[发明专利]一种违规外联报警及阻断方法

说明书

技术领域

本发明涉及一种违规外联监控方法，具体涉及一种违规外联报警及阻断方法属于信息安全技术领域。

背景技术

近年来随着信息化的发展，许多单位都对违规外联非常重视，不少单位建立了各自的违规外联监控系统，能够监控内网计算机通过调制解调器、ADSL拨号设备、无线网卡等网络设备进行非授权违规外联行为，从而防止单位内部重要信息向外泄漏，取得了一定的防护效果。

当前的违规外联监控机制主要有两种，一种采用双机架构，另一种采用C/S(客户端/服务器)架构：

双机架构由监控中心和报警中心组成。采用帧探测方式完成，探测包分为ICMP协议和TCP协议探测两种。监控中心安装在单位内网，通过主动发送帧探测包对单位内网的计算机进行违规外联探测，其中探测包的源地址模拟为报警中心的IP地址。报警中心安装在互联网，负责解析违规外联报警信息。如果主机正在连接互联网，则监控中心发送的探测包会诱导该主机自动转发报警信息至报警中心。报警中心经过解析后进行报警。

C/S架构由监控代理和监控报警中心组成。监控代理安装在每台内网计算机上。定时监测内网计算机的网络状况，发现违规外联之后向监控报警中心报警，并自动阻断违规外联。监控报警中心安装在单位内部网络，负责监控策略设置和监控代理软件的下发，并对各监控代理实时反馈的拨号等信息进行处理，当受监控主机违反安全策略违规外联时，实时产生报警信息。

监控技术措施主要由探测、阻断等组成。其中违规外联监控探测方法的基本原理是发送探测报文到互联网上，查看是否有来自互联网的回应。探测报文可以是单独的ICMP、TCP、HTTP、UDP协议报文，或者以上各种形式探测报文相结合的方式。阻断方式主要有禁用设备、删除设备、强制关闭系统等。随着技术的发展，违规外联方式多种多样，机制复杂，依靠单一技术手段无法满足监控要求，需要采取多种技术措施综合保护。

上面两种架构虽然在一定程度上防止了内网外联行为，但是仍存在一定的缺陷。比如，对于双机架构系统，如果单位网络环境复杂，存在多个网段，且各网段间存在隔离限制，则需要多个主机探测代理，增大系统复杂性；对于C/S模式架构，防外联服务器安装在内部网络中，无法发现与内网断开的非法外联行为。

综上，国内外针对违规外联的产品与技术大多聚焦某一功能，缺乏综合化、系统化、标准化的解决思路与技术方案，无法为现代保密工作提供全面有效的技术支撑，在实际应用中或多或少的还存在以下问题：

（1）对通过虚拟机软件规避违规外联报警缺少解决手段；

（2）采用个人防火墙可以屏蔽探测包，从而躲避监控，产生漏报；

（3）没有统一报警信息格式，无法实施内网计算机违规外联集中监控；

（4）仅仅能够探测，无法实现阻断功能；

（5）必须在线检测，一旦脱离内网即可脱离监控；

（6）违规外联监控功能单一，无法全面监控所有违规外联行为；

（7）软件自身安全保护较弱，防屏蔽和防卸载能力较差。

针对以上分析现有违规外联产品的存在的问题和企业单位对违规外联的管理要求，本发明提出了相应的技术解决方案，设计并实现了一套较为完善的防内网外联系统，实现对非法外联行为的实时监控、即时阻断和审计功能，确保内部网络数据的安全。系统具有较强的防屏蔽和防卸载能力。

发明内容

本发明针对上述问题，提出并实现了一种违规外联实时报警及阻断方法，通过一种高效可靠的网卡监控机制，确保了内网计算机违规外联的实时报警和阻断。同时，对程序的健壮性采取了较强的安全机制。

本发明采用的技术方案如下：

一种违规外联实时报警及阻断方法，其步骤为：

1）内网主机客户端根据多种外联方式实时监控内网计算机的联网行为；

2）所述内网主机客户端采用libnet函数库向外网报警监控端主动发送加密报警数据包，探测所述内网计算机是否发生外联行为，并对违规外联行为进行报警；

3）所述内网主机客户端对收到报警的内网主机进行底层抓包得到所有流经每个主机上网卡的数据包，判断违规外联行为；

4）对已判断为违规外联行为的主机网卡实施阻断。

可选地，所述多种外联方式为以下的一种或者多种：通过普通电话线、ISDN综合业务数字网和ADSL方式的拨号上网以及无线上网。

更进一步，向外网报警监控端发送XML统一格式的报警数据包。

更进一步，对报警数据包进行数据加密。