监狱内网安全监管系统的设计与研究

◆冯卓慧

监狱内网安全监管系统的设计与研究

◆冯卓慧

（浙江警官职业学院 浙江 310018）

本文针对监狱内网所面临的各类安全问题，设计了一套监狱内网安全监管系统。系统由终端安全监管、网络接入控制、非授权外联监管、边界检查管理、敏感信息检查和存储介质管理六个核心功能模块以及相应的管理工作流程组成，通过对终端设备、存储介质和网络的集中监测和管理，实现监狱内网安全管理工作的信息化。

监狱内网；安全监管；信息安全

0 前言

近年来，随着监狱信息化的快速发展，监狱系统的各类硬件设施和软件资源日新月异。与此同时，监狱内部的网络安全管理工作面临的形势也越来越严峻，传统的事后处置和安全教育等方式无法杜绝安全事故的发生；安全管理的手段与安全技术的应用滞后于网络和信息系统的建设与应用；随着监狱信息技术应用的深化，监狱内部与外部的信息交互给监狱网络边界安全管理也带来极大的挑战，如何加强监狱网络安全建设和提升管理技术水平，变被动管理变为主动管理，变事后处置为事前预警，已是监狱信息化建设中亟待解决的一个重要问题。

1 监狱内网安全问题分析

监狱网络主要由监狱政务内网、安防子网、生产子网、罪犯教育子网以及电子政务专网组成。其中监狱政务内网是指用于监狱民警管理和各业务应用的内部网络，它是整个监狱网络的核心。狭义上的监狱内网指的就是监狱政务内网；广义上的监狱内网指的是除互联网以外的所有监狱内部网络。由于监狱内网与外网物理隔离，安全威胁主要来自内部，但绝大多数并非内部人员主观上的恶意行为，而是一些无意识的或不规范的操作，以及安全管理上的疏忽，问题主要来自以下三个方面。

图1 监狱网络结构示意图

1.1 来自终端设备的安全问题

监狱内网中，计算机终端是用户登录并访问网络资源的起点，也是大部分安全事件的源头；以病毒感染，文件丢失、密码遗忘、系统瘫痪、硬件损坏等为代表的终端安全事件时有发生，给信息安全带来难以预知的潜在威胁，监狱网络管理人员往往应对不暇。造成此类威胁的原因可能是安全管理模式的滞后，内部人员安全意识的淡薄或安全技能的匮乏等等。因此，只有加强对终端设备的安全管理才能有效控制各种安全事件的源头，遏制由网络内部发起的攻击和破坏[1]。

1.2 来自网络边界的安全问题

随着监狱内网计算机数量的与日俱增，各外部单位和监狱之间的合作日益频繁，经常有外部终端连接到内网。在这种情况下，管理人员很难区分哪些是内网的终端，哪些是外来的未授权使用的终端。当感染了病毒和木马的外部终端接入内网后，病毒会在整个监狱内网中快速传播和扩散，严重时会造成整个网络瘫痪，给内部网络带来严重的安全威胁。此外，还会导致监狱内网涉密信息的泄漏；在泄密事件发生后，也无法判断到底是哪一个环节出了差错。

1.3 来自存储介质的安全问题

以USB闪存盘、移动硬盘、电子微硬盘等为代表的移动存储介质，具有体积小、容量大、使用方便等特点；虽然保密部门对涉密存储介质已有较严格的保密管理要求，但在日常管理和使用中，不登记，不标识，随意放置，擅自复制、携带外出、外借，在内外网交叉使用甚至丢失等现象普遍存在。当在外网使用过的移动存储介质感染病毒或木马后继续在内网上使用，病毒程序就会自动收集敏感信息，并自动复制到移动存储介质上；一旦该存储介质再次接入外网，复制的信息可能会自动发送出去，造成泄密[2]。

2 系统设计

2.1 设计思想

系统的设计思想是从信息安全管理工作的实际要求出发，以人为本，管理是核心，技术是保障；充分运用安全管理和技术手段，通过对各种数据和行为的监测分析发现潜在的安全威胁事件，实现对监狱内网中终端设备、存储介质以及用户群体的统一监测和安全管理。从网络安全管理“消除短板”的特性出发，以上下多级级联系统为载体，建立监测、预警、处置、反馈、审核的机制，完成管理→监测→管理的过程，其最终目的是在安全技术的基础上实现对安全管理的信息化。

2.2 系统架构

系统设计采用C/S与B/S相结合的开发模式，由终端安全监管、网络接入控制、非授权外联监管、边界检查管理、敏感信息检查和存储介质管理6个核心功能模块实现对终端设备、存储介质和网络的集中监测和管理。在建立完善的信息安全管理制度及安全规范的同时，配套管理工作流程加以辅助，从而实现监狱内网安全管理工作的信息化[3]。

