一种内网设备非法外联监控系统及其方法

1.一种内网设备非法外联监控系统，其特征在于，所述系统包括：
设置在内网设备的客户端，包括：
客户端数据采集模块，用于采集内网设备信息，生成告警信息；
客户端远程连接模块，用于在内网设备启动时与服务端建立远程连接，并且只要内网设备接入互联网，就把客户端数据采集模块生成的告警信息发送到服务端；
客户端应急模块，接收服务端的应急指令，根据服务端的应急指令，执行应急操作；
设置在服务端的：
服务端监控模块，用于与客户端远程连接模块建立连接，并接收内网设备发送的外联告警信息；
服务端策略制定模块，用于当接收到告警信息时，根据预先设定的外联策略，判断内网设备是否允许外联，如果判断不允许外联，则根据预先制定的应急策略向客户端应急模块发送应急指令。
2.根据权利要求1所述的监控系统，其特征在于：
如果内网设备为主机电脑，则采集内网设备的信息；
如果内网设备为移动存储设备，则采集内网设备和宿主机器的信息。
3.根据权利要求1所述的监控系统，其特征在于，所述系统还包括：
设置在客户端的：
客户端加密模块，用于对数据采集模块生成的告警信息进行加密处理；
客户端封装模块，用于对加密后的告警信息进行封装；
客户端远程连接模块把封装后的告警信息发送到服务端；
设置在服务端的：
服务端解封装模块，用于对接收到的封装后的告警信息进行解封装；
服务端解密模块，用于对解封装后的告警信息进行解密，得到解密后的告警信息。
4.根据权利要求3所述的监控系统，其特征在于，所述客户端加密模块使用对称加密方法。
5.根据权利要求3所述的监控系统，其特征在于，所述客户端封装模块包括依次连接的tcp包封装模块和http包封装模块，tcp包封装模块用于把加密后的告警信息封装为tcp包，http包封装模块用于把加密后的告警信息封装为http包；
所述服务端解封装模块包括依次连接的tcp包解封装模块和http包解封装模块，tcp包解封装模块用于把封装为tcp包的加密后的告警信息进行解封装，http包解封装模块用于把封装为http包的加密后的告警信息进行解封装，。
6.根据权利要求2所述的监控系统，其特征在于：如果内网设备为移动存储设备，则所述应急操作为：如果接收到服务端的应急指令，则使移动存储设备与宿主主机的连接接口失效；
如果内网设备为主机电脑，则所述应急操作为：如果接收到服务端的应急指令，则使主机电脑的输入设备失效。
7.一种内网设备非法外联监控方法，其特征在于，所述方法包括：
内网设备的操作步骤：
(1)创建与服务端建立远程连接的线程，启动客户端；
(2)客户端运行后，采集内网设备信息，生成告警信息；
(3)对告警信息使用对称加密方法进行加密处理；
(4)对加密后的告警信息进行封装处理，首先，把加密后的告警信息封装成tcp包，并发送到服务端，如果tcp包发送失败，则把加密后的告警信息封装成http包，重新发送到服务端；
(5)等待服务端的应急指令；
(6)内网设备接收到服务端的应急指令，则调用客户端应急模块执行应急操作后退出应急操作模块；
服务端的操作步骤：
(7)服务端等待接收内网设备的外联告警信息；
(8)服务端接收到告警信息后，判断告警信息的封装类型，如果为tcp包封装，则调用tcp包解封装模块进行tcp包解封装，如果为http包封装，则调用http包解封装模块进行http包解封装；
(9)对解封装后的告警信息进行解密，得到解密后的告警信息；
(10)根据服务端事先设置好的外联策略判断解密后的外联告警信息是否非法，如果是合法外联，则执行步骤(7)继续等待接收客户端的外联告警信息，否则，向客户端发送应急指令，然后执行步骤(7)。
8.根据权利要求7所述的监控方法，其特征在于，所述步骤(1)包括：
如果内网设备为主机电脑，则当主机电脑启动时创建与服务端连接的远程线程，启动客户端；
如果内网设备是移动存储设备，则当移动存储设备插入宿主主机后创建与服务端连接的远程线程，启动客户端。
9.根据权利要求8所述的监控方法，其特征在于：
如果内网设备是主机电脑，则在主机电脑的初始化进程中加载与服务端建立远程连接的线程，并启动客户端；
如果内网设备为移动存储设备，则对移动存储设备进行分区操作，分成两个以上分区，包括第一分区和一个或多个普通分区，所述第一分区的分区类型为光盘存储，一个或多个普通分区的分区类型为普通存储，在第一分区中写入创建远程线程的程序，并将光盘存储设置成自动运行。
10.根据权利要求7所述的监控方法，其特征在于，
如果内网设备为移动存储设备，则所述应急操作为：如果接收到服务端的应急指令，则使移动存储设备与宿主主机的连接接口失效；
如果内网设备为主机电脑，则所述应急操作为：如果接收到服务端的应急指令，则使主机电脑的输入设备失效。

