基于数据流的信息分类防护自动化核查方法

摘要

本发明涉及一种基于数据流的信息分类防护自动化核查方法；该方法为：在客户端与服务器端之间设置信息分类防护自动核查网关，在该网关中，通过定制防火墙规则，将所有目的端口号为HTTP应用的端口号的TCP报文全部重定向到某一端口，然后设定代理服务器在该端口上进行监听，这样所有在网络上传输的HTTP数据包就全部流向了信息分类防护自动核查网关，该网关对监听到的数据进行如下分析和处理：A、基于访问信息的用户身份快速识别；B、多类型资源的获取；C、系统分域部署核查；D、系统分域存储核查；E、用户分类访问核查；本发明提供了一种自动化程度高、准确性高、效率高的基于数据流的信息分类防护自动化核查方法。

说明书

(一)、技术领域：本发明涉及一种网络信息核查方法，特别是涉及一种基 于数据流的信息分类防护自动化核查方法。

(二)、背景技术：随着我国信息化建设的发展，信息系统越来越多地被 应用到各行各业中去，为企业生产效率的提高、为便利人们的日常生活发挥 了重要作用。与此同时，各种安全威胁也相伴而来，信息系统的安全防护已 经成为大家关注的焦点。信息系统安全管理员希望获知系统的运行状况，特 别是重要资源及信息的访问状况，由于检验工具还不够成熟，目前只能通过 手工的方式或依靠系统自己产生的审计信息进行核查和检验，效率低、安全 程度不高，且核查难度大，无法实现对系统的自动化检查，因此迫切需要针 对应用系统的自动化的核查手段。

互联网已成为我国重要的信息基础设施，积极利用互联网进行电子政务 建设，既能提高效率、扩大服务的覆盖面，又能节约资源、降低成本，基于 互联网的电子政务系统已经成为我国电子政务建设的新模式。然而，利用开 放的互联网开展电子政务建设，面临着计算机病毒、网络攻击、信息泄漏、 身份假冒等安全威胁和风险，应该高度重视信息安全。为规避互联网带来安 全风险，推进互联网在我国电子政务中的应用，我国颁布了国家标准GB/Z 24294-2009《基于互联网电子政务信息安全实施指南》，其中“信息分类防护” 是重要的安全防护机制，包括系统分域部署、信息分类存储、基于用户和资 源类型的安全防护等。“信息分类防护”要求是实现基于互联网电子政务系统 安全防护的重要手段，信息分类防护的效果将直接关系到系统安全以及基于 互联网电子政务模式的应用推广。目前，尚无专门针对“信息分类防护”要 求的安全性核查工具，只能借助通用核查工具或通过手工方式进行核查，无 法进行快速、准确和自动化的安全核查。

(三)、发明内容：

本发明要解决的技术问题是：克服现有技术的缺陷，提供一种自动化程度 高、准确性高、效率高的基于数据流的信息分类防护自动化核查方法。

本发明的技术方案：

一种基于数据流的信息分类防护自动化核查方法，在客户端与服务器端之 间设置网关，该网关为信息分类防护自动核查网关，在信息分类防护自动核查 网关中，通过定制防火墙规则，将所有目的端口号为HTTP应用的端口号的 TCP报文全部重定向到某一端口，例如：8080端口，然后设定代理服务器在 该端口上进行监听，这样所有在网络上传输的HTTP数据包就全部流向了信 息分类防护自动核查网关，信息分类防护自动核查网关对监听到的数据进行 如下分析和处理：

A、基于访问信息的用户身份快速识别：

通过对数据流中的访问信息进行捕获并提取其中的特征信息，再结合对 访问者一系列动作的分析，就可以确定访问者的身份；

B、多类型资源的获取：对数据流进行分析，确定用户所访问的资源信息， 识别资源信息的类型，并将资源信息提取出来，提取的资源信息包括：网页 类资源、文件资源、服务类资源和虚拟文件资源；

C、系统分域部署核查：获取系统内部的分域情况，并对域内的信息系统 进行分析判断，检查信息系统的部署是否符合要求；

D、系统分域存储核查：通过对系统内部的存储位置、资源信息进行分析， 确定分类后的信息是否是被安全合理地存放，这样可消除不必要的安全隐患；

E、用户分类访问核查：对分类后用户的访问情况进行核查。

信息分类防护自动核查网关捕获HTTP数据包的方式为透明的数据捕获 模式，这种方式是一种与应用系统无关、无需用户参与的自动化透明核查方 式，它能够有效地降低系统开发带来的不便，降低了成本。

基于访问信息的用户身份快速识别是一种从过往的网络数据流中提取信 息，确定用户身份的一种技术。信息系统在运行过程中会产生大量的数据， 通过对数据流进行收集，对特征信息进行提取并结合对其一系列动作的分析， 就可以确定访问者的身份。

在网络协议中，HTTP协议是高层协议，其中包含有大量的传输信息。而 HTTP协议是基于请求/回应机制的，在客户端与服务器端建立连接后，以请 求方法、URL、协议版本等方式向服务器端发出请求。请求内容可包含请求 修饰符、客户信息，及可能的请求体(body)内容的MIME类型消息。服务器端 则通过状态队列回应，内容包括消息的协议版本、成功或错误代码，也包含 服务器信息、实体元信息及实体内容的MIME类型消息。

本发明中，主要对用户的请求数据包进行判断。请求数据包中包含有用 户与所要请求的资源全部的信息。然而对请求数据包进行分析后发现，访问 者的信息并不会出现在每一个请求数据包中，仅当用户在登录系统或向系统 验证身份时才会向服务器端发送自己的身份信息。其它时候，在数据包中都 是用Cookie字段中的特征信息来标明此数据包与前面的数据包是同一次访问 过程。另一方面，不同操作类型的数据包其内容也不尽相同。例如，登录数 据包中含有用户身份信息、用户证书信息等；而用户访问数据包中则没有用 户身份等信息，只有用户所访问资源的相关内容。