图2 系统总体架构示意图

2.3 工作流程

工作流程按照“监测、警示、处置、反馈、考核”五位一体的安全管理模式来进行设计，目的在于将业务管理、工作流程、应急响应和安全技术应用融为一体，建立一个以安全目标为导向，管理为核心，安全策略为途径的安全管理框架。具体流程如图3所示。系统通过多种监测手段采集所需的信息数据，并经过智能分析比对后，把安全威胁直观、准确地展现在系统上进行警示提醒。管理人员通过查看系统，对违规安全事件进行预警，同时在系统中智能生成预警告知单、通报单或相应的回执单。管理人员在处置违规行为和安全威胁，明确三方责任后，填写相应的回执单进行反馈。如果违规行为或安全威胁没有消除、或回执单内容填写不符合管理规定、或未按规定及时响应，该流程将再次进行，甚至根据需要可选择预警或通报相关管理人员，直至违规行为或安全威胁消除，确认按规范执行了安全管理的工作流程，并对检查、预警或通报、处置和反馈环节进行考核。

图3 系统管理工作流程示意图

3 主要功能

3.1 终端安全监管

终端安全监管的目标是实现终端计算机设备、安全事件统一管理，完成安全策略的统一配置，在功能上要实现对设备、补丁、进程、服务、运维等安全要素的监控，保证内部数据安全，实现终端系统的全面安全防护和加固，从而保障内部网络安全。

（1）设备管理

能够对监狱内网设备进行自动发现和识别，在不依赖于申报备案的情况下发现并智能识别网络中的各种设备，例如计算机、服务器、音视频设备、网络设备等），同时提供对设备的注册管理功能。

（2）终端管控

根据终端设备运行环境的安全状态，控制设备、系统以及软件程序的安全操作和运行情况（例如外设控制、进程控制、开关机控制和共享控制等）实现对设备以及系统安全操作和数据出入口的安全管理，对安全事件和风险进行有效防护。

（3）安全检查

对终端的杀毒软件、系统补丁，账户安全、共享安全、软件安装、进程等运行情况进行检查，并且将这些安全检查项的数据结果按区域和部门汇总统计，辅助安全管理员及时发现问题，处理安全事件。

（4）运维监测

通过对 CPU 异常、内存异常、流量异常、应用使用异常、连接数异常的日常运维数据进行监测，运用异常建模和数据关联分析，实现对风险异常的判断，辅助管理员进行安全决策，保障核心设备运行稳定。

（5）外联监管

通过对监狱内网的设备进行实时违规外联监测，一旦发现外联立即进行网络阻断，并对上报的违规外联事件数据进行统计分析和报表展现，使得管理员能第一时间处理外联事件，有效保障内部网络安全。

3.2 网络接入控制

网络接入控制功能集业务流程管理（注册、审核、反馈、处理）和准入控制技术应用（监测、发现、控制）于一体，其核心思想是在安全准入控制技术的基础上实现终端接入安全管理的信息化。

（1）注册管理

对首次接入的终端设备要求进行注册，注册的基本信息包括：IP、MAC、责任人姓名、联系电话、所属部门、设备所在地、设备类型、设备用途、保护到期时间。同时提交注册申请，由安全管理员审核通过后允许其接入网络。

（2）接入隔离

对未注册的终端设备通过 802.1X 接入控制、ARP 接入控制、网关访问控制、应用服务访问控制和可信通道隔离控制等手段，实现网络阻断并跳转到隔离区强制注册；对首次接入的已注册设备强制进行入网安全体检，不符合安全要求的设备跳转至修复区，修复完成后才能够允许入网。

（3）安检管理

能够配置入网安全体检具体内容和规则。配置项包括：杀毒软件配置、补丁检查配置、不可信进程配置、不可信软件配置、账户弱口令配置、来宾用户、必须开启的服务、必须安装的软件等项目配置。

（4）异常告警

在发现增量设备、未注册设备、未保护设备和保护申请违规等设备后能够在第一时间自动告警，以便管理人员及时处置非法接入行为。

3.3 边界检查管理

边界检查管理的目的是要实现对各类边界类型和边界点的智能识别与定位，并对边界点的状态进行持续跟踪，以满足内网边界安全管理需求。

（1）边界监测

通过技术手段对外界未授权设备接入内网、私自设立网中网、访问超出规定 IP 段的设备进行实时扫描、自动检测，并且及时发现问题并上报边界点信息。

（2）边界注册管理

对于新发现的边界，根据边界管理的相关规定提出备案申请，待备案信息完整提交后，新边界才被允许使用。备案时要求提供边界点的 IP 地址，边界用途等详细信息。未申请或未完成审核而直接开通的边界均属于非法边界[4]。

