主动式计算机网络隔离保护系统设计

浪潮软件集团有限公司 彭世海

现阶段，信息技术在诸多领域得到了应用，随着系统的发展，网络拓扑结构变得较以往更加复杂，为信息提供安全保护的难度有目共睹。文章便以此为背景，结合计算机网络所表现出特点，围绕隔离保护系统展开了讨论，首先简要说明了该系统的优势，其次介绍了该系统的核心功能，主要为检测异常以及切断网络，同时对设计要点进行了叙述，具体包括C/S还有B/S两部分，最后结合应用实例，对该系统未来发展方向进行了展望，供相关人员参考。

1 隔离保护系统优势概述

近几年，计算机给日常生活所产生的影响以极为直观的方式被展示了出来，为保证信息技术所具有优势得到充分发挥，有关人员纷纷加大了对全新技术进行开发的力度，隔离保护系统应运而生。本系统以现有检测技术、解码软件为基础，在确保用户针对安全用网所提出需求得到充分满足的前提下，为局域专网提供系统且全面的保护。其优点主要体现在自动化程度较高、设计简单且便于运行等方面，一般来说，在网络处于运行状态时，系统可自行开启相应的保护功能，确保用户在网络上所做出各项行为均能够得到实时监控，同时以网络环境所发生变化为依据，对环境当前安全系数进行判断，在发现有可能给网络安全造成威胁的因素存在时，通过关闭连接的方式，为网络安全提供保护。

事实证明，本系统既可以被用来为专网提供保护，同时也可以被用来为个体用户提供保护，其中，专网保护所产生积极影响，主要是使单位整体管理水平以及质量得到显著提高。管理员可通过本系统监控专网所连接计算机，若发现有异常操作存在，系统将在第一时间向总机提交相关信息，由管理员以系统所反馈信息为依据，对异常情况进行处理。由此可见，对本系统进行推广很有必要，各单位可依托本系统所提供检测、保护以及自动终止等功能，在对员工进行管理的同时，为专网信息提供相应的安全保护，避免出现重要信息或是机密文件被泄露的情况[1]。对个体用户而言，本系统的作用主要是能够在用户浏览文件或网页时，自动终止可能存在安全隐患的行为。

2 隔离保护系统核心功能

2.1 检测异常

为计算机提供主动隔离保护的前提是确保网络异常可得到及时且准确的检测。以公安信息网为例，作为典型的广域网，公安信息网共包括四级结构，分别是公安部——公安厅，公安厅——公安局，公安局——公安分局，公安分局——下属职能部门。在接入信息网后，计算机将获得相应的IP地址，如果需要对公网、计算机进行连接，对应IP地址将发生更改，常见更改形式有两种：(1)新增无线网卡、以太口或其他网络连接；(2)用公网地址替代现有地址，确保运营商能够通过代理或网桥，为用户提供访问公网的途径。要想在第一时间对网络异常进行检测，关键是要了解计算机对应IP状态，在该环节，设计人员提出了以下方案：先启动IPCONFIG/ALL，再经过重定向生成相应文本，根据文本内容对网卡信息加以确定。

2.2 切断网络

在发现网络存在异常变动后，出于避免信息泄露、为专网安全提供保证的考虑，本系统往往需要将计算机和各网络间的连接切断，待网络恢复正常，方可重新连接并启动。目前，可被用来对网络进行快速切断的方法有两个：(1)启动Device Io Control；(2)启动Get if Table，在对网络适配器当前状态加以明确后，通过Set if Entry对其进行改写。在经过多次测试后，设计人员最终决定选择后一种方法，其优点是能够在保证连接被

完全切断的前提下，减少该环节所需时间，在提高计算机安全性方面具有极为突出的作用。

3 隔离保护系统设计要点

3.1 C/S的应用

3.1.1 明确系统需求

为保证管理人员能够做到全网监管，设计人员决定对C/S加以应用，将系统分成客户端、服务端，其中，客户端负责主动进行连接，服务端负责给出应答。系统投入运行后，由客户端定时向服务端传递主机名、IP地址等信息，若存在网络断开或其他异常情况，客户端应在记录相关信息的同时，通过计算机向用户进行提示，确保故障能够尽快得到解决[2]。

