（计算机系统结构专业论文）基于内网的计算机资源安全管理系统的设计与实现.pdf

摘要 摘要 当今社会，许多企事业单位和高校均使用内网来组建各自的局部网络，这给 大量的资源共享带来了很大的便捷，同时也大大提高了内网使用人员的工作效率。 然而在这背后却隐藏着更深的问题，即内网计算机资源的安全问题。在企事业单 位内部，计算机资源的安全问题主要是指机密电子文档的泄露问题。因为在企事 业单位内部的工作人员经常利用职务之便，通过内网计算机的外围接口将机密电 子文档拷贝到某种外围存储设备，或者通过内网的i n t e m e t 连接使用某些网络程 序将机密电子文档发送到外网。也正是由于这个问题的存在，近几年来也吸引了 越来越多的学者和专业人士对其进行研究，而这个问题也渐渐为人们所关注。 本论文主要研究了基于w i n d o w sn t 平台的w d m ( w i n d o w sd r i v e rm o d e l ) 驱动模型技术以及网络封包拦截技术。在此基础上，本论文针对内网中机密电子 文档泄露的问题构建了一套基于内网的计算机资源安全管理系统。与传统内网安 全管理系统相比较，本系统不仅有结构简单、占用计算机资源和网络资源较少、 不会侵犯内网工作人员的个人隐私等特点，还具有以下两个创新点： 第一，在w i n d o w sn t 平台上设计了一种较为通用的设备过滤驱动程序框架， 并以此为基础，实现了内网计算机外围接口和外围设备( 如u s b 接口、并口和串 口、红外线接口、软驱、光驱等) 的禁用和启用控制功能。对于某些常用的外围 存储设备( 如u s b 存储设备) ，通过对其数据传输原理的分析，以所设计的通用 设备过滤驱动程序框架为基础实现了这些设备的只读控制功能。 第二，在w i n d o w sn t 平台上设计了一种传输层过滤驱动程序框架，并以此 为基础，实现了内网计算机网络封包的拦截。同时，以常用的应用层网络协议( 如 h 1 曙、f r p 、s m t p 等) 的解析为基础，对于从内网发送到外网的应用层数据， 根据策略做一定程度的内容审查，再由审查的结果来判断是否有可能是机密的电 子文档，如果有可能是机密电子文档则禁止其发送。 本文所阐述的系统是以w i n d o w sn t 平台的内核驱动技术为基础进行设计和 实现的，因此具有更高的安全性和可靠性，对于从根本上防止内网工作人员将机 密电子文档泄露出去有着重要的意义。 关键词：内网，w d m 驱动模型，网络封包拦截，内核 a b s t r a c t a b s t r ac t n o w a d a y s ，m a n yc o m p a n i e sa n du n i v e r s i t i e su s ei n t r a n e tt oc o n s t r u c tt h e i rl o c a l a r e an e t w o r k ，w h i c hb r i n g sal o to fe f f i c i e n c ya n dm u c hc o n v e n i e n c et or e s o u r c e s h a r i n g h o w e v e r , t h e r ei sas e r i o u si s s u ea st ot h i st e c h n o l o g y ：s e c u r i t yp r o b l e mo f c o m p u t e rr e s o u r c e w h i c hm a i n l yr e f e r st ot h el e a k i n e s so fc o n f i d e n t i a le d o c u m e n t s o n e t y p i c a le x a m p l ei se m p l o y e e sc a ne a s i l yg e ta c c e s st os u c hr e s o u r c e ，a n dl e to u t i n t e r n a le d o c u m e n t st h r o u g ht h ep e r i p h e r a le q u i p m e n to rw e bc o n n e c t i o n ，s u c ha s c o p y i n gc o n f i d e n t i a li n f o r m a t i o nt o c e r t a i ns t o r a g ee q u i p m e n to ru s i n gs o m ew e b p r o g r a mt os e n do u tt h ec o n f i d e n t i a ld o c u m e n t s d u et ot h ei m p o r t a n c eo f t h i sp r o b l e m ， m a n ys c h o l a r sa n d r e s e a r c h e r ss t a r tt ow o r ko nt h i