（3）边界管控

对违规边界接入实施阻断，一旦探测到非法边界接入情况，系统能根据设定的安全管控策略，对违规接入提出终端提醒阻断。

3.4 非授权外联监管

通过网络状态监测、实时抓包分析、定时外联监测及通信防火墙等技术的无缝协同工作，能够在第一时间发现非授权外联行为并进行防护。防护方式可提供警告提醒、通信阻断或强制关机等手段。

（1）网络状态监测

实时监测计算机的网络状态的变化情况，第一时间发现其网络结构特性变化后启动违规外联分析，如发现违规外联则第一时间调用通信防火墙中断该计算机的网络通信。

（2）实时抓包分析

实时抓包分析在计算机存在网络通信的情况下，实时监测其所有网络通信数据包，发现存在非本网络范围内的网络通信数据包时启动违规外联分析。

（3）定时外联监测

定时外联监测是传统的违规外联监测方式，能够以一定的时间频率探测计算机的违规外联行为，如果发现可疑行为马上启动违规外联分析。

（4）网络数据通讯控制

按不同协议类型，对注册计算机的本地和目标端口进行设置，将目标计算机与外界的通讯进行有效管制，同时能够设置目标地址白名单，部署在客户端的内置通讯防火墙会在开机时启动目标地址白名单进行过滤。

（5）禁用端口设备

终端上的某些外设端口如果开放，会给内网安全带来风险隐患，也给违规外联带来了可能性。因此，有必要将内网终端上的红外、蓝牙、无线网卡等外设端口全部禁用，防范违规外联的发生。

（6）离线断网控制

监测内网计算机联网状态，计算机一旦脱离内网，则禁止其网卡进行网络数据通信，使内网计算机形成离网单机，阻断连接任何内网以外的网络，避免发生违规外联。

3.5 敏感信息检测

敏感信息检测的目标是实现对内部计算机上存放的各种敏感文件和敏感内容的自动化监测和管理，同时具备对计算机上使用的U盘、移动硬盘等移动存储介质内的文件进行敏感信息扫描。在管理上实现检查结果的统一审核、处理和跟踪，满足内网敏感信息的安全管理要求。

（1）能够通过自动化或自定义的方式检查非涉密计算机上的敏感文件，并自动预警。检测结果包括涉密信息文件名称、存储路径、使用人、IP地址等内容。

（2）检测内网中主机或移动存储介质上的敏感文件，文件类型主要包括txt、pdf、doc、docx、xls、xlsx、ppt、pptx、wps、html、htm等。

（3）能够展现敏感文件的存放路径、涉密摘要信息，同时能对发现敏感信息的设备进行提醒、关机和断网等防护操作。

3.6 存储介质管理

存储介质管理是基于软件标签技术实现对网内的USB移动存储介质进行统一注册管理、权限控制和审计功能，对违规使用移动存储介质行为能够进行智能识别和告警。

（1）介质注册管理

介质注册管理将存储介质分为未经注册的外网介质和注册过的内网介质。注册的内网移动介质可分为三种介质类型：加密交互介质、口令保护内网介质、单向导入介质。

（2）用户身份验证

移动存储介质在使用前必须经过授权中心统一授权，并与用户身份进行绑定。经过授权的存储介质允许在内网中使用，未授权的存储介质将被限制使用。

（3）介质操作审计

实时记录用户接入移动存储介质的行为并写入日志文件；对存储介质数据交换行为进行安全审计。提供详细的文件操作审计记录：例如文件的新建、修改、删除和复制等[5]。

4 结束语

监狱内网安全管理的工作范围很广，不仅包括终端设备的运行安全、还包括网络边界安全、信息保密安全、应用行为安全、移动存储安全等。传统的安全管理以注重对安全风险的防护为主，其管理模式多是面向安全设备的、局部性的、孤岛式的安全防护，安全监管大多都是分散进行的，要全面了解一个系统的安全情况非常困难。安全监管系统在设计中通过集成各类安全监管技术，集中监测、展示和处置各类安全风险和事件，统一掌控全网安全态势，建立起覆盖监狱全网的综合安全管理体系，最终实现对人员、技术、流程的全局规划、统一管理。

[1]杨婕.探讨计算机网络终端安全防护模型与方法[J]. 城市建设理论研究：电子版, 2015.

[2]孙艺笑.浅析涉密单位信息安全保密[J].科学时代, 2013.

[3]浙江远望电子有限公司.构建有效的内网信息安全管理平台[J].信息安全与通信保密, 2010.

[4]张莉.网络和信息安全管理平台的设计与实现[D].厦门大学，2016.

[5]顾涛, 杨健.公安内网移动存储介质安全管理系统的设计与研究[J].网络安全技术与应用, 2017.