◆張前 馬健 徐發(fā)強(qiáng)

（玄武區(qū)人民檢察院 江蘇 210018）

1 前言

在涉密單位的內(nèi)部局域網(wǎng)上，凡是接入的電子設(shè)備，比如電腦、服務(wù)器、監(jiān)控?cái)z像頭等，都是需要嚴(yán)格登記和管理的，這些設(shè)備不僅需要分配固定IP，指定保密責(zé)任人，還會(huì)在涉密網(wǎng)交換機(jī)端口綁定其MAC 地址，只允許特定的設(shè)備上網(wǎng)。這些管理方式可以阻止未登記的電子設(shè)備接入涉密網(wǎng)，但不能對(duì)非法接入行為進(jìn)行監(jiān)測(cè)和報(bào)警。并且，實(shí)際工作中，難免存在管理措施及技術(shù)保障落實(shí)不到位的情況，那么對(duì)這種非法接入涉密網(wǎng)的實(shí)時(shí)報(bào)警就顯得十分必要了。

本文基于電子設(shè)備接入網(wǎng)絡(luò)時(shí)一定具有其唯一的MAC 地址，并且該MAC 地址可被在線搜索讀取的特點(diǎn)，通過編寫CMD 搜索程序（即DOS 操作系統(tǒng)的命令程序，其優(yōu)點(diǎn)是無須編譯，在Windows 系統(tǒng)中可以直接運(yùn)行），實(shí)時(shí)監(jiān)測(cè)涉密網(wǎng)上的所有電子設(shè)備，對(duì)比涉密網(wǎng)上的登記在冊(cè)的MAC 地址清單，對(duì)新出現(xiàn)的MAC 進(jìn)行報(bào)警，如果將一個(gè)網(wǎng)段的地址進(jìn)行分段并行搜索，以花費(fèi)極短的捕獲時(shí)間，達(dá)到“實(shí)時(shí)”報(bào)警的目的。

2 基于MAC 的“無死角”搜索策略

涉密單位的涉密局域網(wǎng)上，非法電子設(shè)備必須配置特定網(wǎng)段IP地址，才能訪問網(wǎng)絡(luò)資源，并且其自身MAC 也是全球唯一的，因此，我們可以通過PING 命令“無死角”地掃描涉密網(wǎng)段所有IP，逐個(gè)讀取其MAC 地址，比對(duì)登記在冊(cè)涉密電子設(shè)備MAC 地址清單，如果發(fā)現(xiàn)其不在清單中，就可以認(rèn)定其為新出現(xiàn)的可疑設(shè)備，即時(shí)報(bào)警。

如圖1所示，基于MAC 的“無死角”搜索策略的編程思路是：程序自動(dòng)后臺(tái)運(yùn)行；先復(fù)制最新“涉密電腦MAC 清單.txt”文件作為比對(duì)之用；在涉密局域網(wǎng)，依次PING 段內(nèi)IP，無論返回什么信息，均馬上用ARP 命令讀取該IP 對(duì)應(yīng)的MAC 地址；在確認(rèn)MAC 地址為有效的后，對(duì)比其MAC 是否包含在涉密電腦清單以內(nèi)，如果是就繼續(xù)掃描下一個(gè)IP，一個(gè)網(wǎng)段全部掃完后再?gòu)念^開始循環(huán)掃描，如果單位有其他網(wǎng)段，則切換網(wǎng)管電腦的IP 到新網(wǎng)段上，掃描新網(wǎng)段；如果發(fā)現(xiàn)掃描獲取的MAC 不在涉密電腦清單以內(nèi)，則觸發(fā)報(bào)警，程序可以播放報(bào)警音樂，還可以發(fā)送Windows 報(bào)警信息，接收信息的電腦會(huì)出現(xiàn)報(bào)警彈窗，具體參考圖2 和圖3。

圖1 基于MAC 的“無死角”搜索策略的編程思路

圖2 電腦播放音樂報(bào)警

圖3 電腦屏幕彈窗報(bào)警

發(fā)現(xiàn)警情后，技術(shù)人員可以查詢程序記錄的LOG 文件，獲得可疑設(shè)備的IP 和MAC，可以通過登錄核心交換機(jī)和匯聚交換機(jī)，查詢可疑設(shè)備的MAC 來自哪個(gè)端口以及哪個(gè)房間，如有違規(guī)違法情況，則移交相關(guān)部門處理。

