（计算机应用技术专业论文）一个内网监控系统的研究与实现.pdf

一个内网监控系统的研究与实现 摘要 随着信息技术的迅猛发展，大量的免费资源和网络服务大大提高了员工的工作效率的 同时也让企业面临了新的挑战。如何有效地监控这些资源和服务，如何了解它们的使用状 况，这类安全问题逐渐成为人们关注的焦点，内网监控系统的出现正是为了解决人们的这 种担心。 在不影响员工正常工作情况下有效地对他们的行为进行监控，是这类系统关注的重 点。我们将用户行为进行抽象；用户对资源或服务的一次操作就是一次访问交互，显然它 和访问控制技术有着必然的联系。实际上，本文介绍的这种内网监控系统正是架构在访问 控制理论基础上，通过对传统访问控制系统的分析，总结出一套适合内网系统的访问控制 结合方式，它的实现，充分向用户展示了访问控制在内网中的发展前景。 不同于其他环境，访问控制在内网系统中的实现异常复杂，原因就是大部分内网用户 使用的是w i n d o w s 系统，微软在系统设计之初为保证它的稳定性，将系统划分为内核和用 户两种形态以及0 s 2 ，p o s i x ，w in 3 2 三个子系统，这种隔离方式大大增强了系统的强健性， 同时也削弱了系统的拓展性。j 】| f i n d o w s 系统的设计也使得访问控制技术在内网应用中发展 缓慢，不是由于模型的陈旧，主要原因就是w i n d o w s 的保护机制的约束。如何依据访问决 策结果控制和改变w i n d o w s 系统的默认操作是非常困难的，一个用户看起来及其简单的操 作，可能需要耗费程序员大量的研究和编码时白j 。本文通过详细介绍内网监控系统中受控 端子系统的实现细节，向用户展示了如何在内网中实施控制手段并达到决策要求。 本文使用驱动丌发进行子系统程序的进程隐藏和对一些接口外设的控制，使用a p i 挂 接技术防止用户修改注册表及保护涉密文件等，这些强大的控制能力大大提高了资源和服 务的安全性。作者希望通过本文，可以让读者对内网监控系统的技术有较为清楚的认识和 理解。 关键词：内网，信息安全，访问控制，钩子，进程隐藏 t h ed es i g na n di m p l e m e n t a t i o no fa i n t r a n e tm o n i t o r i n gs y s t e m a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fi n f o r m a t i o nt e c h n o l o g y ，am a s so ff r e er e s o u r c e sa n d n e t w o r ks e r v i c e sh a sm u c hp r o m o t e de m p l o y e e se f f i c i e n c ya n db r i n gt h eh i g hc o n v e n i e n c et ou s ， a tt h es a m et i m e ，m a n ys e c u r i t yp r o b l e m s ，s u c ha ss u p e r v i s i n gt h er e s o u r c e sa n ds e r v i c e sa n d t h e i ru s a g eh a v ei n c r e a s i n g l ya t t r a c t e dp e o p l e sa t t e n t i o n ，t h a n k st ot h ei n t r a n e tm o n i t o rs y s t e m ， i t sa p p e a r a n c eh a sf r e e dt h e s ec o n c e r n s h o wt os u p e r v i s ee m p l o y e ee f f i c i e n t l ya n dd on o ta f f e c tt h e i rd a i l yw o r ki st h ek e yp o i n to f s u c hs y s t e m a b s t r a c tu s e r sb e h a v i o r , w ef i n dt h a te a c ht i m eh ev i s i t sar e s o u r c eo rs e r v i c e s m e a n so n ei n t e r a c t i v ea c c e s sp r o g r e s s ，a p p a r e n t l y ，t h e s es y s t e m sh a v eac a s u a ll i n kt ot h ea c c e s s c o n t r o lt e c h n o l o g y ，w h i c h ，a sam a t e ro ff a c t ，b u i l d st h ei n t r a n e tm o n i t o rs y s t e mr e f e r r e di nt h i s d i s s e r t