admin管理员组文章数量:1535374
2024年6月13日发(作者:)
维普资讯
2007年第6期 计算机系统应用
基于内容过滤的内网防泄密系统的研究与实现
Research and Implement of Content——based
Information Anti——Leakage in LAN
伍淳华 张鹏飞 左申正 (北京邮电大学310信箱100876)
摘要:本文针对内网的主动泄密实现了一种基于内容过滤的内网防泄密系统ClAL(Content—based Information
Anti—Leakage in CAN).它以透明方式对进出网络的传输明文及电子文档进行监控,并运用中文信息处理技术对
明文及电子文档的内容进行分析,一旦发现该信息涉密,立即阻止其传送,有效的阻止了内网的泄密同时也保证
了网络的便捷性。并详细介绍了它的设计方案和实现技术。
关键词:内容过滤电子文档防泄密中文信息处理
1 引言
tion Anti—Leakage in LAN),详细介绍了它的设计方案
随着信息技术的发展,各种先进的网络技术在给
和实现技术。CIAL以透明方式对进出网络的传输明文
企事业单位带来了高效率的工作和管理方式的同时,
及电子文档进行监控,并运用中文信息处理技术对明
也容易产生网内机密外泄。为防止信息外泄,各企事
文及电子文档的内容进行分析,一旦发现该信息涉密,
业单位往往不惜花巨资购进防火墙、入侵检测、漏洞扫
立即阻止其传送,有效的阻止了内网的泄密同时也保
描等各种网络安全产品,但这些产品仅仅只能防范外
证了网络的便捷性。
来者的侵入,对内部的主动泄密却无能为力。而据权
威资料记载,大部份的机密、敏感数据,70%以上都是
2 系统简介
被内部员工从内部网络系统的桌面终端计算机上通过
2.1系统的基本组成
各种传输、复制途径泄露出去的 。 系统主要由两大部分组成:一部分是LINUX平台
为防范内部主动泄密,很多企事业单位已经对内
的服务器端,另一部分是分布在内网中每台计算机上
部员工使用移动存储磁介质做了严格的规定,但是对
的客户端。服务器端根据内定的规则控制网内计算机
于如何防范通过网络传输来进行的机密外泄却是扼住
与外网的连接,包括禁止/允许某些端lCl的开放,禁止/
企业发展的一柄双刃剑。因为当前防范内部泄密的机
允许某台机器上网等等;驻守在局域网内每台机器上
制一般有两种:一种是直接封锁相应的端口,切断信息
的客户端程序是网内计算机允许上网的通行证,局域
的流通,这种方式的确可以保证机密不外泄,但同时网
网中的机器只有当其上的客户端程序是正常运行时,
络带来的便捷也大打折扣,极大的影响了工作效率;一
才会被允许上网,同时客户端程序一旦发现客户在访
种方式则是保持信息流通通道,但对信息的流通作监
问机密文件时会切断其于外网的连接。
控,比如禁止用户上某些网站,或者对一些显示的流通
服务器端包括A、B两台设备,均串联在局域网的
文字作监控,且仅限于关键词匹配方式的监控,这种监 网关或者是防火墙后面,都工作在LINUX平台下。其
控方式相对于第一种方式来说,对用户应用网络的影 中设备B主要作和数据相关的工作,包括一些网络访
响较小,但监控力度也大大减弱,特别是对于一些以电
问日志和加密的电子文档的存储,以及分级查阅功
子文档方式传输的机密无能为力 。
能,根据用户的级别赋予其不同的访问权限。设备B
本文针对内网的主动泄密提出了一种基于内容过
与设备A独立连接,并且不能进行远程访问,这样可
滤的内网防泄密系统CIAL(Content—based Informa—
以防止存储在其上的数据被盗取。设备A则内网与
维普资讯
计算机系统应用 2007年第6期
外网之间设起了一道安全屏障,重组内网数据包,采
用中文信息处理技术对向外发送的信息进行分析,拦
客户端程序运行于局域网内计算机,其主要有
两方面的功能,一方面利用文件系统驱动截获文件访
截可疑信息。
图1 CIAL网络拓朴图
2,2系统的功能与架构
CIAL主要是通过监控向外发送的信息来防止机密
外泄,而信息的主要发泄方式就是通过电子邮件的方
式向外发送。在Internet上,邮件的传送方式主要有两
种,一种是利用H1_rP协议,通过webmail的方式向外
传送;还有一种就是利用SMTP协议,通过邮件服务器
向外发送。CIAL用防范和监控相结合的方式来防止机
密信息的外泄:在内网的每台机器上均装有客户端程
序,用于监控用户是否在操纵机密文档,一旦发现用户
在操作机密文档,会立即通 ̄DTJE务器切断该用户与外
