涉密电脑接入互联网的报警策略研究与实践

◆张 前 马 健 周 淼 徐发强

涉密电脑接入互联网的报警策略研究与实践

◆张 前 马 健 周 淼 徐发强

（玄武区人民检察院 江苏 210018）

在涉密单位，涉密电脑接入互联网存在严重泄密的风险，这是明令禁止的甚至构成犯罪。但在实际工作中，由于保密意识淡薄或管理疏漏，这类事件还是屡屡发生。有没有单位内部的简便技术手段？可以在第一时间发现涉密电脑接入互联网，及时采取措施消除或减小泄密损失。本文提出了在单位的互联网上使用的两种搜索报警策略，通过对涉密电脑的IP和MAC地址进行在线监测，及时报警。这两种策略均采用CMD编程实现，易部署，零费用，还确保涉密网与互联网的物理隔离。

互联网；局域网；涉密电脑；IP MAC；监测报警；物理隔离

1 前言

涉密单位都存在如何管理涉密电脑的问题，重点是如何防止涉密电脑接入单位的非涉密网中，尤其是互联网。尽管保密教育从不放松，但还是会有个别人，要么是失误，要么是自以为是，或将涉密电脑直接接入到单位的互联网上，或将涉密电脑重装系统或重新设置IP接入到互联网中，这里称第一种为“无心之误”，第二种为“有心之误”。

要想杜绝此类事件发生，除了加强保密制度建设和保密教育外，最好能够采取技术手段，及时发现，及时处理，将泄密事件解决在萌芽状态。本文针对涉密电脑的固定IP及独有的MAC地址可被在线搜索读取的特征，以及基于对Windows系统各个版本DOS兼容模式下的相关命令语句的研究，提出了CMD语言编程的两种搜索策略，对涉密电脑接入互联网进行实时监测报警，并成功通过应用测试。

2 基于IP地址的搜索策略

针对“无心之误”造成的涉密电脑接入互联网，可以采用基于IP地址的搜索策略。首先必须明确的是，单位的互联网都是内部的局域网经统一接口外联到互联网的，因此，单位的互联网的IP地址都是私有地址，比如172.16.40.*、192.168.1.*等；其次，单位的涉密电脑配置的是涉密网的固定IP，尽管也是私有地址，比如10.132.5.*，出于管理的需要，其IP地址的规划分配必定与互联网的私有地址不同；最后，同一局域网中，相同IP段的电脑之间是可以PING通对方并读取对方MAC的。基于IP地址的搜索策略的思路如图1所示。

图1 基于IP地址搜索策略的编程思路

在单位的互联网配置一台搜索报警电脑，设置与涉密电脑同网段的IP，并对该网段的IP进行PING命令的搜索，发现有涉密电脑的IP，采用ARP命令读取并储存涉密电脑的MAC地址以固定证据，再播放报警音乐和发送Windows消息到技术人员的互联网工作电脑，通知技术人员及时处理。如果单位的互联网有几个网段，就更改搜索报警电脑的IP地址，逐个切换到不同的IP段上进行搜索。电脑消息报警和音乐报警分别如图2和图3所示。

图2 电脑消息报警

图3 音乐报警

技术人员可以查询程序记录的LOG文件，获得互联网上的涉密电脑的IP和MAC，可以通过日常的涉密电脑领用登记明确责任人以及可能的现场位置，必要时还可以通过分段断网、布线查找的方式找到接入互联网的涉密电脑。

3 基于MAC地址的搜索策略

针对“有心之误”造成涉密电脑接入互联网，就要采用基于MAC地址的搜索策略。因为“有心人”为了能接入单位的互联网，更改了涉密电脑的IP，甚至重装了系统，这就需要通过搜索涉密电脑MAC地址的方式来进行锁定了。基于MAC地址的搜索策略是：首先建立“涉密电脑MAC.txt”文件，包含单位所有的涉密电脑的MAC地址；再在搜索报警电脑中执行CMD程序，对本网段内所有IP进行PING尝试连接，并通过ARP命令读取该IP的MAC地址，存储在另一个文件中，比如“MAC地址搜索结果总汇.txt”；最后，互联网的所有IP地址扫描结束后，比对“涉密电脑MAC.txt”和“MAC地址搜索结果总汇.txt”有无相同项，如有，就说明在单位内的互联网上搜索到了涉密电脑的MAC地址，即发现了涉密电脑。基于MAC地址的搜索策略的思路如图四所示。