sr e c e n t l y t h i st h e s i sf o c u s e so nw d m ( w i n d o w sd r i v e rm o d e l ) a n dn e t w o r kp a c k e t s i n t e r c e p tt e c h n i q u e sb a s e do nw i n d o w sn tp l a t f o r m u s i n gt h o s et w ot e c h n i q u e s ，t h i s t h e s i sb u i l d sa ni n t r a n e tr e s o u r c es e c u r i t ym a n a g e m e n ts y s t e md i r e c t l ya g a i n s tt h e s e c u r i t yp r o b l e mo fc o n f i d e n t i a li n t r a n e te - d o c u m e n t s c o m p a r i n gw i t ht r a d i t i o n a lo n e s ， t h i ss y s t e mn o to n l yh a ss i m p l es t r u c t u r e ，s m a l lr e s o u r c ec o n s u m i n g ，a n dn op r i v a c y v i o l a t i n gt oi n t r a n e te m p l o y e e s ，b u ta l s oh a st w oi n n o v a t i o n sd e s c r i b e d a sf o l l o w s ： f i r s t ，i td e s i g n sa na l l - p u r p o s ef i l t e rd r i v e rf r a m e w o r ko fe q u i p m e n t ，a n dc o n t r o l s u s a g ep e r i p h e r a le q u i p m e n t s ( s u c h a su s bi n t e r f a c e ，p a r a l l e li n t e r f a c ea n d c o m m u n i c a t i o n sp o r t ，i n f r a r e dp o r t ，f l o p p yd r i v e r , a n dc d & d v dd r i v e r ) o fi n t r a n e t c o m p u t e r sb a s eo nw i n d o w sn tp l a t f o r mi no r d e rt om a k es o m ed e v i c e s ( s u c h a su s b m a s ss t o r a g ed e v i c e ) r e a do n l yb ya n a l y z i n gt h ep r i n c i p l eo fi t sd a t at r a n s m i s s i o n b a s e do nt h ef i l t e rd r i v e rf r a m e w o r k s e c o n d ，i tc r e a t e s af i l t e rd r i v e rf r a m e w o r ko nt r a n s p o r tl a y e r , a n da l s o i m p l e m e n t sn e t w o r kp a c k e t si n t e r c e p t i o no nw i n d o w s n tp l a t f o r m o nt h eo t h e rh a n d ， a c c o r d i n gt ot h ea n a l y s i so fc o m m o na p p l i c a t i o n - l a y e rp r o t o c o l ( s u c ha s 哪f 1 限 a n ds m t p ) ，i ti n v e s t i g a t e st h ec o n t e n to fa p p l i c a t i o n - l a y e rd a t af r o mi n t r a n e ta n d m a k e sj u d g m e n to nw h e t h e rt h o s ea l ec o n f i d e n t i a le - d o c u m e n t sf r o mt h ec h e c k i n g r e s u l t i ft h er e s u l tt u r n so u tt ob et r u e ，t h e ns e n d i n go u