a t i o n a c c o r d i n gt ot h o s et r a d i t i o n a lm o d e l s ，w ec o n c l u d ean e wc o m b i n a t i o nm e c h a n i s m w h i c hs u i t e dt oi n t r a n e ta n di t sa c h i e v e m e n ts h o w st h ea c c e s sc o n t r o l sf u t u r e u n l i k eo t h e rs i t u a t i o n ，a c c e s sc o n t r o li ni n t r a n e ti sv e r yd i f f i c u l tt oi m p l e m e n t ，b e c a u s e m a n ye m p l o y e e su s ew i n d o w so p e r a t i o ns y s t e m i no r d e rt og u a r a n t e et h es t a b i l i t y ，m i c r o s o f t i n t r o d u c et h ek e r n e la n du s e rm o d e ，a n dd i v i d et h es y s t e mi n t ot h r e es u b s y s t e ms u c ha so s 2 ， p o s i x ，w i n 3 2a tt h ef i r s td e s i g n ，f i n a l l y ，t h es y s t e mb e c o m e sr o b u s tw h i l et h ee x t e n s i o n sa r e w e a k e n e d h o w e v e r ，t h i ss e p a r a t i o ns l o w sa c c e s sc o n t r o lm o d e l sg r o w t h ，n o tb e c a u s eo fi t s o u t d a t e dm o d e ，j u s tf o rt h eb o u n do ft h ew i n d o w s p r o t e c t i o nm e c h a n i s m s h o wt oc o n t r o la n d c h a n g ew i n d o w sd e f a u l to p e r a t i o n sf o l l o w i n gt h ea c c e s ss t r a t e g yi sv e r yd i f f i c u l t ，as i m p l e a c t i o nm a yn e e dm a n yr e s e a r c ha c t i v i t i e sa n dc o n s u m eal o to ft i m e t h r o u g ht h ed e t a i l e d i n t r o d u c t i o nt ot h er e a l i z a t i o no ft h ec o n t r o l l e d e n ds u b s y s t e mw h i c hi sap a r to ft h ei n t r a n e t m o n i t o rs y s t e m ，t h i sd i s s e r t a t i o nw i l lr e p r e s e n th o wt oi m p l e m e n tc o n t r o lm e a s u r e si ni n t r a n e t a n dm e e tr e q u i r e m e n t s c o m p a r e dw i t ho t h e rs y s t e m s ，o u rs y s t e mp r o t e c t st h er e s o u r c ea n ds e r v i c e s s e c u r i t yi na g r e a te x t e n t ，i n c l u d i n gu s i n gd r i v e rt oh i d ep r o c e s sa n dc o n t r o ls o m ei n t e r f a c e s ，u s i n ga p ih o o k t e c h n o l o g yt op r o t e c td o c u m e n ta n ds oo n i ti sh o p e dt op r e s e n tap a r t i c u l a rc o g n i t i o na n d u n d e r s t a n d i n go f t h et e c h n o l o g yu s e di ni n t r a n e tm o n i t o rs y s t e m k e yw o r d s ：i n t r a n e t ，i n f o r m a t i o ns e c u r i t y ，a c c e s sc o n t r o l ，h o o k ，p r o c e s s h i d d e n 浙江工业大学 学位论文原创性声明 本人郑重声明：所提交的学位论文是本人在导师的指导下，独立进行研究工作 所取得的研究成果。