网的连接:服务器端程序则通过对80(岍P)端口和
25(SMTP)端口进行监听,监控从内网发出的信息,尤
其是电子文档信息,通过中文信息处理技术对其进行
分析,一旦发现有涉密内容,就进行拦截。
服务器端
文档涉密判断
—
防
理P
J文件操作f 火
SMTP ̄
I监控 l l 墙
图2 CIAL架构
问,并利用中文信息处理方法来判断是否为涉密文
件,若是涉密文件则通知服务器端,限制该用户上网。
同时客户端还定时与服务器端通讯,客户端应用程序
必须每隔固定时间就向服务器端发送上网的请求,若
经过两个时间间隙服务器端并没有收到来自局域网
内某台计算机的上网请求,则服务器端会自动切断该
机的上网通路,这样就保证了只有在客户端程序正常
运行的情况下用户才能上网,防止了用户恶意绕过客
户端。
服务器端一方面要对局域网内的用户上网进行
必要的控制,一方面又要最大限度的给予用户便捷快
速的上网方式。服务器端运用防火墙来对局域网内
的用户上网进行必要的控制,包括对端口的开放或封
锁,以及根据客户端的的请求发送情况来允许或限制
局域网内某一台计算机的上网。同时服务器上还运
行着两个代理程序,在尽量不影响用户上网的前提下
对发往外网的文件作必要的监控。由于SMTP协议和
HTTP协议在实时性上的要求不同,所以这两个代理在
功能的实现上也有所不同。SMTP协议用来发送邮件
的协议,这种协议对实时性要求不是很高,系统采取
“邮件落地”的形式进行处理,即将发送的邮件内容以
及该邮件的相关信息(用户名,密码)等记录下来,并
在对邮件内容进行检查确认后再决定是否发送该邮
件。而H1_rP协议是互联网Web访问协议,这种协议
的实时性要求非常高,不能像SMTP的“邮件落地”一
样处理,因此CIAL采取一种“单向代理”的方式完
成——只关心外发的数据,对返回的数据实施高速路
由返回客户端,这样做的出发点是只有向外发送的数
据才有可能将涉密文档发送出去,而从服务器返回的
数据不会有此问题。
3 关键技术
3.1 H1TP代理
H1_rP代理具有量大且实时性很高的特点,为了尽
量不影响上网的速度,对这种协议的内容监控采用“应
用层代理+web缓>中”的方式完成,且仅监控外发的数
据,对返回的数据不做检查。采用应用层代理的方式
实现较为简单,缺点是面临大量的服务请求时有可能
维普资讯
2007年第6期 计算机系统应用
造成瓶颈,因此采用与Squid协同工作的方式,利用
squid的高速web缓 中解决瓶颈问题。
应用层代理和Squid代理共同组成了一个具有信
息内容过滤功能的H1-rP透明代理服务器。其中,应用
层代理主要用于截获用户的上网请求,并判断该请求
列中读取邮件并过滤转发。这种机制执行效率高,可
以缓解过多用户请求到来的压力。
3.3中文信息处理
中文信息处理主要包括了对各种信息的格式识别
及文本化,并对文本文档进行涉密判断。格式识别和
文本化是将网络中各种各样的编码方式进行统一,并
识别其中电子文档的格式,包括DOC文档、PDF文档、
是否有外带数据,如果有则获取该信息并交由中文信
息处理程序来判断该数据是否涉密,如若涉密,则切断
此次上网请求,否则,则在客户端浏览器和Squid间建
立起一个网络通路来完成一次上网请求。
图3 H1_rP代理体系结构
3.2 SMTP代理
SMTP代理对实时性要求不是很高,CIAL获取局域
网内向外发送的邮件,记录相关信息并对该邮件的内
容进行核实,如若合法,则向外发送,否则拦截该邮件
并进行相关的曰志记录。这种代理方式是一种透明代
理的处理方式,为此,必须在LINUX系统中插入一个内
核模块,将所有内网的SMTP协议转向到本系统的
SMTP服务器,并且将原始目的地址记录下来,已备后
面真正发送邮件时使用。
一坎t盎l X{ 任 坚毽 一 6k 田娃毛旦
原始邮件
虑后邮件
—————
+
_
—————
+
接 处 转
收 理 发
邮 由B 邮
—————
+
—————
+
件 件 件
▲
l
,
l
存储邮件队列
图4 SMTP代理体系结构
为了处理局域网内大量请求到来的情况,系统的
调度方案采取了“小马拉大车”的机制。系统中只创
建了两种线程,一种是接收线程,一种是处理线程。前
者只管接收客户邮件,然后压入队列,由后者负责从队
ZiP文档等,将其统一转化为文本文档。这些文档经过
特征抽取模块抽取特征之后再与语料库中的涉密文档
进行比对来判断输入文档是否涉密,以采取相应的措
施。
电子
文本 结果
文档
・———-
+
图5 中文信息处理模块体系结构
目前的中文信息处理方法多是从语法的层次上,