3.1.2 核心功能与实现方法

该系统应具备以下功能：(1)对客户端、服务端所交换数据进行加密，以免出现用户非法连入的情况。(2)对特定进程加以检测，若发现存在特定进程，应尽快将其关闭。(3)由客户端负责接收并反馈服务端信息。(4)自动检测并升级程序版本。

在对系统进行设计时，设计人员使用了以下方法：

(1)在客户端发出连接申请时，通过服务端给出相应提示，同时向客户端发送时间、日期等字符串，若客户端可提供经过加密的字符串，代表其合法，可建立连接，反之，则需要将连接申请关断。

(2)定时检测预设进程名，若发现进程处于运行状态，应通过Windows自带ntsd.exe尽快将其杀死。一般来说，预设进程名多为违规程序、病毒或是流氓软件。

(3)在连接客户端、服务端后，由服务端负责对IP所接收信息进行检测，将检测结果抄送至对应客户端，在获得相关数据后，客户端应先将其加密，再将加密后信息写入文件，同时向服务端反馈本机当前状态。若发现本机存在异常，应通过Client SRV.exe对其进行相应的隔离保护。客户端所搭载Client.exe负责对信息进行反馈，在用户登录系统的同时自行启动该程序，并对该程序和隔离保护程序进行连接，若保护程序因故终止运行，可经由该程序对其进行再次启动，反之，保护程序也可对该程序进行启动。

(4)即使软件已投入使用，仍然需要以用户需求为依据，对其功能进行调整，同时对违规程序列表进行更新，只有这样才能保证系统价值得到实现，由此可见，对该系统进行设计时，设计人员应对如何实现自动升级引起重视。该功能的运行原理较为简单，重点在于要保证其可靠且安全，通过反复测试的方式，将升级失败的概率降到最低，以免由于升级失败，导致保护系统无法正常启动或类似问题出现，给系统安全性造成不利影响。在对该功能进行设计时，设计人员采取了以下方法：首先是全面检测，保证系统自行下载升级包版本正确且数据传输完整。开机后，由客户端率先对升级服务器进行连接，对比当前版本和最新版本，若发现已推送全新版本，应以全新版本所配置相关文件为依据，在下载升级包的同时完成CRC计算，对比计算结果和文件预设值，如果二者数值完全一致，则可以对已下载程序进行调用。在本项目中，为确保需要不间断运行的计算机同样能够做到自动更新，设计人员决定以启动程序的同时自动对升级文件进行检测为基础，每隔6h开展一次检测。其次是在对文件进行更新的基础上，对升级程序进行全面检查。先通过客户端对升级包进行下载，在升级包顺利通过校验后，启动相应程序完成升级。在操作过程中，为确保系统操作可靠且安全，通常需要通过升级程序检验所下载文件，再对最新文件进行下载并分析，确保升级包完整，随后，向处于运行状态的客户端发出“退出”指令，改名并更新程序，待升级工作告一段落，自动重启所升级程序即可。

3.1.3 效果说明

本文所设计系统以主动为网络提供隔离保护为基础，基于C/S架构对计算机信息进行实时采集，结合用户所提出要求，将病毒及其他异常程序杀死，在为计算机安全提供全方位保护的前提下，降低用户操作难度。另外，设计人员考虑到该系统需要以用户需求为依据进行持续完善，新增了相应的自动更新与升级程序，希望能使日后对该系统加以使用的成本得到有力控制。

3.2 B/S的应用

3.2.1 功能分析

对本系统而言，B/S的作用主要是为用户管理数据提供帮助，确保用户在不携带管理软件的情况下，仍然能够完成相应的操作。结合实际使用情况可知，B/S所能提供功能主要集中在以下方面：(1)管理用户。级别不同的用户所对应IP地址往往有所不同，一般来说，超级管理员具有对名单进行更改的权限，同时还可以根据下级管理员情况，授予其相应的IP地址。(2)管理计算机信息。在成功登陆系统后，管理员便可通过主界面对计算机信息进行查看，除特殊情况外，主界面均按照IP地址，名称，安装与连接时间的顺序，对注册计算机相关信息进行显示。管理员可在该界面完成发送信息或删除数据的操作。此外，本系统还应当具备对计算机情况进行筛选的功能，为降低查询及筛选难度，设计人员决定以计算机状态为依据，分别对快捷链接进行设定，同时新增组合查询的操作程序。(3)管理事件。只有对计算机历史信息具有系统且全面的了解，才能保证所采取措施可发挥出应有作用。对本系统而言，事件管理主要包括两部分内容：1)异常事件，例如，IP地址不合法、计算机新增连接；2)非法事件，例如，软件非法运行。其中，前者需要进行强制断开处理，后者则可以选择向用户发送警告，由用户完成后续操作。