一种内网设备非法外联监控系统及其方法\n技术领域\n[0001] 本发明涉及计算机和移动设备信息安全领域，特别是一种内网设备非法外联监控系统及其方法。\n背景技术\n[0002] 随着社会信息化的深入推进，以及网络的不断发展，计算机和移动设备在社会各领域中日益普及。计算机在单位内部使用已是一种普遍现象了，而由于移动设备具有携带方便、使用灵活等优点，使其在信息化过程中得到了迅速发展。因此，移动设备在单位内部得到使用也成为一个趋势。\n[0003] 单位内部工作时常常会涉及到机密的信息，这些机密信息的泄露可能会给单位或企业带来灾难性的后果。目前，为防止单位或企业内部计算机中的机密信息泄露，已有一些阻止内部计算机和内部移动设备接入互联网的方法。如中国专利公开号为CN200920222401.6的发明就提出了针对主机外联监控的方法，当计算机出现违规连接互联网时，非法外联监控装置会自动禁用网卡，并向监控中心转发预先设置好的报警信息。\n[0004] 但是，以上方法和现有的一些方法都是只针对内部计算机或内部移动介质的，缺乏对内部计算机和内部移动介质统一监控外联的有效方法，内网设备非法外联，将大大增加信息泄露的可能性，如内部主机可能通过单位以外的网络接入互联网，内部移动磁盘可能被接入已经接入互联网的外部主机，从而让机密信息暴露在互联网下，这样，机密信息很可能就在毫不知情的情况下泄露了。\n[0005] 因此，为了让单位内网设备得到安全使用，人们急需一种更可靠、更有效的对内网设备非法外联进行监控的方法，确保对内网设备非法外联监控的准确性和实时性，并且确保对内网设备非法外联做出准确的应急操作，从而保证了内网设备中内部信息的安全性和保密性。\n发明内容\n[0006] 本发明的第一个发明目的，在于提供一种内网设备非法外联监控系统，以解决现有技术不能有效监控内网设备非法外联的技术问题。\n[0007] 为了实现本发明的第一个发明目的，采用的技术方案如下：\n[0008] 一种内网设备非法外联监控系统，所述系统包括：\n[0009] 设置在内网设备的客户端，包括：\n[0010] 客户端数据采集模块，用于采集内网设备的客户端信息，生成告警信息；\n[0011] 客户端远程连接模块，用于在内网设备启动时与服务端建立远程连接，并把客户端数据采集模块生成的告警信息发送到服务端；\n[0012] 客户端应急模块，接收服务端的应急指令，根据服务端的应急指令，执行应急操作；\n[0013] 设置在服务端的：\n[0014] 服务端监控模块，用于与客户端远程连接模块建立连接，并接收内网设备发送的告警信息；\n[0015] 服务端策略制定模块，用于当接收到告警信息时，根据预先设定的外联策略，判断客户端是否允许外联，如果判断不允许外联，则根据预先制定的应急策略向客户端应急模块发送应急指令。\n[0016] 作为一种优选方案：\n[0017] 如果内网设备为主机电脑，则客户端信息为内网设备信息；\n[0018] 如果内网设备为移动存储设备，则客户端信息为移动存储设备信息及与移动存储设备连接的宿主主机的设备信息，所述客户端数据采集模块包括内网设备信息采集模块和宿主主机采集模块。\n[0019] 作为一种优选方案，所述系统还包括：\n[0020] 设置在客户端的：\n[0021] 客户端加密模块，用于对数据采集模块生成的告警信息进行加密处理；\n[0022] 客户端封装模块，用于对加密后的告警信息进行封装；\n[0023] 客户端远程连接模块把封装后的告警信息发送到服务端；\n[0024] 设置在服务端的：\n[0025] 服务端解封装模块，用于对接收到的封装后的告警信息进行解封装；\n[0026] 服务端解码模块，用于对解封装后的告警信息进行解码，得到解码后的告警信息。\n[0027] 作为进一步的优选方案，所述客户端加密模块使用对称加密方法。\n[0028] 优选地，所述对称加密方法具体采用AES-256bit加密方法，即采用分组长度为\n128bit，密钥长度为256bit的AES加密方法。\n[0029] 作为进一步的优选方案，所述客户端封装模块包括依次连接的tcp包封装模块和http包封装模块，tcp包封装模块用于把加密后的告警信息封装为tcp包，http包封装模块用于把加密后的告警信息封装为http包；\n[0030] 所述服务端解封装模块包括依次连接的tcp包解封装模块和http包解封装模块，tcp包解封装模块用于把封装为tcp包的加密后的告警信息进行解封装，http包解封装模块用于把封装为http包的加密后的告警信息进行解封装，。