tt h o s ed o c u m e n t sw i l lb e f o r b i d d e n i i a b s t r a c t t h es y s t e md i s c u s s e di nt h i st h e s i sc e n t e r so nt h ew i n d o w sn tk e r n e ld r i v e r t e c h n i q u e s t h u si ti sm u c hm o r es e c u r ea n dr e l i a b l e a n dt h em e a n i n go ft h i ss y s t e m t of u n d a m e n t a l l yp r e v e n ti n t r a n e te m p l o y e e sl e a k i n go u tc o n f i d e n t i a le - d o c u m e n t si s t h e r e f o r ev e r yo b v i o u s k e y w o r d s ：i n t r a n e t ，w d m ，n e t w o r kp a c k e t si n t e r c e p t i o n ，k e r n e l i i i 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 签名：日期：。k 宕年r 月订日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名： 第一章引言 1 1 研究背景及研究意义 第一章引言 当今社会，随着互联网络的发展和生活、学习、工作的需求，越来越多的个 人计算机接入到互联网。在互联网发展的同时，另一种网络也蓬勃发展起来。这 种网络是在一个局部地区范围内，把各种计算机、外围设备、数据库等相互连接 起来组成的计算机通信网，即本文所讨论的内网【1 1 。如今，内网已广泛使用于企 业、高校和政府部门，因此它已成为计算机通信网的重要组成部分。 当人们在享受内网带来的快速和便捷时，由于使用内网而造成的资源泄露问 题也日趋严重，同时由于这种资源泄露而造成的各个单位、部门、机构重大损失 的案例也比比皆是。美国联邦调查局( f b i ) 和计算机安全机构( c s i ) 等权威机 构的研究发现，超过8 0 的信息安全隐患是来自来组织内部1 2 】。在各种信息安全 威胁所造成的损失中，企业和政府机构因重要信息被窃所造成的损失排在第一位， 超过病毒感染和黑客攻击所造成的损失【3 】；最主要的信息安全事件为内部人员和 内外勾结所为。中国国家资源安全测评认证中心提供的调查结果显示，现实中主 要的威胁为内部人员造成的资源泄露【4 】，而非病毒、木马和外来黑客引起。据公 安部最新统计，7 0 的泄密犯罪来自于内部；电脑应用单位有8 0 未设立相应的 安全管理；5 8 无严格的调存管理制度【5 】。 由此可见，目前，由于内网的普及，内网计算机资源的泄露问题也日趋严重， 内网计算机资源的泄露主要是通过两个途径： ( 1 ) 在公网上有人通过黑客技术入侵内网计算机，窃取内网资源； ( 2 ) 使用内网的工作人员，利用职务之便窃取内网资源。 如今，各大企业、政府部门的机密资源大量的以电子文档方式存在，而电子 文档是很容易散播的。对于任何专用区域来说，使用防火墙或入侵防御系统，外 部的威胁已经基本可以应付。但是，对于企业或者政府部门内部来说，如果没有 一个很好的管理机制，内部威胁的存在性是必然的，而且往往是致命的。目前大 量的资源泄密手段往往是企业内部的工作人员通过对机密电子文档的直接收发和 拷贝造成的，这时防火墙、入侵检测等防护系统形同虚设，根本起不到任何保护 作用。因为防火墙或专网，只是解决了外部人员非法访问的问题，不能解决内部 1 电子科技大学硕士学位论文 人员通过电子邮件、移动存储设备等造成的资源泄露问题【6 j 。而这种资源泄露将 无法查证，造成的损失也将无法挽回。 目前，国家有关部门也开始重视内部网络资源泄露的问题，并逐步研究相对 的策略和防范手段。然而，现在并没有非常成熟的防止内网资源泄露的技术或产 品，因此，本文的研究内容是非常及时和有意义的。 本课题来源于国家高新技术研究发展计划( 8 6 3 计划，项目编号： 2 0 0 2 a a l 4 2 0 8 0 ，信息安全产品演示和验证平台) 的子课题：“内部网络监管系统 。 1 2 国内外研究现状 现在，很多企业和政府机构在防止内网机密资源泄露所采用的方法和手段还 停留在非常原始的阶段，大致措施有以下几种p j ： ( 1 ) 禁止网络联接，禁止自己的员工上网，或严禁涉密或涉及核心技术、专 利的计算机上网；即使可以上网也禁止员工使用网络通讯工具，禁止员工发送邮 件。 ( 2 ) 禁止员工使用移动存储设备，如：软盘、光盘、闪存存储设备( u s b 盘，u s b 硬盘) 等。 ( 3 ) 拆除光驱、软驱，采购计算机时不采购光驱、软驱等设备，避免使用这 些设备失泄密，尽可能的堵住失泄密的漏洞。 ( 4 ) 在一些外设接口( 如u s b 接口、串并口、火线接口、p c m c i a 接口等) 上贴上封条，并派专人定期检查这些封条的好坏和状态。 这些方法和措施，都是人为的控制、监督和管理的方法，目的就是为了堵住 可能的泄密途径和漏洞。这些方法都是人治的方法，不能从技术上和从本质上解 决内部员工失泄密的问题。 同时，这些方法和措施存在很多问题和风险： 首先，这些解决方案是强制的安全管理方法，不易被员工所接受，可能会带 来员工的逆反心理，有意识的制造失泄密事件。 其次，这些解决方案本身还不完善，还存在诸多隐患，无法全面阻止员工的 失泄密行为，无法真正防止失泄密事件的发生。 最后，这些解决方案给实际工作带来的很多不便，致使员工的工作效率下降， 得不偿失。 而近几年，国内外也出现了一些防止内部网络资源泄露的软件产品，而这些 2 第一章引言 产品大多数是以监控内网用户的行为为主，大致归纳一下这类产品有以下一些功 能【8 l ： ( 1 ) 屏幕快照、屏幕追踪、屏幕回放：屏幕快照抓取员工计算机当前的工作 屏幕；屏幕追踪能定时连续不断地追踪员工计算机的工作屏幕； ( 2 ) 文件及目录操作记录t 详细记录文件创建、重命名、删除的情况，详细 记录文件夹创建、重命名、删除等情况； ( 3 ) 打印机操作记录：记录员工的打印机使用情况，包括打印的文档名、页 数、打印时间等； ( 4 ) 硬件使用限制：限制使用u s b 设备、u s b 存储设备、光驱、软驱的使 用。 虽然这些产品的出现在一定程度上限制了内网资源的泄露，但还存在以下不 足： ( 1 ) 监视用户屏幕有可能会使内网用户的某些隐私被暴露； ( 2 ) 可能会存在有些操作没有及时记录的情况，而且只能发现泄密事件而无 法及时阻止； ( 3 ) 对于硬件使用限制功能的实现只是停留在操作系统的应用层，很容易被 对计算机较为熟悉的内网用户破解； ( 4 ) 无法限制内网用户通过电子邮件等网络手段进行资源泄露。 随着企业安全意识的逐步提高，目前相当一部分企业，尤其是大中型企业， 不仅采购了防病毒、防火墙等安全产品，还采购了内网监控等安全产品，并且制 定了企业自己的安全策略或者安全制度。如何使各种安全产品和安全机制得到正 确的配置和使用；如何保证企业的安全策略或安全制度被彻底执行，更好的防止 内部网络机密资源的泄露，己成为企业面临的一个新的挑战。 企业用户对于内部网络的安全问题越来越重视，内部监控软件是通过对计算 机终端的资源和行为的控制来达到保护内部安全的目的，是内部安全系统中必不 可缺的部分。因此，对内部监控系统的选择是内网安全的重要环节。 就目前在限制内网用户泄漏内网机密资源的方法和手段上存在的不足，在未 来几年将呈现以下几种发展态势： ( 1 ) 如何保证内网用户的隐私不被暴露； ( 2 ) 如何在尽可能不限制硬件设备的使用的情况下，提高监控的力度； ( 3 ) 如何对通过网络的内网资源的泄漏进行监视和控制； ( 4 ) 如何监控系统更加智能化，能对从内网计算机中通过计算机接口和网络 3 电子科技大学硕士学位论文 进行外传的资源进行识别，区分其是否是机密资源，从悉实行相应的措施； ( 5 ) 对已经造成是泄密的事件如何进行取证( 追溯性) ； ( 6 ) 如何保证不该被带出办公室的移动计算机不被带出办公室。【9 】 1 。3 本论文的工作简述 本论文将以如何防止内网用户泄露内网计算机资源为主要研究内容，将研究 重点放在以下两个方面： 第一，在w i n d o w sn t 平台上设计一种较为通用的设备过滤驱动程序框架， 并实现内网计算机外围接豳和外圈设备( 如u s b 接霞、并豳和串口、红外线接嚣、 软驱、光驱等) 的禁用和启用控制功能。对于某些常用的外围设备( 如u s b 存储 设备) ，通过对其数据传输原理的分析，利用所设计的通用设备过滤驱动程序框架 实现这些设备的只读控制功能。 第二，在w i n d o w sn t 平台上设计一种传输层过滤驱动程序框架，并实现内 嬲计算机网络封包的拦截。同时，以常用的应用层网络协议( 妇聊、f i t 、 s m t p 等) 的解析为基础，对从内网发送到外网的应用层数据根据某种策略做一 定程度的内容审查，爵由审查的结果来判断是否有可能是机密的电子文档，如果 有可能是机密电子文档则禁止其发送。 1 4 论文的章节安排 本论文共分七章： 第一章从课题研究背景出发，分析内网安全问题及其国内外的研究现状，提 出了本文所要解决的闯题。 第二章介绍内网的定义及近几年的发展和研究方向，论述了传统内网安全系 统的主要功能和存在的不足，并提出了基于内网的计算机瓷源安全管理系统。 第三章是理论研究部分，对于w i n d o w sn t 平台下内网安全两大核心技术进 行了研究，确定了整个基于内网的计算机资源安全管理系统的技术路线。 第四章是系统的整体设计部分，阐述了基于内阚的计算机资源安全管理系统 功能需求和总体的框架设计。 第五章是系统的实现部分，阐述了基予痰嬲的计算机资源安全管理系统的具 体实现，特别着重的阐述了内核驱动部分的具体实现。 毒 第一章引言 第六章是系统的测试部分，在一个小型内网环境下对该系统做了功能和稳定 性的测试，并以测试用例和测试截图的形式给出t i l l 试的结果。 