程序发现涉密电脑的MAC地址后，立即通过Windows消息和音乐进行报警。技术人员根据程序的LOG文件同样可以确定涉密电脑的IP和MAC地址，锁定涉密电脑的位置。

4 两种搜索策略的效用探讨

基于MAC地址的搜索策略比基于IP更实用，因为MAC地址在电脑主板上，无论涉密电脑做过什么系统改动，都改变不了这个参数（恶意修改除外），都可以被搜索出来。但是“无心之误”接入互联网的涉密电脑，其IP是涉密网的地址，不在单位互联网的IP段中，还是要通过基于IP地址的搜索策略才能发现。所以两种搜索策略需要同时运用，互为补充。

用同一台电脑运行以上两种搜索程序是可以的，但是要在时间上错开，不能同时运行，因为两个搜索程序需要设置不同的本机IP，基于IP搜索策略需设置本机为涉密电脑同网段的IP，基于MAC搜索策略需设置本机为单位互联局域网网段的IP。如果增加一块网卡，一台电脑就可以同时运行这两种搜索程序。

涉密电脑的捕获时间，即涉密电脑从接入单位的互联网到被搜索程序发现的时间，主要取决于PING命令的响应时间和需要搜索的IP地址的数量。理论上讲，只要采用任务分担的方式，即用多台搜索电脑、多个搜索程序同时运行，将需要搜索的有限的IP地址进行划分，将捕获时间控制在数十秒以内是可以实现的。

5 单位互联网上涉密电脑搜索报警的实施案例

在作者所在的单位，既有涉密局域网，也有连接外部互联网的内部局域网，即单位的互联网，或叫外网。涉密局域网中的涉密电脑如果“退役”，就存在人为“不小心”或“好心”接入外网的风险，于是我们在外网上配置了两台笔记本电脑，一台运行基于IP搜索策略，其CMD程序主要部分如下：

图4 基于MAC地址搜索策略的编程思路

另一台运行基于MAC搜索策略，其CMD程序主要部分如下：

这两个搜索报警程序保存为.cmd文件，不用编译，分别存放在两台笔记本电脑的系统启动目录下，开机后自动运行，每天24小时循环搜索外网上的涉密电脑，一旦发现，就播放报警音乐，报警的Windows消息也会发送到技术人员的外网办公电脑的屏幕上。经测试，涉密电脑从接入外网到被发现的捕获时间大约在半小时左右。如果单位发生了涉密网与外网的物理连接，等于是所有在线的涉密电脑都接入了互联网，几分钟就可以发现。以上均为模拟测试，实战部署。

6 小结

针对涉密电脑接入单位的互联网的失误屡屡发生，本文从技术层面上提出了在单位的互联网上进行在线监测报警的解决方法，具体包括基于IP搜索的策略和基于MAC搜索的策略，分别解决“无心之误”和“有心之误”，编程实现的语言是CMD，经实战模拟验证达到了设计效果。增加报警电脑的数量和增加报警程序的数量可以将捕获时间压缩在1分钟以内，可以使涉密电脑接入单位互联网的严重事件得到快速报警和及时解决。本文研究的监测报警方法，对银行、工商、税务、公安、军队等部门防止涉密电脑接入其非涉密网络，或等级保护网络的电脑接入其互联网同样适用。

[1]王春海，张翠轩.非常网管：DOS命令技术详解[M].人民邮电出版社.

[2]李庆东，张文娟.网络安全问题研究[J].情报科学，2000（08）.