǎng)絡(luò)中的每個(gè)存活設(shè)備。外聯(lián)探測包目標(biāo)MAC地址為存活設(shè)備的實(shí)際MAC地址，而目標(biāo)IP地址為互聯(lián)網(wǎng)告警服務(wù)器IP地址，因此當(dāng)某個(gè)存活的設(shè)備具備向互聯(lián)網(wǎng)投遞數(shù)據(jù)包的能力時(shí)，如混連的互聯(lián)網(wǎng)接入設(shè)備，其在收到這類數(shù)據(jù)包后將把包路由投遞給互聯(lián)網(wǎng)告警服務(wù)器?；ヂ?lián)網(wǎng)告警服務(wù)器即可對收到的數(shù)據(jù)包進(jìn)行解析，提取出互聯(lián)網(wǎng)接入設(shè)備當(dāng)時(shí)所處的公安信息網(wǎng)網(wǎng)段、所使用的LAN口地址、MAC地址和使用的互聯(lián)網(wǎng)出口IP地址等信息。

管理器軟件負(fù)責(zé)對客戶端探針軟件的管理，由客戶端通信程序、數(shù)據(jù)庫、WEB頁面組成。

在管理器WEB頁面上可查看當(dāng)前各個(gè)客戶端探針設(shè)備在線狀態(tài)及運(yùn)行情況，同時(shí)可以策略的模式向各個(gè)客戶端探針軟件配置互聯(lián)網(wǎng)告警服務(wù)器IP地址、功能項(xiàng)開關(guān)及各項(xiàng)周期間隔參數(shù)等。

互聯(lián)網(wǎng)告警服務(wù)器軟件負(fù)責(zé)接收外聯(lián)告警信息，作為整個(gè)系統(tǒng)的數(shù)據(jù)查看端，通過網(wǎng)頁的形式進(jìn)行數(shù)據(jù)的檢索。同時(shí)，針對發(fā)現(xiàn)的混連事件，互聯(lián)網(wǎng)告警服務(wù)器軟件即時(shí)發(fā)送短信到相關(guān)人員手機(jī)以便在第一時(shí)間處理。

四、推廣成效

2019年初，網(wǎng)絡(luò)混連檢測系統(tǒng)開發(fā)完成，首先在一個(gè)測試環(huán)境中進(jìn)行了功能檢查，對互聯(lián)網(wǎng)接入設(shè)備采用公安信息網(wǎng)IP或其他私網(wǎng)IP地址，開啟DHCP服務(wù)或不開啟DHCP服務(wù)等各種條件組合的場景進(jìn)行了驗(yàn)證，結(jié)果表明工作正常，同時(shí)對客戶端探針軟件的計(jì)算資源消耗進(jìn)行了觀察，不影響計(jì)算機(jī)的正常使用，也未對網(wǎng)絡(luò)的運(yùn)行產(chǎn)生影響。

基于以上測試效果，溫州市公安局將該系統(tǒng)實(shí)際部署于公安信息網(wǎng)中，在管轄范圍內(nèi)的每個(gè)網(wǎng)段挑選了兩至三臺計(jì)算機(jī)安裝客戶端探針軟件，經(jīng)一個(gè)月左右時(shí)間的運(yùn)行，對網(wǎng)內(nèi)存在的混連情況起到了全面排查效果，有力地保障了溫州市公安局公安信息網(wǎng)邊界的完整。

進(jìn)一步，溫州市公安局積極向浙江省公安廳科技信息化局進(jìn)行成果匯報(bào)，將相關(guān)技術(shù)應(yīng)用到浙江公安安全管理平臺客戶端，部署到浙江省省內(nèi)網(wǎng)所有終端。該系統(tǒng)運(yùn)用至今，已檢測到了近500起網(wǎng)絡(luò)混連事件，消除了網(wǎng)絡(luò)安全事故隱患，得到省公安廳高度認(rèn)可。

此外，2019年以來該系統(tǒng)也在內(nèi)蒙古、黑龍江等省公安專網(wǎng)部署，在浙江社保、溫州醫(yī)科大附一醫(yī)、附二醫(yī)、中國軟件評測中心、北京賽迪軟評中心等企事業(yè)內(nèi)部網(wǎng)落地發(fā)揮效用，贏得一致肯定。該項(xiàng)目獲得了“‘智慧公安我先行’全國公安基層技術(shù)革新獎(jiǎng)優(yōu)秀獎(jiǎng)”和“溫州市公安局在線警務(wù)應(yīng)用創(chuàng)新大賽”金獎(jiǎng)。

五、結(jié)語

保障網(wǎng)絡(luò)邊界完整性是維護(hù)公安信息網(wǎng)安全的基礎(chǔ)工作，通過一次偶發(fā)的違規(guī)外聯(lián)事件，深度分析其形成機(jī)制，挖掘出這類網(wǎng)絡(luò)混連模式對公安信息網(wǎng)“獨(dú)立專網(wǎng)”特性產(chǎn)生嚴(yán)重破壞的場景，不難推測，在公安信息網(wǎng)實(shí)際應(yīng)用中，可能還存在著其他更隱蔽、危害更大的形式，成為數(shù)據(jù)泄露與網(wǎng)絡(luò)入侵的通道。

習(xí)近平總書記在“4·19”講話中指出，網(wǎng)絡(luò)安全具有很強(qiáng)的隱蔽性，一個(gè)技術(shù)漏洞、安全風(fēng)險(xiǎn)可能隱藏幾年都發(fā)現(xiàn)不了，結(jié)果是“誰進(jìn)來了不知道、是敵是友不知道、干了什么不知道”，長期“潛伏”在里面，一旦有事就發(fā)作了。檢測公安信息網(wǎng)非法邊界的工作就屬于習(xí)近平總書記強(qiáng)調(diào)的“知道風(fēng)險(xiǎn)在哪里，是什么樣的風(fēng)險(xiǎn)，什么時(shí)候發(fā)生風(fēng)險(xiǎn)”范疇，因此顯得更加急迫，且任重道遠(yuǎn)。

本研究與應(yīng)用實(shí)踐的經(jīng)驗(yàn)，對網(wǎng)絡(luò)混連場景起到了有效的檢測作用，產(chǎn)生了良好效果，具有在公安信息網(wǎng)推廣應(yīng)用的價(jià)值。