第七章总结了本文所阐述的内网计算机资源安全管理系统具有的特点和有所 创新的地方，提出了该系统的不足，并对今后在该领域里的进一步研究开发工作 进行了展望。 5 电子科技大学硕士学位论文 第二章内网安全系统简介 当今社会，随着互联网技术的发展，政府和企业信息化进程的不断加快，计 算机内网的应用也同益普及，如何在各类计算机内部信息网络中建立健全的计算 机资源安全管理系统，已经成为计算机局域网络发展的首要环节和关键技术i “i 。 而整个内用计算机资源安全管理系统是如何架构在这个内网之上，以及需要实现 哪些功能也是人们必然关心的问题，介于以上几点原园，本章简要介绍了内网的 概念以及内网安全的发展和研究方向，总结了传统内网安全系统的功能及特点， 并指出其存在的不足。 21 内网的定义及特点 内网即i n t r a n e t ，是一种基于t c p i p 网绍通信协议的信息系统”，其拓扑结 构如图2 - 1 所示。狭义上人们认为所有的党政机关、企事业单位的内部网络都称 为内网，广义上认为与互联网物理隔离的办公网，局域网、城域网或广域网都可 能是内网吲。在当前系统中所定义的内网是指物理上直接连接或通过交换机、路 由器等网络设备间接连接的企业局域网。从企业角度来看但凡涉及内部秘密资 源的信息系统均属于内网，因此，在这个内同计算机资源安全管理系统中，如何 限制、电录用户与外网的连接，以及与外围硬件设备的信息交互，已成为内网系 统的主要功能。 甸 路由器 图厶l 内网的拓扑结构 内网一般具有以下特点【1 3 1 ： 6 第二章内网安全系统简介 ( 1 ) 覆盖范围一般在几公里以内； ( 2 ) 采用专用的传输媒介来构成网路，传输速率在1 兆比特秒到1 0 0 兆比 特缈之阆或更高； ( 3 ) 多台( 一般在数十台到数百台之间) 设备共享一个传输媒介； ( 4 ) 网络的布局比较规则，在单个内网内部一般不存在交换节点与路由选择 问题； ( 5 ) 拓扑结构主要为总线型或环型。 2 2 内网安全的发展和研究方向 企业用户对于内部网络的安全问题越来越重视，由此而逐渐壮大的内网安全 软件行业新产品也层出不穷。在众多的产晶中，内部监控软件是通过对计算机终 端的资源和行为的控制来达到保护内部安全的霉的，是内部安全系统中必不可缺 的部分。因此，对内部监控系统的选择是内网安全的重要环节。 内容安全性是遐际溺络安全( i n t e m e ts e 镛f i l 协中最重要的议题i 蚓，它结合了多 层次防毒与可携式程序1 1 引，并能管理网际网络上重要内容的传输，避免资料遭到 滥用。据i d c 公布的最新报告显示，内网安全管理市场将以1 6 9 的年平均复合 增长率增长，到2 0 0 8 年时市场规模将达到7 5 亿美元1 1 6 1 。在中国，内网安全管理 正从萌芽期转入成长期，据赛迪顾问的预测，中国网络安全市场将在2 0 1 0 年突破 1 0 0 亿元的规模，而增长最快的将是内网安全产品吲。 今天世界已发展成为个地球村，依赖的就是无处不在的网络技术。网络技 术的迅猛发展使人们对网络冒益依赖，网络安全离题也突显搬来。在世界范围内， 网络安全技术受到前所未有的高度重视，融成为世界经济、技术发展中的关键技 术之一。随着办公自动化在政府和企业中的应用，内都网络通信的重要性日益凸 显。在一个单位里，内部网络的建立可节约包括时间、人员、低值易耗品等资源， 大大控制了成本。但凡事皆有利有弊，由于网络的共享性而造成的泄密事件往往 能给一个企韭带来致命的打击。如果这种网络安全事故出现在政府部门，那么泄 露的有可能是国家机密，这种损失将不可估量。 有调查显示：超过8 5 的安全威胁来函组织内部，有1 6 来童内部未授权的 存取，各种安全漏洞造成的损失中，3 0 4 0 是由电子文件泄露造成的，而在财 富排名前1 0 0 0 家的公司中，每次电子文件瀵露所造成的损失平均是5 0 万美元h 8 1 。 外网被攻击好似外伤，只是皮肉之苦；而对内网进行的攻击，才是最致命的，攻 7 电子科技大学硕士学位论文 击者可以直接深入脊髓，对企业可以造成致命一击。因此，对于企业内网来说，行 之有效的安全管理措施是各种规模企业所企盼的，固若金汤的城池，往往在内部 安全威胁面前形同虚设。“内忧 胜于“外患”，企业不仅需要铸造如同长城一般 的边关防御体系，同样需要着重管理，打造安全和谐的内部环境【1 9 】。应内网普及 而衍生出来的内网安全控制产品恰好迎合了企业在内网应用方面的需要。既延续 了内网信息共享的优势，又保证了内部机密资料的安全。就国内而言，内网安全 这一论题仍然落后于世界发达国家。原本内网安全产品就少之又少，质量也参差 不齐，多数内网安全件仍存在漏洞，并不能完全杜绝企业机密的外泄。 网络科技所带来的安全性问题己不再只是抵御外部攻击和简单的病毒防治， 当管理者花费大量资金和心血为企业构建好企业内外网络应用环境时候，熟不知 真正威胁企业发展和生存的是来自内部网络的安全隐患，而且造成的危害远大于 一次黑客攻击和一次病毒骚扰。因此企业在关于内部网络安全方面应该有以下全 面的认识： ( 1 ) 注意内网安全与网络边界安全的不同。 内网安全的威胁不同于网络边界的威胁。