除文中已经加以标注引用的内容外，本论文不包含其他个人或 集体己经发表或撰写过的研究成果，也不含为获得浙江工业大学或其它教育机构的 学位证书而使用过的材料。对本文的研究作出重要贡献的个人和集体，均已在文中 以明确方式标明。本人承担本声明的法律责任。 作者签名：始，建煽 日期叶年夕月歹 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校保留 并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本 人授权浙江工业大学可以将本学位论文的全部或部分内容编入有关数据库进行检 索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 本学位论文属于 l 、保密口，在年解密后适用本授权书。 2 、不保密刚 ( 请在以上相应方框内打“、”) 嚣乡警昌篓拣搿詈 觥名：二面丙删旷归歹月多日 浙江工业大学硕士学位论文 第1 章绪论 1 1 研究背景 随着信息化建设的深入发展，越来越多的办公电脑连接到互联网，信息化网络为企业、 政府机构及消费者提供了丰富的免费资源和服务的同时，也带来极大风险。每年有大量业 务交易通过电子方式进行，敏感数据的数量不断增长。对于许多组织来说，数据已成为无 价资产，是企业运营的命脉。越来越多的用户拥有访问这些数据的权限，其中包括员工、 业务合作伙伴、供应商以及客户。i t 基础设施规模不断扩大、复杂程度日益提高、分布 范围更广，而且更加便于访问。理论上来说，被允许访问点越多，危及系统安全或数据被 盗的可能性就越大，其风险相当高，随着隐私信息库的扩大，这种情况变得更加严峻。 尽管信息安全发展也有几个年头了，但是最近i d e n tit yt h e f tr e s o u r c ec e n t e r 公 御的一份报告显示，2 0 0 8 年美国的数据泄露事件上涨了将近百分之五十。这份报告来自 于收集了多个不同来源的数据，2 0 0 8 年美国大概有6 5 6 起类似事件，相较2 0 0 7 年的4 4 6 起有所增加。报告中有百分之十二左右的事件发生在金融服务公司身上，而2 0 0 7 年同类 数据只占7 个百分点。据金融机构报告显示，去年有1 8 0 0 多万记录被泄露。而所有行业 整体泄露总量超过3 5 0 0 万。报告显示，在所有数据泄露事件中，只有百分之二点四的案 例采取了加密或其他有力的保护措施，只有百分之八点五的案例采用了密码保护。i t r c 表 示：“很明显，这些事件中的大部分数据没有加密，甚至连密码都没有”。 1 1 1 案例分析 2 0 0 6 年6 月，后台处理及客户支持公司t i s b ce l e c t r o n i cd a t ap r o c e s s i n g ( i n d i a ) p r i v a t e 报告称，公司一名盗窃团伙的员工获取了客户借记卡信息，并利用这些信息骗取 了英国2 0 名客户4 2 5 ，0 0 0 美元。这起事件只是过去几年大量事件中的一例。美刚隐私杈 信息交流中心保存的一份清单显示，自2 0 0 5 年2 月发生轰动一时的c h o i c e - p o i n t 数据侵 犯事件以束，已发生了数百起此类事件。许多此类事件都源于组织内部，该清单将其称之 为“不诚实的内部人员”。请看以下几个隐私权信息交流中心清单中列出的例子： 一家综合证券公司的名员工非法访问了1 0 0 多条客户记录。 一家酒店的系统受到攻击，不是不诚实的内部人员所为，就是黑客作祟，造成5 5 ，0 0 0 浙江工业大学硕士学位论文 条记录汇漏，包括客户姓名、住址、信用卡细节、社会保险号码、驾照号码以及银行账户 数据。 “一名不诚实的内部人员，也可能是一个恶意软件 访问了一家网上支付公司的系 统，窃取了用户的姓名、电话号码、住址、电子邮件地址、i p 地址、登录名和口令、信 用卡类型及网上购物金额等数据。 一家保险公司的员工访问了保密数据，包括不可赎回财产数据中的姓名、社会保险 号码、出生日期和地址等，并利用这些信息为自己牟取利益。 据有关部门表示，计算机犯罪正以1 0 0 的速度增加，网上攻击事件每年以1 0 倍速度 增涨，银行的电子购物账户密码曝光事件增多，网上勒索、诈骗事件时有发生。另据c i a 统计入侵美国要害系统的案件年增长率为3 0 ，网络安全造成的损失达$ 1 7 0 亿年。恶意 攻击，黑客，和内部窃取案例占了将近百分之三十。内部窃取相较2 0 0 7 年翻了倍。在 数据泄漏事件中占百分之十五点七。i t r c 对五个行业进行了长达三年的监测。这些行业 包括商业，教育，政府军事，保健医疗，金融信贷。金融服务行业的泄露事件发生率 最低。 “会融，银行和信贷行业仍然是数据保护最积极的群体。”i t r c 表示。但金融机构 去年还是发生了一些泄露大事件。例如，纽约银行梅隆股东服务报告泄露事件。私人监 督组织c h r o n i c l e so fd i s s e n t 表示，“这种趋势表明，包括金融部门在内的很多行业并 没有做好迎接威胁和新威胁数据安全的准备”。 i b m 在其2 0 0 5 年全球业务安全指数报告中指出，小规模、有针对性的攻击，而非蠕 虫、垃圾邮件、病毒及其他恶意软件等席卷全球的威胁，正在成为一种新的发展动向。特 别是，内部攻击会对数据安全和隐私构成严重威胁。图1 - 1 是关于网络安全威胁的分类： 浙江工业大学硕士学位论文 冒名顶替 入j 夕听 、 废物搜寻间谍行为 偷窃 算法考虑不周线缆连接物理威胁 随意口令 口令破解 口令圈套 身份鉴别 病毒 特洛 网络安全威胁 编程 图1 - 1 网络安全威胁 系统漏洞 误 配置 初始化 代码炸弹 乘虚而入 通过分析可知威胁主要有以下来源： 外部渗入：未被授权使用计算机的人； 内部渗入者：被授权使用计算机，但不能访问某些数据、程序或 ；! 源，它包括：( 1 ) 冒名顶替： ( 2 ) 使用别人的用户名和口令进行操作；( 3 ) 隐蔽用户：逃避审计和访问控制的 用户； 滥用职权者：被授权使用计算机和访问系统资源，但滥用职权者。 普华永道与c i o 杂志公布的“2 0 0 5 全球信息安全状况”调查结果显示，3 3 危及信息 安全的攻击源于内部员工，同时有2 8 来自前雇员以及过去的合作伙伴。另掘f b i 和c s i 对4 8 4 家公司调查，发现企业的信息安全最大的隐患在企业内部，而不是黑客攻击等外部 手段泄漏企业的机要信息。 因此在当前的网络安全防范中，必须将“内部人”认为网络安全防范的重点。起到完 整的责任认定体系和绝大部分授权功能的审计监控体系对控制“内部人”风险能实 现有效的防范作用。 1 1 2 内网问题 通过上文分析可知，网络是否安全很大程度上取决于内部网络是否安全，那么内网又 到底存在哪些具体问题呢? 国内中小企业数量众多、网络利用率高，由于资金及人力所限， 不可能设置专业的i t 安全管理技术人员，且安全机制普遍不足，这已然成为中小企业持 浙江工业大学硕士学位论文 续发展的隐患，因此本文将主要针对中小企业现状进行分析。调查显示，中小企业老板普 遍担心：资深员工跳槽，他手里复杂的那部分产品图纸会不会被他带走? 公司的电子资料 会不会被内部员工非法取走? 把公司的光驱、软驱、u s b 接口都封掉了，可是图纸怎么还是 传出去了? 投标书、价格策略、客户信息、财务信息放在哪里才安全? 员工在工作时玩游 戏，用q q m s n 等聊天下载、上传、看在线影视，占用网络资源而且降低工作效率；非法机 器设备接入内网，随意访问内网资源等。 以上列举了当前企业内网安全管理面临具体问题，这些问题可分为以下几类： 1 局域网爆发病毒，木马泛滥的问题 对于内网授权使用的计算机，任何一台感染了病毒和木马，i t 管理人员也无法及时定 位和自动阻断该计算机的破坏行为。往往需要花费很长的时间才能判断和定位该计算机， 然后再通过手动的方式断网。对安全强度差的终端计算机缺乏有效的安全状态检测和内网 接入控制，是i t 管理人员比较头疼的问题之一。 2 电脑滥用的问题 员工在上班时间利用电脑做与工作无关的事，访问与工作无关的网站，甚至看电影、 玩游戏等，不但浪费工作时间还大大占用带宽，影响公司网络效率，i t 管理人员应该如何 利用电脑工作与娱乐，也是较为麻烦问题之一。 3 网内电脑数量不断增加，管理员已无法维护庞大的电脑 对于大中型企业，内网计算机数量众多。i t 管理人员很难统计内网计算机的确切数量， 也无法区分哪些是内网授权使用的计算机，哪些是外来的非授权使用的计算机。这种状况 下，很难控制外来人员随意的计算机接入。很容易导致企业内网机密信息的泄漏，往往等 泄密事件发生了，却还无法判断到底是哪一个环节出了差错。 4 软硬件资产管理 对于有众多的终端计算机的企业网络，依靠传统的资产登记管理办法，根本无法做到 对计算机配置信息的准确掌握，对计算机配置的变化也无法及时跟踪。例如，要准确掌握 每台计算机的软硬件配置信息，通过手工方式将是非常耗时和繁琐的工作。要想实时并准 确地掌握内网终端计算机的配置状况与配置变更状况，必须通过技术手段和工具来辅助实 现，爿能有效节省成本和资源，提高内网管理的效率。 5 系统补丁自动升级管理 系统漏洞扫描虽然可以获得终端计算机的补丁缺失情况，但却缺乏有效的补丁安装手 段，以及部分员工计算机知识缺乏导致终端计算机的安全无法保障。 4 浙江工业大学硕士学位论文 针对以上问题，有专家总结指出，国内中小企业面对的是意识、投入与技术水平的三 个难题。的确，从众多的案例中可以看出，国内的中小企业目前的首要任务是生存，而i t 仅仅是简单支持，因此i t 安全自然就更容易被忽视。国美电器的c i o 孟庆波曾表示，相 对于金融、电信等大型企业，国内中小企业的发展时间不长，因此自身的i t 资源与知识 积累都比较少，在这种情况下，企业对于信息资产的保护是不够重视的。大部分普通的工 商企业在正常的i t 应用情况下，只有在信息资产受到破坏，形成了实际的经济及附加损 失的情况下，才会开始重视这方面的问题。 