\n[0031] 作为一种优选方案：\n[0032] 如果内网设备为移动存储设备，则所述应急操作为：如果接收到服务端的应急指令，则使移动存储设备与宿主主机的连接接口失效。\n[0033] 如果内网设备为主机电脑，则所述应急操作为：如果接收到服务端的应急指令，则使主机电脑的输入设备失效。\n[0034] 优选地，移动存储设备与宿主主机的连接接口为USB接口，所述主机电脑的输入设备包括鼠标和键盘。\n[0035] 本发明的第二个发明目的在于提供一种内网设备非法外联监控方法，以应用本发明的第一个发明目的所提供的监控系统。\n[0036] 为了实现本发明的第二个发明目的，采用的技术方案如下：\n[0037] 一种内网设备非法外联监控方法，所述方法包括：\n[0038] 内网设备的操作步骤：\n[0039] (1)创建与服务端建立远程连接的线程，启动客户端；\n[0040] (2)客户端运行后，采集内网设备的客户端信息生成告警信息；\n[0041] (3)对告警信息使用对称加密方法对告警信息进行加密处理；\n[0042] (4)对加密后的告警信息进行封装处理，首先，把加密后的告警信息封装成tcp包，并发送到服务端，如果tcp包发送失败，则把加密后的告警信息封装成http包，重新发送到服务端；\n[0043] (5)等待服务端的应急指令；\n[0044] (6)内网设备接收到服务端的应急指令，则调用客户端应急模块执行应急操作后退出；\n[0045] 服务端的操作步骤：\n[0046] (7)服务端等待接收内网设备的告警信息；\n[0047] (8)服务端接收到告警信息后，判断告警信息的封装类型，如果为tcp包封装，则调用tcp包解封装模块进行tcp包解封装，如果为http包封装，则调用http包解封装模块进行http包解封装；\n[0048] (9)对解封装后的告警信息进行解密，得到解密后的告警信息；\n[0049] (10)根据服务端事先设置好的外联策略判断解密后的告警信息是否非法，如果是合法外联，则执行步骤(7)继续等待接收客户端的告警信息，否则，向客户端发送应急指令，然后执行步骤(7)。\n[0050] 上述方法中，步骤(10)事先设置好的外联策略具体为：管理员可以在监控中心服务端设置可允许内网设备外联的条件，如设置特定负责人、特定部门和特定IP等等，符合条件的内网设备将允许外联，通过这样，避免对允许外联的内网设备执行应急操作。\n[0051] 优选地，所述对称加密方法具体采用AES-256bit加密方法，即采用分组长度为\n128bit，密钥长度为256bit的AES加密方法。\n[0052] 作为一种优选方案，所述步骤(1)包括：\n[0053] 如果内网设备为主机电脑，则当主机电脑启动时创建与服务端连接的远程线程，启动客户端；\n[0054] 如果内网设备是移动存储设备，则当移动存储设备插入宿主主机后创建与服务端连接的远程线程，启动客户端。\n[0055] 作为进一步的优选方案：\n[0056] 如果内网设备是主机电脑，则在主机电脑的初始化进程中加载与服务端建立远程连接的线程，并启动客户端；\n[0057] 如果内网设备为移动存储设备，则对移动存储设备进行分区操作，分成两个以上分区，包括第一分区和一个或多个普通分区，所述第一分区的分区类型为光盘存储，一个或多个普通分区的分区类型为普通存储，在第一分区中加载创建与服务端建立远程连接并启动客户端的线程，并将光盘存储设置成自动运行。\n[0058] 作为一种优选方案，\n[0059] 如果内网设备为移动存储设备，则所述应急操作为：如果接收到服务端的应急指令，则使移动存储设备与宿主主机的连接接口失效。\n[0060] 如果内网设备为主机电脑，则所述应急操作为：如果接收到服务端的应急指令，则使主机电脑的输入设备失效。\n[0061] 优选地，移动存储设备与宿主主机的连接接口为USB接口，所述主机电脑的输入设备包括鼠标和键盘。\n[0062] 本发明相对于现有技术具有以下优点：\n[0063] (1)本发明中对内网设备进行外联监控，并记录内网设备外联的详细信息，以便为以后的审计工作提供数据，这有助于追踪内网数据泄露的源头；\n[0064] (2)本发明中对内网设备的非法外联，监控中心可对内网设备发出应急指令，要求内网设备执行应急操作，避免内部信息的泄露；\n[0065] (3)本发明由内部设备直接向服务端发送告警信息，则无论内部受监控主机通过什么方式接入外网，都会受到服务端监控，同时也避免了内部受监控移动存储设备在不知情的情况下接入外网的情况。\n附图说明\n[0066] 图1为本发明一种内网设备非法外联监控的实现系统的结构示意图；\n[0067] 图2为本发明监控中心监控内网设备外联的工作流程图。