网络边界安全技术防范来自i n t e m e t 上的攻击，主要是防范来自公共的网络服务器如h 1 r p 或s m t p 的攻击。网络边 界防范( 如边界防火墙系统等) 减小了资深黑客仅仅只需接入互联网、写程序就可 访问企业网的几率四l 。内网安全威胁主要源于企业内部，恶性的黑客攻击事件一 般都会先控制局域网络内部的一台服务器，然后以此为基地，对内网或i n t e m e t 上的其他主机发起恶性攻击。因此，应在边界展开黑客防护措施，同时建立并加 强内网防范策略。 ( 2 ) 限制v p n 的访问。 虚拟专用网( v p n ) 用户的访问对内网安全造成了巨大的威胁。很明显v p n 用 户是可以访问企业内网的，因此要避免给每一位v p n 用户访问内网的全部权限。 这样可以利用登录控制权限列表来限制v p n 用户的登录权限的级别，即只需赋予 他们所需要的访问权限级别即可，如访问邮件服务器或其他可选择的网络资源的 权限i z l j 。 ( 3 ) 为合作企业网建立内网型的边界防护。 合作企业网也是造成内网安全问题的一大原因。例如外部合作人员可以在必 要时候带机器接入内网，这就是因为企业给了他们的合作伙伴进入内部资源的访 问权限。因此，必须能提供i 临时的有限的策略来提供协同工作网络环境，而同时 不允许他们对内网其他资源的访问，并监控和记录其网络行为，设置相应的预警 8 第二章内网安全系统简介 条件【2 2 1 。 ( 4 ) 自动跟踪的安全策略。 智能的自动执行实时跟踪的安全策略是有效地实现网络安全实践的关键。它 带来了商业活动中一大改革，极大的超过了手动安全策略的功效。商业活动的现 状需要企业利用一种自动检测方法来探测商业活动中的各种变更，因此，安全策 略也必须与其相适应。例如实时跟踪企业员工的雇佣和解雇、实时跟踪网络利用 情况并记录与该计算机对话的文件服务器。总之，要做到确保每天的所有活动都 遵循安全策略( 离线和在线) z 3 l 。 ( 5 ) 管理用户可信的访问网络服务器。 企业各类核心服务器保存了企业的核心机密数据和技术资料，数据库、邮件、 文档等业务服务器必须经过用户合法性验证，合法用户的操作也要被记录作为凭 据。 ( 6 ) 合理分级保护重要资源。 若一个内网上连了千万台( 例如3 0 0 0 0 台) 机子，那么要期望保持每一台主机 都处于锁定状态和补丁状态是非常不现实的。大型企业网的安全考虑一般都有择 优问题。这样，首先要对服务器做效益分析评估，然后对内网的每一台网络服务 器进行检查、分类、修补和强化工作。必定找出重要的网络服务器( 例如实时跟踪 客户的服务器) 并对他们进行限制管理。这样就能迅速准确地确定企业最重要的资 产，并做好在内网的定位和权限限制工作【2 4 1 。 ( 7 ) 建立可靠的无线访问。 审查网络，为实现无线访问建立基础。排除无意义的无线访问点，确保无线 网络访问的强制性和可利用性，并提供安全的无线访问接口【2 5 1 。将访问点置于边 界防火墙之外，并允许用户通过v p n 技术进行访问。 ( 8 ) 建立安全过客访问。 对于过客不必给予其公开访问内网的权限。许多安全技术人员执行的“内部 无i n t e r n e t 访问”的策略，使得员工给客户一些非法的访问权限，导致了内网实 时跟踪的困难。因此，须建立外来接入安全控制策略。 ( 9 ) 创建虚拟边界防护。 主机是被攻击的主要对象。与其努力使所有主机不遭攻击( 这是不可能的) ， 还不如使攻击者无法通过受攻击的主机来攻击内网。于是必须解决企业网络的使 用和在企业经营范围建立虚拟边界防护这个问题。这样，如果一个市场用户的客 户机被侵入了，攻击者也不会由此而进入到公司的研究与开发部门。因此要实现 9 电子科技大学硕士学位论文 公司研究与开发部门与市场部门之间的访问权限控制。必须建立内网上不同用户 群( 网络域) 之间的密钥管理策略【删。 ( 1 0 ) 可靠的安全决策。 网络用户也存在着安全隐患。有的用户或许对网络安全知识非常欠缺，安全 策略的制定和部署应该做到集中控制和管理，同时允许用户根据实际情况反馈对 于获得策略的变更，伎内部网络安全管理自动化、人性化，同时大大降低了用户 的操作难度【2 7 】。 目前关于内网安全的研究主要有以下几个重点方向： 研究主题之一：内网安全基础技术研究。 传统的安全基础技术包括：内部访问控制、统一身份认证及加解密算法、安 全协议的分析研究。侧重在针对特殊应用的实用算法的分析、提出、改进和实现 的研究。研究目的是掌握传统信息安全的数学工具，可灵活地应用在实际系统中。 如：证书交换、私钥管理和交换等都是在这一主题下的工作【2 8 1 。 研究主题之二：内网入侵及防范技术研究。 主要研究外部主机在非授权情况下接入访问内部网络或者非授信域主机访问 内部网络；研究内部网络的入侵检测、入侵响应及防范技术，网络入侵行为描述 及入侵检测系统通讯的统一标准及协议，提出并实现针对不同内部网络拓扑模型 的防护措施f 冽 2 9 】。 研究主题之三：系统安全体系及安全策略部署管理研究。 主要研究应用层基础服务系统的安全整体策略，基于受保护基础服务的特点， 提出内网安全体系建立在符合各类组织结构基础上的层次和分级概念。