1 2 研究现状 针对以上内网问题，应通过管理与技术相结合的方式，实现内网无忧化管理，即应制 定相应制度、规范并采取软件监控的方式。本文提出的内网监控系统是在内部网络安装 和使用的，由内部员工作为被监控对象管理层担任监管。 内网监控系统最早起源于企业网管员使用的一些软件，网管们为了架构好单位的内部 局域网，需要完成r 常的网络运行管理和维护任务( 也就是局域网的网络管理) ，执行此类 管理工作一般需要软件支持，我们称之为网络管理软件，简称网管软件，这便是内网监控 系统的雏形。网管软件的应用，为网络运行维护提供了极大的帮助，也大幅度提高了维护 人员的工作效率。 按照管理对象的不同，此时的网管软件分为系统管理软件和设备管理软件。前者是对 整个网络进行全面、深入监测管理的软件，其管理对象包括服务器、网络设备和应用系统， 管理的技术和方法较从前更加专业、精深：而后者主要是由各网络设备厂商推出，用于对 厂商自身网络设备的管理，其应用较为狭窄，彼此之问一般不兼容。 根据网管软件的发展历史，可划分为三代： 第一代网管软件是最常用的命令行方式，并结合了一些简单的网络监测工具。它不仅 要求使用者精通网络的原理及概念，还要求使用者了解不同厂商、不同网络设备的配置方 法。 第二代网管软件有着良好的图形化界面。用户无须过多了解设备的配置方法，就能图 形化地对多台设备同时进行配置和监控，大大提高了工作效率，但仍然存在由于人为囚素 而造成的设备功能使用不全面或不正确的问题，容易引发误操作。 第三代网管软件相对来说比较智能，是真正将网络和管理进行有机结合的软件系统， 我们通常将此时的网管软件称为内网监控系统。这时的软件具有“自动配置”和“自动调 5 浙江工业大学硕士学位论文 整 功能，对网管人员来说，只要把用户情况、设备情况以及用户与网络资源之间的分配 关系输入网管系统，系统就能自动地建立图形化的人员与网络的配置关系，并自动鉴别用 户身份，分配用户所需的资源( 如电子邮件、w e b 、文档服务等) 。 此后，国际标准化组织将网络管理定义为5 大功能，分别是故障管理、配置管理、性 能管理、安全管理和计费管理。根据这些功能，网管软件也相应细分为5 大类，每一类均 映射网络管理的一大功能。 内网监控系统开发商针对不同的管理内容开发相应的管理软件，主要形成了5 类系统： 网管系统( n m s ) 、应用性能管理系统( a p m ) ，桌面管理系统( d m i ) 、员工行为管理系统( e a m ) 和安全管理系统。 网管系统( n m s ) ：该系统主要针对网络设备进行监测、配置和故障诊断，其主要功能 有自动拓扑发现、远程配置、性能参数监测、故障诊断。 应用性能管理系统( a p m ) ：该类系统展示了一个比较新的网络管理方向，它们可以对企 业的关键业务应用进行监测、优化，同时提高企业应用的可靠性和质量，保证用户得到良 好的服务，降低i t 总拥有成本。a p m 的主要功能有监测企业关键应用性能、快速定位应用 系统性能故障、优化系统性能等。目前市场上比较流行的此类产品有b m c 、t i v o l i a p p li c a t i o np e r f o r m a n c em a n a g e m e n t 、v e r i t a s ( p r e c i s e ) 的i 3 系列产品和q u e s t 系列 产品_ t o p a z ，国内这方面的主要产品是s i t e v i e w 。 桌面管理系统( d m i ) ：该类系统由最终用户电脑组成，这些电脑运行w i n d o w s 与m a c 等 系统。桌面管理是对计算机及其组件管理，内容比较多，目前主要关注在资产管理、软件 派送和远程控制，d m i 通过以上功能，一方面减少了网管人员的劳动强度，另一方面则增 加了系统维护的准确性、及时性。这类系统通常分为两部分管理端和客户端。目前市 场上较为流行的d m i 有国外的c au n i c e n t e r 与l a n d e s k ，国内的n e t ln li a n d 与l a n d e s k m a n a g e m e n ts u i t e 。 员工行为管理系统( e a m ) ：系统包括两部分，一部分是员工网上行为管理( e i m ) ，另一 部分是员工桌面行为监测。目前国际上w e b s e n s e 软件市场占有率较高，国内深澜公司也 推出了类似产品n e t m a n a g e 。w e b s e n s e 可以与许多网络产品集成，一般在i n t e r n e t 应用 层、网络层实施信息控制，根据e l m 数掘库对数据进行过滤，并根掘用户、团组、部门、 工作站或网络设置不同的因特网访问策略，而且它还有一个专f r j 的报表工具w e b s e n s ee l m r e p o r t i n gt o o l s ，支持对信息的审计。 安全管理系统：该系统用于保障合法用户对资源的安全访问，防止并杜绝黑客的蓄意 6 浙江工业大学硕士学位论文 攻击和破坏。它包括授权设施、访问控制、加密及密钥管理、认证和安全日志记录等功能。 