軍校安全管理平臺在涉密網絡的應用

葉昊亮

軍隊院校由于學習與工作的實際需要擁有多套網絡，除了只在學校內小范圍使用的各種專網外，使用最多的是兩套用于對外交流的網絡。一套是連接互聯網的校園網，用于查找學習科研資料以及與地方的各種交流，一套是連接涉密網絡的園區網，用于軍隊內部資料的查詢、傳輸以及與其他軍隊單位的交流。兩套網絡都對安全有很高的要求，而與相對開放的互聯網相比，相對封閉的涉密網絡對安全可信的網絡環境要求更高。而由于網絡性質的不同，其防護的側重點也與互聯網有所不同。

這套SMP安全管理系統，主要是從兩個方面來保障網絡的正常運行和安全使用，一個是網絡身份，另一個是網絡防護。

一、網絡身份的準入、準出控制和多重信息綁定

涉密網絡要求與其他網絡實行嚴格的物理隔離以保障安全，但在現實應用中存在一定的管控難題，多數院校教員和管理人員都需要同時使用校園網和園區網，這樣的需求使得兩套網絡部署的時候物理位置無法間隔太遠，無法從技術上嚴格避免人員使用時雙網隔離，這種情況下非法外連、同一計算機使用雙網等隱患情況就有可能出現，管理人員只能通過定期排查、人員教育等方法來進行這方面的監管，肯定不能保證萬無一失。為了解決這一安全隱患問題，SMP安全管理系統提供了網絡身份的準入、準出控制和多重信息綁定功能來解決。

通過安全管理系統的用戶管理功能，我們可以對接入涉密園區網的人員進行有效控制，只有通過管理人員嚴格審核后，開通了有效賬號的權限人員才能擁有接入涉密園區網的資格，擁有賬號的權限人員通過安全管理系統在個人計算機上安裝的客戶端檢測成功后登陸才能接入涉密園區網。這種準入、準出控制功能定位到了專人專號，避免了非權限人員隨意接觸使用涉密網絡的情況發生。

而通過安全策略模板的設置，對接入涉密園區網的計算機進行多重信息綁定，我們采用的是計算機MAC地址、IP地址、交換機IP地址、計算機接入交換機對應的端口以及個人賬號這幾項同時綁定，任何一樣信息檢測不匹配就無法接入園區網。保證了其他非保密計算機任何情況下都無法接入涉密園區網，保密計算機也無法移動到其他地點使用，避免了人員不規范使用的隱患。

網絡身份的準入、準出控制和多重信息綁定功能的同時運用，基本滿足了園區網對這方面安全使用的要求。

二、網絡環境的有效防護

涉密園區網對網絡環境的安全性要求很高，這就需要在各個層面（網絡、主機、管理）上都做好安全防護工作。

在網絡層面上，需要一個整體性的防護，防范從外部涉密網和內部園區網對學校發起的各種攻擊，并在攻擊事件發生時及時處理，特別注意要對園區網內的敏感資源進行重點保護。針對這方面的需求，SMP安全管理系統有相應的功能加以解決，敏感資源隔離模板可以專門為所有敏感資源IP配置隔離模板，一旦其遭到攻擊，立刻隔離資源主機，斷絕其與網絡的連接，若檢測到攻擊來自園區網內，其模板設置中同時有對攻擊源用戶從警告到強制下線的處理方式。同時為了不影響正常的工作使用，防止出現攻擊的誤認定而頻繁隔離，還使用了攻擊頻率分級處理模式，以完善的安全信息事件庫為基礎，結合安全事件級別和發生次數來進行相應的安全措施處理。還有專門的ARP欺騙免疫功能，可以通過安全管理平臺在各個網關上開啟ARP欺騙免疫。

在主機（終端）層面上，需要完成對于終端的各種常規防護，防火墻、殺毒軟件的安裝，微軟補丁的及時更新，保護計算機空置時段不被他人使用而安裝的屏幕保護措施，對USB接口等能做間接的訪問和數據交換的通道的封鎖等。在這方面SMP安全管理系統并沒有提供直接的防護終端的功能，而是通過設置規則組綁定的方式對用戶終端上安裝的軟件提出要求，任一項規則組要求的軟件未曾安裝，則無法通過認證檢測，不能連入涉密園區網。這就避免了用戶不安裝各種防護軟件而使得終端長期置于無防護狀態的情況發生。

在管理層面上，園區網的管理人員需要實時了解整個園區網、使用人員以及接入設備的狀態和情況，并在有需要時調閱以往情況來進行分析總結。

三、安全管理系統有待改進的功能

這套安全管理系統的功能在一些細節的地方還有待改進，主要是在系統功能的應用智能方面，并沒有能夠完全達到我們的要求。主要存在的問題有，在進行規則組綁定時，其綁定的只能是軟件的進程，當需要加入規則的軟件運行狀態下進程隱藏無法找到時，就無法進行綁定，也就無法控制用戶進行必需的安裝。同時，系統只能檢測到是否進行了軟件的安裝，但像殺毒軟件有否更新病毒庫，他則無法檢測和控制，使防護的有效程度存在疑問。

四、結論

通過上面對園區網安全要求以及安全管理系統功能的分析，我們可以了解，不論是一般的防護還是一些特別的需求，安全管理系統都基本能夠達到，雖然還有一點瑕疵，但身份控制、多重信息綁定以及規則設置、全網監控這些功能是切實有效的管理手段，可以幫助我們便利的完成園區網的防護和控制，打造一個安全而健康的網絡工作環境。