3 基于分段并行的高速搜索策略

對(duì)可疑電子設(shè)備的非法接入，越早發(fā)現(xiàn)越好，這就要求程序的搜索捕獲時(shí)間越短越好。為了進(jìn)一步縮短捕獲時(shí)間，本文提出了分段并行的搜索策略，即當(dāng)搜索一個(gè)IP 網(wǎng)段時(shí)，可以同時(shí)運(yùn)行N 個(gè)搜索子程序，每個(gè)搜索子程序搜索的IP 范圍只是這個(gè)IP 網(wǎng)段的1/N，比如，當(dāng)N=256 時(shí)，每個(gè)并行搜索的子程序只負(fù)責(zé)搜索1 個(gè)IP 就可以了。另外，考慮到并行的搜索程序越多，負(fù)責(zé)搜索的網(wǎng)管電腦CPU 和內(nèi)存負(fù)荷就越大，會(huì)出現(xiàn)N 增大，捕獲時(shí)間反而變長(zhǎng)的現(xiàn)象，因此不可以一味地增大N 的取值。在本文的實(shí)例中，采用兩臺(tái)網(wǎng)管電腦分擔(dān)。

完成N=64 個(gè)子程序的搜索任務(wù)，可以實(shí)現(xiàn)小于10 秒的平均捕獲時(shí)間，對(duì)于發(fā)現(xiàn)非法接入來說，可以說是“實(shí)時(shí)”的。編寫一個(gè)總的管理程序，負(fù)責(zé)對(duì)N 個(gè)分段搜索的子程序進(jìn)行生成與部署運(yùn)行，其編程思路如圖四所示。子程序的編程思路參考圖1，不同點(diǎn)僅是搜索范圍變小了。

圖4 對(duì)N 個(gè)子程序進(jìn)行生成與部署運(yùn)行程序的編程思路

在涉密網(wǎng)上存在多網(wǎng)段的情況下，可以在每個(gè)網(wǎng)段上安裝部署基于分段并行的高速搜索策略的網(wǎng)管電腦，以保證對(duì)非法接入涉密網(wǎng)的電子設(shè)備的“實(shí)時(shí)”捕獲。

4 實(shí)施案例

作者在所在單位的涉密局域網(wǎng)網(wǎng)段上，部署了兩臺(tái)基于分段并行搜索的網(wǎng)管電腦，均為配置AMD A10-8770 的CPU、8G 內(nèi)存的聯(lián)想啟天M520-D055 臺(tái)式電腦，操作系統(tǒng)均為win7 x64，N=64，兩臺(tái)網(wǎng)管電腦各承擔(dān)一半的搜索任務(wù)，即一個(gè)網(wǎng)段，分成64 個(gè)子段，前32個(gè)子段用一臺(tái)網(wǎng)管電腦搜索，后32 個(gè)子段用另一臺(tái)網(wǎng)管電腦搜索，這種方案可以獲得極短的平均捕獲時(shí)間。

取一個(gè)子程序?yàn)槔銫MD 程序如下：

這64 個(gè)分段并行搜索子程序，分別對(duì)本小段4 個(gè)IP 循環(huán)掃描MAC，發(fā)現(xiàn)不在清單內(nèi)的MAC 就報(bào)警，在播放報(bào)警音樂的同時(shí)，報(bào)警信息彈出在電腦屏幕上，也可發(fā)送到其他電腦的屏幕上，技術(shù)人員可以及時(shí)發(fā)現(xiàn)非法入侵者。根據(jù)作者單位千兆涉密局域網(wǎng)上的反復(fù)測(cè)試，兩臺(tái)網(wǎng)管電腦分擔(dān)64 分段并行搜索任務(wù)的案例中，對(duì)非法電子設(shè)備接入的平均捕獲時(shí)間小于10 秒，最大捕獲時(shí)間不超過12 秒。

5 小結(jié)

對(duì)于涉密單位內(nèi)部局域網(wǎng)上的非法接入，本文提出了在涉密網(wǎng)上對(duì)可疑設(shè)備的MAC 進(jìn)行“實(shí)時(shí)”監(jiān)測(cè)報(bào)警的策略，具體包括：基于MAC 的“無死角”搜索策略和基于分段并行的高速搜索策略，達(dá)到了“實(shí)時(shí)”發(fā)現(xiàn)和報(bào)警的目的。本文所研究的涉密網(wǎng)可疑設(shè)備的“實(shí)時(shí)”報(bào)警策略，對(duì)軍隊(duì)、公安、銀行、工商、稅務(wù)等單位對(duì)防止內(nèi)部涉密網(wǎng)絡(luò)和等級(jí)保護(hù)網(wǎng)絡(luò)的非法接入，實(shí)現(xiàn)智慧網(wǎng)管，防止泄密事件發(fā)生，具有較大的參考價(jià)值。