目前市场上这类的防火墙产品和i d s 产品很多，防火墙有c h e c kp o i n t ，n e t s c r e e n ，c i s e o p i x 等：而i d s 有i s s 公司的r e a l s e c u r e ，a x e n t 的i t a 与e s m ，以及n a i 的c y b e r c o p m o n i t o r 等。 新一代的网络监控系统正朝着综合化、智能化和标准化的方向发展，监控软件开发的 核心技术发展主要具备以下特征：一是开放性，即系统具备兼容性、可移植性、可互操作 性、可伸缩性和易用性等特征：二是分布式，这也是推动网络管理技术发展的核心技术， 越来越受到业界的重视和推广：三是基于w e b 的网络管理模式( w e b b a s e dm a n a g e m e n t ， w b m ) ，是近年来网管技术发展的一个流行趋势，相信不久的将来，便于远程管理的b s 结 构将逐渐成为主流：四是网络安全与网络管理的结合，这是网络综合化管理的发展趋势， 许多用户也希望能将二者综合应用于一种管理平台，有效地管理网络资源：五是能够提供 动态的支持服务，监控系统应具备足够的灵活性以适应网络的空前发展，能够管理智能网 络中的各种网络元素和任何应用服务器拉1 。 1 3 存在的问题 经笔者安装试用版l a n s e c s 内网安全管理系统，内网1 1 0 ，j b s e a r c h xi n t e r n e t 网 络监控系统发现，这类系统具有以下通用特征： 1 保护内网资源和服务； 2 记录用户操作； 3 监控用户行为； 4 审计安全事件； 5 整个系统分为三大部分：受控端( 也称受控端) 受监视和控制的机器，主控端一 一负责发出控制命令的部分，数据库服务器。 通过分析，各产品同质化程度较高，也发现了这些系统的些不足： 1 升级复杂； 2 。 安全事件传输的可靠性得不到保障； 3 管理员配置用户权限过于复杂； 4 受控端进程容易被人为终止； 5 某些方面控制力度不够精细。针对这些问题，本文介绍的内网监控系统依掘访问 控制模型进行架构，基本上克服了上述缺点，并捌有良好的接口，以便进行二次 浙江工业大学硕士学位论文 开发。 1 4 研究内容 本文旨在实现一个较为贴近用户的内网监控系统，通过对现有系统缺陷的分析，研究 了解决这些问题的一些策略，并将其应用到该系统中，具体工作主要体现在以下几个方面： 1 为了保证受控端进程实时、有效的监控，研究了自启动，自保护策略，通过挂钩 注册表修改函数，做到开机即启；以及进程文件完全隐藏的方式，启动后用户无 法关闭，同时不让用户察觉； 2 为了监视受控端是否启动非授权程序，研究了获取进程列表和信息的方式，并进 一步研究了终止进程的方式； 3 研究了屏幕监视、控制技术，通过获取鼠标信息，模拟鼠标事件，实现了类似远 程桌面的功能； 4 为了防止用户通过某些接口外设向外传输文件，研究了启用，禁用设备策略和方 式，通过使用w i n d o w sd r i v e rk i t 中的s e t u p 函数来实现： 5 研究了打印机变更和打印作业变更，只要用户打印作业，那么就会在打印机后台 记录并予以上传，上传信息包括用户打印的文件名、文件页数、文件字节数、打 印的用户名、打印时间。 1 5内容安排 本文共分5 章，安排如下： 第一章绪论。 课题研究背景介绍，通过分析内网安全问题及其研究现状、总结存在问题，提出构建 基于访问控制模型的内网监控系统。 第二章访问控制模型 介绍访问控制技术，得出内网监控系统与访问控制技术的关系，为将访问控制技术应 用到该系统打下基础。 第三章企业内网监控系统 对整个内网监控系统进行整体性介绍和模块划分，并对每个模块功能进行简要介绍。 第四章受控子系统 讨论受控子系统的设计，详细说明了笔者参与实现的模块及其实现的技术细节。 8 浙江工业大学硕士学位论文 第五章结论与展望。 总结了全文的研究成果，指出了本文研究的进一步工作，并对该研究领域的未来进行 了展望。 9 浙江工业大学硕士学位论文 第2 章访问控制模型 通过内网和外网相互的连接机制，企业信息网络内的员工可以于任何时间或地点，对 不同应用服务器上所存储的信息资源，进行交换或存取动作，为了使企业所属信息资源的 安全得到保证，信息系统除了需要有确认使用者的身份是否合法的能力外，还要求能够判 断使用者是否有权使用或更动某一项信息资源。这是信息安全的主要功能之一，也就是我 们常常说起的访问控制( a c c e s sc o n t r 0 1 ) h 1 。访问控制的这种特性，使其与内网监控系统 有着天生紧密的联系。以访问控制模型为依托，完善其执行组件的功能，是本系统设计的 核心思想，从另一个方面来说，本文介绍的内网监控系统就是一个访问控制模型在企业局 域网的具体实现及应用。访问控制模型是从访问控制的角度描述安全系统，主要针对系统 中主体对客体的访问及其安全控制。 访问控制安全模型中一般包括主体、客体，以及为识别和验证这些实体的子系统和控 制实体问访问的参考监视器。通常访问控制可以分为任意访问控制和强制访问控制h 。 任意访问控制允许命名用户以用户或用户组的身份访问用户规定的客体，阻止非授权 用户访问客体u n i x 和w i n d o w sn t 操作系统都提供任意访问控制功能，在基于任意访问控 制的操作系统中。