通过机械的词语、词频的比对来进行文档的分析。这
种方法得出的结果往往是非常粗糙的,常常会产生误
判或者是漏判。CIAL以全信息理论 为指导,充分考
虑上下文,通过语义和语境的标注,达到从语用的层次
上来理解输入文档的实际内容,从而能较准确的判断
出文档是否涉密。
3.4数据库开发
CIAL中的曰志以及一些涉密文档都存储在设备B
上的数据库中,数据库的类型为mysql。数据库的开发
主要有两方面的内容,一是数据的加密存储,一是数据
的分级展示。
CIAL的数据传输和存储都需要经过加密处理,以
防被不法分子获取。加密分成两种情况,一种是不需
要进行解密的数据,象用户的密码等信息;另一种是需
要进行解密以向用户展示原始内容的数据。经过对各
种加密算法的功能分析,第一种情况可以用MDS加密
(下转第115页)
Appl ̄d Technique应用技术69
维普资讯
2007年第6期 计算机系统应用
下降到0.07%。由此可见,实施XBRL技术以后,对信
息供应商及时、完整、准确获取上市公司数据具有深远
意义。
决策支持系统、上市公司资讯分析系统等,为监管、投
资决策提供了更深入、更及时、更全面的参考,将满足
各类机构和个人对上市公司越来越高的信息披露要
求。
5.3 XBRL的应用促进了上市公司监管
信息披露过程中产生的上市公司数据,为实现多
层次上市公司监管提供了数据基础,各级监管机构可
以分别根据自身监管的需要,从不同层面对上市公司
6结束语
在证券行业中引入XBRL技术,是我国证券行业规
范化的需要,也是中国证监会加强行业监管的需要,符
数据进行分析和挖掘,为决策提供线索及依据。
5.4 XBRL的应用促进了证券信息的传播
合投资者和证券市场其他参与者的共同利益,是中国
XBRL在上市公司信息披露领域的应用,能够实现
证券业信息披露标准化的重要标志。在弓l入XBRL技
证券业内、业问上市公司信息共享和互操作,并确保上
术之后,上市公司的信息公告披露有了统一的内容和
市公司信息披露文件在流转中的一致性,同时减少手
组织形式,从而使上市公司、监管机构、交易所、会计师
工操作环节,提高业务处理效率。
事务所、投资者、研究机构、证券信息服务商等使用者
5.5 XBRL的应用为投资者提供了更丰富的分析工具
能以更低的成本、更高的效率实现信息的生成、提取、
XBRL应用示范和其他相关工具将以一种更有效
分析、交换和共享。是因应市场需求变化而推出的创
的方法向投资者提供现时的商业报告信息,在原PDF
新之举。
格式的基础上,提供数据、图示等各类丰富的信息发布
形式。而在此基础上建立的深层次的监管信息系统、
(上接第69页)
算法完成,第二种情况则采用DES对称加密解密方式 时,也有效的降低了内网泄密的危险性。该系统已经
完成,密钥为固定密钥,由服务器和客户端私下协商决 在企业内部网络中运行了一段时间,在网络的性能和
定,不需要在网络内进行传送,从而降低了风险性。 防泄密功能上表现良好。
数据的展示则需要开发PHP Web应用程序,展示
的主要内容包括
参考文献
・
系统的状态
1 Maximum secudly.2nd ed.Sams Publishing,
・
当前在线用户,以及每个用户的状态
1998.
・
各种协议的日志记录
2李培修、敖勇、贾永强,内网涉密信息泄露途径及防
・
加密文档的内容
范,计算机安全,2005(7):75-76.
在进行数据展示时,考虑到涉密文档的特殊性,对
3张秋江,涉密网的安全构建,信息安全与通信保密,
用户进行了分级管理,只对权限范围内的用户展示相
2006.3:27—29.
关内容。
4吴晓昶、李名世,办公业务网信息临控系统设计,厦
门大学学报,2004(43):332-335.
4结论
5唐正军、田仲、王兵等,网络入侵检测系统的设计与
本文提出了一种基于内容过滤的内网防泄密系统
实现[M】,北京:电子工业出版社,2002.
(CIAL),采用了中文信息处理方式,以透明的方式对从
6钟义信,信息科学原理[M],第三版.北京:北京
内网发出的消息进行监控,在保证了网络便捷性的同
邮电大学出版社,2002.1220.
Produd Ap pI l产品应用115
版权声明:本文标题:基于内容过滤的内网防泄密系统的研究与实现 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1718234007a656544.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论