研究包括： 内网安全系统的特殊性，相应的攻击手段的特点，适应组织机构的全面防范体系， 系统抗毁恢复技术等。目的是提供完整的体系与策略来保障特定系统的安全。如： 对如何保护w e b 服务器、e m a i l 服务器、关键数据服务器安全的研究、如何保障 内外网安全隔离的研刭3 0 1 。 研究主题之四：内网内容安全分析及保障技术研究。 主要研究应用层对信息内容有安全要求的高层应用的安全性。研究包括：网 络信息内容的获取技术，研究如何在大规模内网环境中保护信息内容的安全存储、 安全交换和安全更新技术，防护过程中预报警技术，在发现目标时的报警技术， 包括通过终端或移动通讯设备报警；数字信息的版权保护技术【3 l l 。 研究主题之五：内网信息设备的安全保障。 主要研究信息设备的登记和管理、信息资产的变更和维护管理、以及基于此 1 0 第二章内网安生系统简介 基础上的软件安全安装和设置等问题，为内网的各类应用提供稳定可靠的硬件环 境。 本文所讨论的基于内网的计算机资源安全管理系统主要是针对研究主题之四 内网内容安全分析及保障技术研究，以及研究主题之五内网信息设备的 安全保障，这两个方面做了更为深入的研究，而设计出来的。 23 传统内网安全产品总括介绍 现在市面上也出现了不少内网安全产品，作者通过对这些产品的研究，将这 些产品的总体架构、功能做一个概括性的描述，并指出其存在的不足点。 2 3 1 传统内网安全系统总体架构简介 传统的内网安全系统分为两大子系统以及数据库服务器。两太子系统分别是： 被控端子系统和主控端子系统。如图2 - 2 所示，被控端、主控端和数据库服务器 位于同一个局域网内。被控端安装在内网中期望被监控的主机上；主控端和服务 器安装在位于同一内网的其他主机上管理人员可以通过主控端配置、下发策略 来监视被控端的行为，同时内网管理员可以通过主控端提供的功能实时查看被控 端，来了解被控端的情况和用户当前的行为。 黟j9p 主控机 臼9 数据库服务器防火墙 圈2 - 2 内网安全系统架构图 有些内网安全系统还加入了中间件的设计。中日j 件的加入是为了保证策略文 件的顺利下发和安全事件的准确上传。一般来说中间件系统会使用u d p 协议模拟 t c p 协议的3 次握手，以保证数据传输的可靠性，并提供数据重传和差错处理机 制。 电子科技大学硕士学位论文 2 3 2 传统内网安全系统的功能总结 大多数内网安全系统按照功能一般可划分为5 大模块，各个模块针对系统的 被控端子系统和主控端子系统分为两端。加入中间件设计的内网安全系统中，被 控端和主控端通过中间件子系统进行交互，而没有加入中间件设计的内网安全系 统中则通过内网的网络连接直接交互。内网安全系统5 大模块分别为：角色管理 模块、策略发布模块、运行状况监控模块、失泄密监控模块、安全事件审计模块。 各个模块功能介绍如下： ( 1 ) 基于角色的管理模块：不同被控端的不同用户都对应一个受控制的主体， 被控端自动收集该信息，由主控端管理员作进一步配置。管理员对这些主体划分 不同的角色，并为角色指定权限，便于分类管理。 ( 2 ) 策略发布模块：该模块主控端的部分负责将定义好的安全策略通知发布 到被控端，而被控端的部分则负责更新原来的策略并将其应用。 ( 3 ) 运行状况监控模块：对被控端的桌面和后台资源的使用情况进行监视和 控制。包括以下功能：屏幕监视、系统信息、硬件清单、进程信息、进程终止、 远程目录、远程搜索、系统锁定和系统解锁。该功能有助于内网管理人员实时了 解各被控机的工作情况，随时巡查内网用户行为有无异常、主机和网络资源的消 耗状况等，作为临时的、局部的控制手段。 ( 4 ) 失泄密监控模块：个人计算机系统信息外传的途径主要有网络传输和外 围设备接口传出。针对这两种泄密途径，系统提供用户可以根据实际情况，按角 色选择启用或禁用外围设备接口的功能；而对于网络传输，采用嗅探器的原理对 策略指定的某些网络协议进行监控( 如对邮件发送进行监控) ，同时还记录日志以 备事后分析。此外，还记录被控端的文件操作，并将记录的日志上传到数据库。 ( 5 ) 安全事件审计模块：对报警规则的设置和报警处理要考虑分级( 普通、 警告、报警) ，能够让管理员对系统收集到的安全事件进行统计分析、事后追踪， 并可以将分析内容导出到w o r d 或e x c e l ，供管理员作进一步处理生成报表。 2 3 3 传统内网安全系统存在的不足 纵观以上5 大模块，对于内网安全最为重要的模块是失泄密监控模块，然而 这个模块却存在以下不足： ( 1 ) 在网络传输方面只是监控了内网用户的某些网络传输行为，并不能在泄 密事件发生时进行阻止； 1 2 第二章内网安全系统简介 ( 2 ) 对于外设接口的控制很多只是运用了应用层的技术，对计算机稍有了解 的用户可以轻易打开这些被禁用的外设接口； ( 3 ) 对于内网工作人员的网络监控侵犯了内网工作人员的个人隐私； ( 4 ) 上传太多的记录信息，增加了网络负担，造成数据库服务器冗余信息太 多，浪费了过多的内网资源。 核心模块无法提供完善的功能，使得传统的内网安全系统在保证内网安全方 面存在严重的不足和缺陷，所以在这个基础上作者提出了基于内网的计算机资源 安全管理系统，这个系统针对传统内网安全系统的不足之处提出改进，运用更为 可靠和底层的内核驱动技术，从系统的内核层上来解决内网安全所存在的问题。 