主体自主负责设置访问权限，但是，作为许多操作系统设计的副作用， 一个或多个特权用户也可以改变主体的控制权限。 强制访问控制系统给主体和客体分配不同的安全属性，在实施访问时，系统需对主体 和客体的安全属性进行比较。再决定主体能否访问客体，强制访问控制对主体和客体标已 两个安全标记：一个是具有偏序关系的安全等级标记：另一个是非等级分类标记哺1 。强制 访问控制的另一个特征是你不能“向下写”信息。也就是说在系统中不允许向下一级泄密。 军方一直使用信息安全等级和范畴的方法来确定给出的信息只给那些“需要知道”信息的 人。 2 1i s o i e cl o l 8 l 标准 说起访问控制，那就不得不提到i s o le c i0 1 8 1 标准，浚标准山闻际标准组织 ( i n t e r n a t i o n a ls t a n d a r do r g a n i z a t i o n ，简称i s o ) 与国际电子工程委员会 ( i n t e r n a t i o n a le l e c t r ot e c h n i c a lc o m m i s s i o f f ，简称i e c ) 为丌放式系统环境下的信息 1 0 浙江工业大学硕士学位论文 安全理论模式所共同制定的，分为7 大部分：简介( o v e r v i e w ) 、身份认证、理论模式 ( a u t h e n t i c a t i o nf r a m e w o r k ) 、访问控制理论模式( a c c e s sc o n t r o lf r a m e w o r k ) i 不可抵 赖机制理论模式( n o n r e p u d i a t i o nf r a m e w o r k ) 、机密性理论模式( c o n f i d e n t i a l i t y f r a m e w o r k ) 、完整性理论模式( i n t e g r i t yf r a m e w o r k ) 和安全审计理论模式( s e c u r i t y a u d itf r a m e w o r k ) 。 在该标准中，定义了信息系统访问控制目标：当计算机系统所属的信息资源遭受未经 授权的操作威胁时，能够提供适当的管制以及防护的措施，来保护信息资源的机密性与正 确性。这些未经授权的操作威胁又包括：未经授权的使用( u n a u t h o r i z e du s e ) 、信息泄露 ( d i s c l o s u r e ) 、未被允许的修改动作( m o d i f i c a t i o n ) ，恶意破坏( d e s t r u c t i o n ) 以及服务中 断( d e n i a lo fs e r v i c e ) 这5 种。 2 2 访问控制功能组件 i s o i e c l 0 1 8 1 标准定义了访问控制系统设计时所需要的一些基本功能组件( a c c e s s c o n t r o lf u n c t i o n s ) ，通过对各功能组件之间的不同通信状态进行了描述。其中，访问控 制功能组件包括下列四个部分： 1 起始主体单元( i n i t i a t o r ) ：指计算机系统中操作系统资源的使用者或是计算机程 序等属于系统实体中的主动部分； 2 目的端客体单元( t a r g e t ) ：包括了计算机文件以及外围设备等资源，属于系统实体 中被动的部分； 3 访问控制的决策功能单元( a c c e s sc o n t r o ld e c i s i o nf u n c t i o n ，简称a d f ) ：根据 访问控制的执行功能单元( a e f ) 传送来的操作要求以及访问控制决策信息( a c c e s s c o n t r o ld e c i s i o ni n f o r m a t i o n ，简称a d i ) ，作判断执行权限的决策工作； 4 访问控制的执行功能单元( a c c e s sc o n t r o le n f o r c e m e n tf u n c t i o n ，简称a e f ) ： 负责建立起始端主体与目的端客体之间的通信桥梁，必须依照a d f 的授权指示实 施上述动作，也就是说，当起始端对目的端提出执行操作要求时，a e f 会将这个 请求通知a d f ，由其作授权准许的判定。 另外在建立主、客体之i 、日j 的通信桥梁之自i ，必须对如下情况进行判断，包括： 1 检查操作要求的起始端主体是否来自于相同的安全属性区域范围内( s e c u r i t y d o m a i n ) ； 2 检查所传送的执行要求内容的封包格式以及使用的加密算法是否正确： 浙江工业大学硕士学位论文 3 经过上述检查后，将主体执行要求传送至指定的a d f 中。 访问控制的功能组件及各组件之间的通信如图2 1 所示： 提交访问请求s u b m i t提交访问请求s u b m i t 请求判断决策核判决策 图2 - 1 访问控制的功能组件及各组件之间的通信 按照各功能组件的定义，可以清楚地发现，它们在现实中的表达形式与内网监控系统 的组成是高度吻合的。