摘要：為解決涉密計算機入網監管問題，設計了一套面向等級保護的涉密計算機入網監管系統。該系統將WinPcap驅動與交換機信息中心服務作為開發基礎，結合數據庫與交換機網絡綁定技術，實現涉密計算機入網管理和監控，滿足網絡安全防護管理要求。

關鍵詞關鍵詞：涉密計算機；入網監管；面向等級；WinPcap驅動
中圖分類號：TP309 文獻標識碼：A 文章編號：1672-7800（2016）004-0179-03
0引言
隨著信息技術和網絡技術的發展，切實有效保障信息安全已成為信息化建設的重要組成部分，信息安全等級保護制度已成為國家的基本制度[1]。我國頒布的《信息安全等級保護工作實施辦法》規范了信息安全等級保護管理，明確了等級保護工作開展的方法和流程，以推動信息安全保護工作向科學化、正規化方向發展[2]。本文以安全防護系統建設要求等相關文件為依據，在對涉密計算機入網現狀分析的基礎上，將WinPcap驅動與交換機信息中心服務作為開發基礎，結合數據庫與交換機網絡綁定技術作為基礎手段，設計了一套面向等級保護的涉密計算機入網監管系統。該系統實現了涉密計算機入網管理和監控，為網絡安全防護管理提供了自動化手段。
1系統設計
1.1系統體系結構
涉密計算機入網監管系統具有網絡監控與入網管理兩大功能，將實名登記、網絡監控與網絡管理集成在一個系統平臺上。網絡管理員通過系統可以實現實名入網管理、網絡資源管控、MIB瀏覽器、線路狀態監視、線路流量測試、網絡設備性能監控、網絡數據流量統計、VLAN管理、交換機管理等功能。
基于交換機信息中心日志輸出功能，通過SNMP協議傳輸至數據層，實現用戶終端網絡狀態監控；將用戶信息與交換機綁定技術結合，實現入網終端的接入管控；采用SNMP++協議包與VCL控件相結合，作為可視化開發的前臺基礎，實現網絡管控的圖形化顯示[3-4]。系統拓撲與應用部署結構如圖1所示。
涉密計算機入網監管系統通過交換機信息中心，調用網絡流量、主機狀態、資源分配、病毒報警等要素信息。
1.2系統功能模塊設計
系統主要功能模塊包括實名登記、網絡監控和網絡管理。實名登記模塊記錄入網用戶詳細信息，并實現上網終端綁定，實現涉密計算機用戶網絡準入控制；網絡監控模塊監控網絡狀態，用戶需配置好交換機信息服務，對外提供COMMUNITY標識，可實現交換機實時狀態參數圖形化顯控；網絡管理提供對交換機配置管理的直接通道。功能模塊組成如圖2所示。
實名注冊模塊寫入涉密計算機用戶個人詳細信息，包括姓名、科室、編號、部門、職務、電話、IP地址、MAC地址、機型、OS、品牌、備注等信息，數據錄入可由模板（EXCEL格式）批量導入。
入網綁定根據不同交換機型號定義不同配置命令行參數，系統采用ARP綁定與端口綁定相結合方式，可根據入網接入實際情況調整綁定方式。
MIB瀏覽器提供圖形化的SNMP管理環境，可接收TRAP，設置查詢SNMP變量，解析、保存MIB對象信息，操作SNMP代理設備（交換機）等。
線路狀態監控模塊通過接收交換機TRAP信息，分析發生的事件，監控網絡接口工作狀態，監視通信線路，實時了解線路工作狀態。
線路流量檢測模塊在采樣時間間隔內獲取SNMP變量值，生成監控曲線，用于監控網絡流量峰值、平均值、實時流量等狀態，及時預警網絡風暴。
網絡設備性能監控模塊實時監測交換主機CPU利用率、可用內存等狀態，及時預警感染病毒、網卡故障、交換機BUG等網絡安全問題。
數據流量統計提供基于IP地址與MAC地址兩種統計方式。主要功能是檢測局域網內入網終端的流量變化情況，監控異常主機。
VLAN管理模塊提供VLAN發現、VLAN端口管理、連接主機信息查詢管理、TRUNK端口管理、網絡拓撲管理等功能。
2實現方法
2.1實名管理模塊功能實現
根據用戶數信息、交換機信息等日志數據量，采用SQL2000數據庫作為監管系統數據支撐，實名管理，設置用戶信息表，建立[序號]、[姓名]、[IP]、[MAC]、[職務]、[主機類型]、[主機品牌]、[操作系統]、[編號]、[電話]、[備注]、[添加時間]等字段。用戶信息查詢與管理基于TREEVIEW組件，將用戶信息按照用戶所在部門順序生成。
用戶綁定設計采用外部VBS腳本讀取方法，將配置文件中寫入的不同類型綁定命令預先選擇輸出為VBS腳本，設置用戶標識、IP、MAC等變量信息，從用戶信息提取變量加入VBS腳本并執行[5]。
執行代碼如下：
TryShellExecute（Handle，'open'，PChar（ExtractFilePath（Application.ExeName）+'scripttemp.vbs'），nil，nil，SW_HIDE）；
//thenShowMessage（'用戶IP地址已成功綁定！'）
ExceptShowMessage（'用戶綁定失??！'）；
end；
2.2網絡監控功能實現
網絡監控底層函數實現采用C++調用SNMP協議包。根據功能區分將網絡監控分為MIB瀏覽器、線路狀態監控、線路流量測試、設備性能測試、數據流量統計、VLAN管理6個子模塊，分別實現不同的網絡管理功能。模塊圍繞信息系統安全等級保護要求設計，將網絡管理功能分解執行，提高了網絡運行管理效率。
為了能將網絡實時數據反映在系統界面中，在VC++6.0平臺中調用了Button、Edit、Activex等控件，使用方便，數據直觀。
主要函數包括顯示網絡監控情況主函數： VoidCPackInterDlg：：OnCapture（）
日志導出分析主函數：
