为了确保涉密文件的安全,在防止端机非法外联同时也要保证内网的安全,防止非法内联事件的发生。非法计算机指在本系统内没有注册登记的计算机。非法内联指没有注册的计算机连接入网。
在发现有非法计算机连接入网时要及时报警,通知管理员有非法事件发生。非法内联行为的发现可通过服务器定时扫描方式实现,即定时对网段内所有计算机进行扫描。此方法存在以下缺点:
1)服务器要对整个网段的所有IP地址进行扫描,轮询一次必要花费一定的时间,如果非法计算机在其服务器扫描时间间隔内上网并断网,服务器根本无法检测到。
2)非法计算机可以通过端口禁用、安装防火墙等软件方式对系统进行设置,对服务器的扫描不予任何回应,这样服务器也无法检测到非法内联行为的发生。
为了防止以上现象的发生,涉密计算机监控与审计系统在服务器进行定时扫描的功能同时,利用代理端的网络民兵功能进行非法内联计算机的扫描,可有效的对非法内联行为进行检测。
1)指定网络民兵进行定时扫描:服务器通过对在线计算机的检测,在每一网段指定一台计算机对该网段内的计算机进行安全扫描,如果发现非法计算机入网则产生报警信息。网络民兵只扫描本网段内的计算机,被控计算机数量大幅下降,可大量缩短扫描时间间隔,减少未检测到的非法内联行为的发生。
2)通过截获进出本机的数据包分析:代理端软件可以截获进出本机的数据包,通过对TCP/IP数据包的分析可以得到要访问本机的客户机的IP地址。如果该IP 地址已经注册,则认为是合法的,如果没有注册则认为是非法内联计算机,产生报警信息。