起始端主体就是内网系统中的受控端，目的端客体就是要监控的资 源，而控制的手段就是访问控制的执行功能单元组件，控制的依据则是决策功能单元组件。 2 3a d f 功能组件描述 在计算机系统中，a d f 饰1 是访问控制运作的核心。当a d f 对起始端主体所传送的执行要 求进行审核验证时，是根据不同来源端所送入的访问控制决策信息( a d i ) ，以及其它附属 信息作为审核的依据，如图2 2 所示： 起始端主题的a d i 执行请求的a d i 请求判断决策核判决策 访问控制政策规则 目标端客休的a d i 环境信息 浙江工业大学硕士学位论文 图2 - 2 访问控制决策信息( a d i ) 这些不同来源的a d i ，包括： 1 起始端主体的访问控制决策信息( i n i t i a t o ra d i ) ，它描述了起始端主体被赋予的 执行权限； 2 目标端客体的访问控制决策信息( t a r g e ta d i ) ，它描述了目标端客体可被操作的 权限范围： 3 执行要求所附带的访问控制决策信息( a c c e s sr e q u e s ta d i ) ，它是附带于执行权 限请求时的决策信息。 其它的附属信息包括了： 1 访问控制策略规则( a c c e s sc o n t r o lp o l i c yr u l e s ) ，它是根据a d f 所属的安全权 责机构，将所规范的策略转换为具体可被计机系统执行的规则； 2 控制环境的信息( c o n t e x t u a li n f o r m a t i o n ) ，包括了起始端主体所在的位置、必 须使用指定的计算机系统、或是限制其执行系统资源的时间，甚至必须于特殊的 通讯路径下执行等策略。a d f 中有一块区域是为保留a d i 设计的，用来协助系统 达到企业内部控制的工作，其做法是将事前获准执行的相关信息加以记录，同时 协助系统完成事前审计的任务。 a d f 作为内网系统的控制依据，主要关注控制的内容，也就是上面所说的a d i 信息， 在内网监控系统中它被映射为用户的行为，这是主控端制定策略一个重要依据。 2 4 访问控制策略介绍 访问控制策略表达了系统所定义的安全区域范围所需达到的安全标准。 i s 0 i e c l 0 1 8 卜3 定义了两种不同的信息安全策略，分别为：基于规则的处理方式 ( r u l e b a s e d ) 和基于个体的处理方式( i d e n t i t y - b a s e d ) 7 1 ，这两种策略也同时被定义于 c c i t tr e c x 8 0 0 i s 0 7 4 9 8 - 2 标准文件之中。访问控制策略是网络安全防范和保护的主要 策略，其任务是保护网络资源不被非法使用和非法访问，各种网络安全策略必须互相配合 爿。能真正起到保护作用，其包括： 1 入网访问控制策略：控制哪些用户能登录到服务器并获准使用网络资源，控制准许 用户入网时自j 和位置。用户的入网访问控制通常分为3 步：用户名的识别与验证， 用户口令的识别与验证，用户账号的默认权限检查； 浙江工业大学硕士学位论文 2 操作权限控制策略：针对可能出现的网络非法操作而采取安全保护措施。用户和用 户组被赋予一定的操作权限。网络管理员通过设置，制定用户和用户组可以访问 网络中的哪些服务器和计算机，可以在服务器或计算机上操纵哪些程序，访问哪 些目录、子目录、文件和其它资源。网络管理员还可以根据访问权限将用户分为 特殊用户、普通用户和审计用户，设定用户对可以访问的文件、目录、设备能够 执行何种操作； 3 目录安全控制策略：支持网络管理员控制用户对目录、文件、设备的操作，允许用 户在目录一级的操作对目录的所有文件和子目录都有效。用户可以进一步自行设 置对目录下的自控制目录和文件的权限，管理员则可以为用户设定合适的操作权 限： 4 属性安全控制策略：允许管理员在系统一级对文件、目录等制定访问属性：允许将 设定的访问属性与网络服务器的文件、目录和网络设备联系起来。在操作权限安 全策略的基础上，提供更进一步的网络安全保障。网络上的资源都应预先标出一 组安全属性，用户对网络资源的操作权限对应一张访问控制表，属性安全控制级 别高于用户操作权限设置级别，它包括向文件或目录写入、文件赋值、目录或文 件删除、查看目录或文件、执行文件、隐含文件、共享文件或目录等。允许管理 员在系统一级控制文件或目录等的访问属性，该种策略可以保护网络系统中重要 的目录和文件，维持系统对普通用户的控制权，防止用户对目录和文件的误删除 等操作； 5 网络服务器安全控制策略：允许在服务器控制台上执行一系列操作。用户通过控制 台可以加载和卸载系统模块，安全和删除软件。此策略包括设置口令锁定服务器 控制台，以防非法用户修改系统、删除重要信息或破坏数据；提供服务器登录限 制、非法访问者检测等功能： 6 网络监视和锁定策略：管理员能够对网络实施监控。网络服务器应对用户访问网络 资源的情况进行记录。对于非法的网络访问，服务器应以图形、文字或声音等形 式报警，引起管理员注意。对于不法分子企图进入网络的活动，网络服务器能够 自动记录这种活动的次数，当次数达到设定数量，该用户帐号将自动被锁定； 7 防火墙控