VoidCPackInterDlg：：OnClickDatalist（NMHDR*pNMHDR，LRESULT*pResult）
2.3網絡管理功能實現
網絡管理分為交換機管理和路由器管理兩部分。系統調用SecureCRT控制平臺，由系統加載命令行腳本，可生成交換機（或路由器）配置信息。
對于交換機發往監視終端的日志、調試和告警信息，用戶需要首先在交換機上打開相應的日志、調試和告警顯示功能，才能從監視終端上觀察到輸出的信息。實現方法如下：
info-centerenable；//開啟信息中心
terminalmonitor；//打開調試/日志/告警信息顯示功能
terminaldebugging；//打開終端調試信息顯示功能
terminallogging；//打開終端顯示日志信息功能
terminaltrapping；//打開終端告警信息顯示功能
在配置文件中寫入命令行腳本（以H3C交換機命令語法為例）[7]：
info-centersource{modu-name|default}channel{channel-number|channel-name}[{log|trap|debug}{levelseverity|statestate}]//定義信息格式用于將有關信息上傳至服務
//關閉所有模塊向控制臺通道輸出信息的功能
undoinfo-centersourcedefaultchannelconsole
//配置控制臺日志輸出，只允許嚴重等級高于informational的日志信息輸出至控制臺，允許輸出信息的模塊為ARP和IP
info-centerconsolechannelconsole
info-centersourcearpchannelconsoleloglevelinformationaldebugstateofftrapstateoff
info-centersourceipchannelconsoleloglevelinformationaldebugstateofftrapstateoff
//打開終端顯示功能
terminalmonitor
terminallogging
3測試結果
為了驗證系統工作效率，選用應用過程中部分真實數據作為實驗樣本。
交換機：H3Cs3600-28TP-SIVersion3.101臺；
管理主機：涉密主機12臺；
用戶：涉密主機用戶12人，入網監管系統管理員1人；
測試方法：用戶實名制入網、上網綁定、交換機狀態監控、涉密主機管理、交換機管理。
測試結果表明，該系統能對涉密計算機入網行為有效管控，同時對網絡運行與安全狀況進行監控，能有效對數據流量、設備性能、VLAN監控等要素進行監管，可滿足等級保護網絡安全方面的要求，系統運行穩定。
4系統特點
（1）避免了安裝其它產品帶來的安全隱患。大部分網絡管理軟件需在管理終端上加裝客戶端程序，以控制主機信息操作，這給涉密計算機帶來了安全隱患，同時C/S結構的產品對涉密網內運行的大量用戶進行系統升級、系統重裝，會產生成本高、操作繁瑣、周期長等問題[8]。該系統基于交換機操作，控制主機與交換機直接相連，被管理主機為涉密計算機，不安裝客戶端管理系統，通過交換機實現對主機入網的監管，減少了安全隱患，提高了管理效率。
（2）安裝使用便捷。大部分基于SNMP協議開發的管理軟件，需要進行若干步驟的配置，操作復雜，大部分管理功能為信息節點級管理用戶使用，系統占用空間較大，安裝部署不方便。本系統根據等級保護網絡安全管理要求，功能管理針對性強，安裝部署簡易，直接將數據包解壓復制即可。
（3）系統智能高效。按照信息系統等級保護第三級建設要求，該系統開發基于交換機信息服務系統與SNMP網絡協議，應用VCL組件與數據庫支撐，智能高效，部署靈活簡便，具有較好的應用推廣前景。
參考文獻：
[1]全國信息安全標準化技術委員會.信息安全技術信息系統安全等級保護基本要求概要（GB/T22239-2008）[J].信息技術與標準化，2009（11）：17-21.
[2]李承.我國信息安全等級保護法律框架及其完善[J].信息化建設，2009（5）：23-25.
[3]USDepartmentofCommerce，NIST.Securityandprivacycontrolforfederalinformationsystemsandorganizations[EB/OL].http：//xueshu.baidu.com/s？wd=paperuri：（5d3a1eab97518c92fa0eabb403c31948）&filter=sc_long_sign&sc_ks_para=q%3DSecurity+and+Privacy+Controls+for+Federal+Information+Systems+and+Organizations&tn=SE_baiduxueshu_c1gjeupa&ie=utf-8.
[4]張永彩.SNMP協議下的計算機網絡監控管理系統開發研究[J].信息與電腦：理論版，2010（1）：7-9.
[5]王超，盧志剛，劉寶旭.面向等級保護的漏洞掃描系統設計與實現[J].核電子學與探測技術，2010（7）：53-56.
[6]程文靜，孫鐵.信息安全等級保護探析[J].中國公共安全：學術版，2009（3）：72-75.
[7]包達志.SNMP協議安全性分析[J].計算機安全，2011（6）：21-25.
[8]袁文浩，林家駿，王雨.信息安全等級保護中等級測評的CAE建模[J].計算機應用與軟件，2012（10）：47-51.
（責任編輯：杜能鋼）