\n具体实施方式\n[0068] 下面结合实施例及附图，对本发明作进一步详细说明，但本发明的实施方式不限于此。\n[0069] 实施例\n[0070] 如图1所示，一种内网设备非法外联监控的实现系统，包括：\n[0071] 客户端数据采集模块，用于采集内网设备信息和其它信息，如果内网设备是一台主机，则只采集内网设备的信息，如果内网设备是u盘或其它移动设备，则采集内网设备和宿主机器的信息。并对这些信息进行整合处理；\n[0072] 客户端加密模块，用于对数据采集模块生成的告警信息进行加密处理；\n[0073] 客户端封装模块，用于对加密后的告警信息进行封装，可将信息封装成tcp包或http包。模块首先考虑封装成tcp包，若使用tcp包不能将预警信息发送到监控中心服务端，则考虑封装成http包；\n[0074] 客户端应急模块，根据服务端的应急指令，执行应急操作；\n[0075] 服务端策略制定模块，用于设置符合指定条件的内网设备允许外联，并制定接受到告警信息时发出应急操作指令的策略；\n[0076] 客户端数运行在内网设备，主要包括内部主机和内部移动磁盘。如果运行在内部主机，则在内部主机启动时，客户端就启动；如果运行在内部移动磁盘，则当内部移动磁盘插入任何主机，客户端就启动。\n[0077] 所述服务端运行在接入互联网的监控中心，只要内网设备接入互联网，客户端就向服务端发送告警信息，服务端将立即做出应急决策，并做好日志记录。\n[0078] 一种内网设备非法外联监控的实现方法，可以对内部主机和内部移动设备进行外联监控，如图2所示，本发明进行如下操作：\n[0079] 1、如果被监控设备是内部主机，则直接执行创建远程线程的程序，该程序将客户端dll注入到系统已运行且可靠的进程中，由此启动客户端；\n[0080] 2、如果被监控设备是内部移动磁盘，则将创建远程线程的程序(即步骤1中执行的程序)写入U盘，让内部移动磁盘插入主机后会自动运行创建远程线程的程序，从而启动客户端；\n[0081] 3、客户端运行后，采集内网设备和宿主主机的信息，并将这些信息按指定的结构进行封装，生成告警信息，然后使用对称加密方法对告警信息进行加密；\n[0082] 4、首先，把加密后的告警信息封装成tcp包，并把告警信息发送到监控中心服务端。如果发失败，则把加密后的告警信息封装成http包，重新把告警信息发送到监控中心服务端；\n[0083] 5、服务端一直等待接收客户端的外联告警信息。接收到告警信息后，根据监控中心服务端事先设置好的外联策略判断这个外联告警是否非法。如果是合法外联，则不进行其它操作，继续等待接收客户端的其它外联告警信息，否则，立即向客户端发送应急指令，然后等待接收客户端的其它外联告警信息；\n[0084] 6、如果客户端接收到步骤5中发送过来的应急指令，客户端立即调用应急模块：\n[0085] 对于属于内部的移动存储设备，一旦其插入已接入互联网的主机，服务端就像客户端发送指令，客户端随即执行相关操作，使移动设备插入主机的USB接口失效，即令移动设备断开与主机的连接。\n[0086] 对于内网主机，服务端一旦发现其接入互联网，服务端就像客户端发送指令，客户端随即执行相关操作，使该主机的鼠标和键盘失效，即禁止用户与主机的交互；\n[0087] 否则如果没有接收到应急指令，则不执行其它操作。\n[0088] 上述方法中，步骤1和步骤2所述将客户端dll注入到系统已运行且可靠的进程中，其方法具体为：选择可靠的进程，然后在这个进程中创建远程线程，接着让这个线程运行客户端dll，最后修改系统注册表，让这个可靠的进程每次启动时都加载客户端dll；\n[0089] 上述方法中，步骤2所述将内部移动磁盘插入主机后会自动运行创建远程线程的程序，其方法具体为：需要对内部移动磁盘进行特殊处理，将内部移动磁盘中分成两个区，一个分成光盘存储，而另一个分成普通存储，然后在光盘存储里面写入创建远程线程的程序(即步骤1中执行的程序)，最后将光盘存储设置成自动运行；\n[0090] 上述方法中，步骤5所述监控中心服务端事先设置好外联策略具体为：管理员可以在监控中心服务端设置可允许内网设备外联的条件，如设置特定负责人、特定部门和特定IP等等，符合条件的内网设备将允许外联，通过这样，避免对允许外联的内网设备执行应急操作；\n[0091] 所述对称加密方法具体采用AES-256bit加密方法，即采用分组长度为128bit，密钥长度为256bit的AES加密方法。\n[0092] 上述实施例为本发明典型的实施方式，但本发明的实施方式并不受所述实施例的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。