涉密網(wǎng)可疑設備的“實時”報警策略研究

◆張前 馬健 徐發(fā)強

（玄武區(qū)人民檢察院 江蘇 210018）

1 前言

在涉密單位的內(nèi)部局域網(wǎng)上，凡是接入的電子設備，比如電腦、服務器、監(jiān)控攝像頭等，都是需要嚴格登記和管理的，這些設備不僅需要分配固定IP，指定保密責任人，還會在涉密網(wǎng)交換機端口綁定其MAC 地址，只允許特定的設備上網(wǎng)。這些管理方式可以阻止未登記的電子設備接入涉密網(wǎng)，但不能對非法接入行為進行監(jiān)測和報警。并且，實際工作中，難免存在管理措施及技術(shù)保障落實不到位的情況，那么對這種非法接入涉密網(wǎng)的實時報警就顯得十分必要了。

本文基于電子設備接入網(wǎng)絡時一定具有其唯一的MAC 地址，并且該MAC 地址可被在線搜索讀取的特點，通過編寫CMD 搜索程序（即DOS 操作系統(tǒng)的命令程序，其優(yōu)點是無須編譯，在Windows 系統(tǒng)中可以直接運行），實時監(jiān)測涉密網(wǎng)上的所有電子設備，對比涉密網(wǎng)上的登記在冊的MAC 地址清單，對新出現(xiàn)的MAC 進行報警，如果將一個網(wǎng)段的地址進行分段并行搜索，以花費極短的捕獲時間，達到“實時”報警的目的。

2 基于MAC 的“無死角”搜索策略

涉密單位的涉密局域網(wǎng)上，非法電子設備必須配置特定網(wǎng)段IP地址，才能訪問網(wǎng)絡資源，并且其自身MAC 也是全球唯一的，因此，我們可以通過PING 命令“無死角”地掃描涉密網(wǎng)段所有IP，逐個讀取其MAC 地址，比對登記在冊涉密電子設備MAC 地址清單，如果發(fā)現(xiàn)其不在清單中，就可以認定其為新出現(xiàn)的可疑設備，即時報警。

如圖1所示，基于MAC 的“無死角”搜索策略的編程思路是：程序自動后臺運行；先復制最新“涉密電腦MAC 清單.txt”文件作為比對之用；在涉密局域網(wǎng)，依次PING 段內(nèi)IP，無論返回什么信息，均馬上用ARP 命令讀取該IP 對應的MAC 地址；在確認MAC 地址為有效的后，對比其MAC 是否包含在涉密電腦清單以內(nèi)，如果是就繼續(xù)掃描下一個IP，一個網(wǎng)段全部掃完后再從頭開始循環(huán)掃描，如果單位有其他網(wǎng)段，則切換網(wǎng)管電腦的IP 到新網(wǎng)段上，掃描新網(wǎng)段；如果發(fā)現(xiàn)掃描獲取的MAC 不在涉密電腦清單以內(nèi)，則觸發(fā)報警，程序可以播放報警音樂，還可以發(fā)送Windows 報警信息，接收信息的電腦會出現(xiàn)報警彈窗，具體參考圖2 和圖3。

圖1 基于MAC 的“無死角”搜索策略的編程思路

圖2 電腦播放音樂報警

圖3 電腦屏幕彈窗報警

發(fā)現(xiàn)警情后，技術(shù)人員可以查詢程序記錄的LOG 文件，獲得可疑設備的IP 和MAC，可以通過登錄核心交換機和匯聚交換機，查詢可疑設備的MAC 來自哪個端口以及哪個房間，如有違規(guī)違法情況，則移交相關部門處理。

3 基于分段并行的高速搜索策略

對可疑電子設備的非法接入，越早發(fā)現(xiàn)越好，這就要求程序的搜索捕獲時間越短越好。為了進一步縮短捕獲時間，本文提出了分段并行的搜索策略，即當搜索一個IP 網(wǎng)段時，可以同時運行N 個搜索子程序，每個搜索子程序搜索的IP 范圍只是這個IP 網(wǎng)段的1/N，比如，當N=256 時，每個并行搜索的子程序只負責搜索1 個IP 就可以了。另外，考慮到并行的搜索程序越多，負責搜索的網(wǎng)管電腦CPU 和內(nèi)存負荷就越大，會出現(xiàn)N 增大，捕獲時間反而變長的現(xiàn)象，因此不可以一味地增大N 的取值。在本文的實例中，采用兩臺網(wǎng)管電腦分擔。

完成N=64 個子程序的搜索任務，可以實現(xiàn)小于10 秒的平均捕獲時間，對于發(fā)現(xiàn)非法接入來說，可以說是“實時”的。編寫一個總的管理程序，負責對N 個分段搜索的子程序進行生成與部署運行，其編程思路如圖四所示。子程序的編程思路參考圖1，不同點僅是搜索范圍變小了。

圖4 對N 個子程序進行生成與部署運行程序的編程思路

在涉密網(wǎng)上存在多網(wǎng)段的情況下，可以在每個網(wǎng)段上安裝部署基于分段并行的高速搜索策略的網(wǎng)管電腦，以保證對非法接入涉密網(wǎng)的電子設備的“實時”捕獲。

4 實施案例

作者在所在單位的涉密局域網(wǎng)網(wǎng)段上，部署了兩臺基于分段并行搜索的網(wǎng)管電腦，均為配置AMD A10-8770 的CPU、8G 內(nèi)存的聯(lián)想啟天M520-D055 臺式電腦，操作系統(tǒng)均為win7 x64，N=64，兩臺網(wǎng)管電腦各承擔一半的搜索任務，即一個網(wǎng)段，分成64 個子段，前32個子段用一臺網(wǎng)管電腦搜索，后32 個子段用另一臺網(wǎng)管電腦搜索，這種方案可以獲得極短的平均捕獲時間。

取一個子程序為例，其CMD 程序如下：

這64 個分段并行搜索子程序，分別對本小段4 個IP 循環(huán)掃描MAC，發(fā)現(xiàn)不在清單內(nèi)的MAC 就報警，在播放報警音樂的同時，報警信息彈出在電腦屏幕上，也可發(fā)送到其他電腦的屏幕上，技術(shù)人員可以及時發(fā)現(xiàn)非法入侵者。根據(jù)作者單位千兆涉密局域網(wǎng)上的反復測試，兩臺網(wǎng)管電腦分擔64 分段并行搜索任務的案例中，對非法電子設備接入的平均捕獲時間小于10 秒，最大捕獲時間不超過12 秒。

5 小結(jié)

對于涉密單位內(nèi)部局域網(wǎng)上的非法接入，本文提出了在涉密網(wǎng)上對可疑設備的MAC 進行“實時”監(jiān)測報警的策略，具體包括：基于MAC 的“無死角”搜索策略和基于分段并行的高速搜索策略，達到了“實時”發(fā)現(xiàn)和報警的目的。本文所研究的涉密網(wǎng)可疑設備的“實時”報警策略，對軍隊、公安、銀行、工商、稅務等單位對防止內(nèi)部涉密網(wǎng)絡和等級保護網(wǎng)絡的非法接入，實現(xiàn)智慧網(wǎng)管，防止泄密事件發(fā)生，具有較大的參考價值。