3.2.2 效果说明

对B/S加以使用，有助于用户对计算机当前状态具有更加全面的了解，设计人员选择新增ASP并引入IIS系统，在极大程度上避免了系统过于复杂的情况出现，同时开发成本也得到了有力控制。

4 隔离保护系统应用实例

某电站计划引入本文所设计系统为电站网络提供保护，阻断黑客、病毒入侵途径，确保自身所具有功能可得到最大程度发挥。工作人员以实际情况为依据，最终决定将保护装置安装在现有电机组上，为现场负载提供保护，确保负载所消耗剩余电可被及时运至市电网。

该电站需要通过变压器和隔离保护栏进行供电，确保在出现失电问题后，隔离系统可第一时间将市电网、组电网间的连接切断，这样做一方面是为了保证现场负载始终处于正常运行状态，另一方面是为了保证市电网可靠且安全。电站所搭载系统可被拆分成同步按钮、断路器和解列按钮等部分，市电网处于供电状态时，只需按下并网按钮便能够达到负载供电的效果，如果需要市电网、组电网同步发电，则需要保证发电机可尽快完成均压调节以及均频调节操作，同时关闭继电器，确保断路器处于闭合状态，为电网所具有安全性提供保证。

5 主动隔离保护系统未来展望

在对本系统进行试运行后，用户及单位管理员向设计方提出了以下意见：(1)希望不允许任何网络接入的保密计算机可单机运行本系统。(2)希望在完成安装程序的操作后，可自动将IP锁定。(3)希望能为管理员提供向用户发出警告或提示的途径。(4)希望能够杜绝非法卸载程序的情况出现。(5)希望能够尽量压缩程序体积，避免出现程序占用内容过大的问题。

要想使上述需求得到满足，关键是要保证系统能够定制，充分利用C/S和B/S系统，重新规划并调整软件配置。此外，要想使本文所设计系统获得更加广泛的应用，还应对其网络功能进行扩展，上文所介绍设计方案仅对管理员、用户进行了考虑，其中，管理员可对注册用户、计算机进行管理，用户仅能对IP地址在特定范围内的计算机进行管理，这并不符合当今社会的发展趋势，若未来仍沿用上述系统，将造成以下问题：(1)通过指定服务器对计算机进行注册的模式，无法在全国范围内得到应用。要想避免服务器出现无法处理用户请求的情况，关键是要引入分布管理模式，简单来说，就是分层布设服务器，同时对服务器进行层层级联的处理。(2)难以实现对用户进行多级授权以及管理的目标。对计算机进行管理的主体为各单位、各职能部门，要想使系统具备大规模应用的条件，关键是要对级别还有权限进行灵活设计。除此之外，随着应用范围的扩大，用户所提出需求将变得更加多样，对软件功能进行更新或是升级的操作，同样需要引起重视。

6 结论

实践所积累经验表明，要想保证计算机安全，关键是要针对各环节特点制定相应的防范措施，例如，通过引入独立网络的方式，将计算机受到外界攻击的概率降至最低。通过上文的分析能够看出，对主动隔离系统进行优化设计极为重要，此举可使系统性能获得更进一步的提升，通过阻断病毒入侵途径并消除外界干扰的方式，为计算机安全提供保护。未来该系统仍然是研究的重点，可为各行各业的发展提供有力支持，相关人员应对此引起重视。

引用

[1] 夏晓峰,向宏,肖震宇,等.基于国产密码算法的数控网络的认证与验证模型研究及安全评估[J].电子与信息学报,2020,42(8):1846-1852.

[2] 刘志仁,薛明军,杨黎明,等.基于区域自组网的配电线路无线差动保护技术研究及应用[J].电力系统保护与控制,2021,49(21):167-174.