同时为了切合市场的需求，该系统也可以被嵌入到传统的内网安全系统中，作为 一个子系统运行。 2 4 本章小结 本章主要介绍了内网的概念、特点，内网安全的发展和研究方向。简要介绍 了传统内网安全系统的总体架构和功能，并指出其存在的不足，从而提出了本文 所要阐述的基于内网的计算机资源安全管理系统。 电子科技大学硕士学位论文 第三章w d m 驱动模型技术及网络封包拦截技术的研究 本章主要针对w i n d o w sn t 平台下两大核心技术- w d m 驱动模型技术和 网络封包拦截技术做了深入的研究和分析，阐述了将其引入内网安全系统的可行 性。 3 1w in d o w sn t 平台下w d m 驱动模型技术研究 在w i n d o w sn t 平台下由于计算机的硬件资源是由操作系统控制并且受操作 系统保护的，一般用户无法绕过操作系统直接访问硬件资源，控制硬件的启用或 禁用。本节所研究的内容就是是否可以自行设计w i n d o w s 平台的w d m 驱动程序 来访问和控制硬件，限制硬件的某些操作，如读或写，从而解决机密电子文档通 过计算机外围设备进行非法传播的问题。 3 1 1win d o w sn t 系统内核概述 要研究w d m 驱动模型，首先要认识基于该驱动模型的操作系统的系统结构， 并且要以驱动程序开发者的视点为基础来理解这种系统结构。图3 1 p z j 是以驱动 开发者的视点所看到的w i n d o w sn t 类操作系统( w i n d o w sn t 操作系统包括 w i n d w o s2 0 0 0 ，w i n d o w sx p ，w i n d o w s2 0 0 3 的各个版本) 的系统结构，图3 1 着重展示了驱动程序开发者所关心的特征。由图3 1 中可以看出，w i n d o w sn t 系统主要分为两个模式，即内核模式和用户模式，这也正好对应了x 8 6 系列中央 处理器的两个特权级别：r 0 和r 3 。而在w i n d o w sn t 操作系统中运行的软件要 么在用户模式中运行，要么在内核模式中运行。一般来说，应用程序运行在用户 模式，而驱动程序则运行在内核模式。当用户模式的程序需要读取设备数据时， 它就会调用w i n 3 2 a p i 函数。例如，某一文本编辑程序( 如w i n d o w s 自带的写字 板程序) 通过调用w r i t e f i l e 这个w i n 3 2a p i 将文档的内容存储到硬盘上的某一文 件中。这个调用触发以后，在用户模式的w i n 3 2 子系统模块( 如k e r n e l 3 2 d l l ) 通过调用平台相关的系统服务接口实现该a p i ，而平台相关的系统服务将调用内 核模式支持例程。在w r i t e f i l e 的调用中，调用首先到达系统d l l ( m 巾儿d l l ) 中的一个入口点n t w r i t e f i l e 函数；然后这个用户模式的n t w r i t e f i l e 函数接着调 1 4 第三章w d m 驱动模型技术及网络封包拦截技术的研究 用系统服务接躁，最后患系统服务接墨调用内核模式中的服务例程，该倒程同样 名为n t w r i t e f i l e 。 圈3 - 1 中有个所谓的“f o 管理器( i om a n a g e r ) ，在关于驱动开发的书 籍中或其他相关文献中都会用到这个术语，其实，系统中并不存在名为“i o 管 理器”的单独执行模块。然而，当讨论围绕在驱动程序周围的操作系统服务时， 还是需要使用一个名字来作代表，而“i 0 管理器就是通常使用的名字【翊。 用户模式 内核模式 图3 - 1w i n d o w sn t 的系统结构 系统中还有许多与n t w r i t e f i l e 相似的服务例程，它们同样运行在内核模式 中，为应用程序请求提供服务，并以某种方式与设备交互。它们首先检查传递给 其自身的参数以保护系统安全或防止用户模式程序非法存取数据，这也是一般用 户无法直接访阀硬件的原因。接下来系统剑建一个称为“中断请求包( 礞p ) 的 数据结构，并把这个数据结构送到某个驱动程序的入口点。例如，在w r i t e f i l e 的 调用中，n t w r i t e f i l e 将创建一个主功能代码为i r pm jw r i t e ( d p k 头文件中 的一个常量) 的i r p 。虽然实际的处理细节可能会有所不同，但对于n t w r i t e f i l e 电子科技大学硕士学位论文 例程，可能的结果是，用户模式调用者得到一个返回值，表明该i r p 代表的操作 还没有完成。用户模式程序也许会继续其它工作然后等待操作完成，或者立即进 入等待状态。不论哪种方式，设备驱动程序对该i r p 的处理都与应用程序无关。 执行i r p 的设备驱动程序最后可能会访问硬件。对于p i o 方式的设备，一个 i r pm jw r r r e 操作将导致直接写入设备的端口( 或者是设备实现的内存寄存 器) 。尽