为解决上述难题，本发明设计了主体列表和主体临时列表：

主体列表：包含主体名、主体安全标识信息。

主体临时列表：包含主体名、标识主体的特征字段、主体安全标识信息。

通过主体列表和主体临时列表的使用，可以建立用户与数据包特征字段 的映射关系，这样就以间接的方式获得了用户的身份。

基于访问信息的用户身份快速识别的具体方法如下：

步骤1、用户数据预处理；

步骤1.1、字段特征知识库的训练学习：通过对大量用户请求数据包的分 析、统计，形成字段特征知识库；使用字段特征知识库对数据包内容进行扫 描，便可以确定数据包中特征字段的位置和内容；

步骤1.2、分配用户安全标识，形成主体列表和客体列表，供以后的判决 程序进行查找匹配；

程序对配置文件中的内容进行解析，在内存中申请空间，将其存储在定 义好的数据结构中，并用链表链接起来，形成主体列表和客体列表。

步骤2、判断用户操作类型；

资源请求数据采用GET和POST操作方式，用户登录数据一般采用POST 操作方式；

步骤2.1、判断用户请求数据包的操作类型(请求数据包的操作类型在数 据报头的特定位置有标明)，若检测出其类型为GET，则说明该包为资源请求 包，转至步骤3.1；若为POST类型，转至步骤2.2；

步骤2.2、识别用户操作，继续对POST数据包进行处理，使用字段特征 知识库对数据内容进行检索，若能找出用户身份信息，说明该POST数据包为 登录包或身份确认包，转至步骤3.2；否则，说明该POST数据包为资源请求 包，转至步骤3.1；

步骤3、提取特征字段，识别用户身份；

步骤3.1、提取特征字段，将资源请求包与字段特征知识库进行匹配检索， 提取资源请求包的会话唯一标识ID，然后，转入步骤3.4；

步骤3.2、提取用户登录信息，判断POST数据包的内容，若为普通登录 包，则用普通登录包内容与字段特征知识库进行匹配检索，提取用户身份信 息，然后，转入步骤3.3；若为证书登录包，则调用相关接口，对证书进行解 释，获得用户身份后，转入步骤3.3；

步骤3.3、生成并维护主体临时列表，在获得POST数据包中的用户身份 后，与主体临时列表进行查找比对，若匹配成功则说明该用户已经登录，更 新该主体临时列表的相关数据；若在主体临时列表中匹配失败，则与步骤1.2 中所生成的主体列表进行查找比对，若匹配成功，则说明该用户为受控用户， 将用户身份信息、用户安全标识、数据包会话唯一标识ID这些信息填入主体 临时块，并将这些信息插入主体临时列表；

步骤3.4、使用主体临时列表识别用户，将步骤3.1中提取的数据包会话 唯一标识ID与主体临时列表进行查询比较，若查询失败则认为该用户为非受 控用户；若查询成功，提取主体临时列表中的信息，就可以获得用户的身份 信息和安全标识信息，实现了基于访问信息的用户身份快速识别。

多类型资源的获取技术是从网络上的数据流中确定用户的访问信息，并 提取出来的一种技术。

目前，现有的网络通信协议大都是基于请求/回应机制的，用户首先向服 务器端提交对某一资源的访问请求，服务器端对用户的请求进行解析，然后 按照预先定好的协议，将数据返还给用户。因此，通过对网络中的数据流进 行分析，可以从中提取出资源信息，从而为信息分类防护核查提供依据。

然而，信息系统在与用户进行交互的过程中会产生大量的数据，其中不 仅有资源信息，还包含有请求信息、回应信息、控制信息、同步信息等等， 不同的信息起着不同的作用。由于不同的信息作用不同、所实现的功能不同， 其编码方式和数据结构也不尽相同，这也加大了对资源信息进行提取的难度。

通过对一些信息系统进行分类，目前信息系统中的资源主要有以下几种 形式：

网页类资源，这类资源主要以链接的形式提供给用户。例如，用户在浏 览主页的时候，点击某新闻链接，则会弹出其所想看到的内容；

文件资源，这类资源主要为大家所熟知的文件格式。例如，用户从某网 站下载的音频文件；

服务类资源，顾名思义这类资源以服务的方式提供给用户。例如，用户 使用搜索引擎对某关键字进行搜索；

虚拟文件资源，或称动态文件，这类资源比较复杂，一般是指临时生成 的一些文件。例如，以网页形式存在的表格、文档，或用户已经写好即将发 出去的电子邮件等。

针对上面提到的几种资源类型，本发明设计了客体列表，客体列表主要 包含：客体名称、客体安全标识等。

多类型资源的获取的具体方法如下：

步骤1、资源数据预处理：建立相关特征字段的特征库，相关特征字段的 特征库含有文件后缀名字库、网络服务特征字库；为资源数据分配安全标识 并生成客体列表，供以后的判决程序进行查找匹配；

资源数据预处理的任务是为从数据流中提取资源信息做好准备。资源数 据预处理为资源数据分配安全标识，并将其存储在特定的数据结构中，程序 对配置文件中的内容进行解析，在内存中申请空间，将其存储在定义好的数 据结构中并用链表链接起来，形成客体列表。

步骤2、资源类型识别；

步骤2.1、请求数据包的处理：请求数据包中包含用户对资源的请求。分 析请求数据包所请求的资源字段，与客体列表进行匹配，若匹配成功，说明 该请求数据包为普通的页面资源，则转至步骤3.1；否则继续进行分析，使用 文件后缀名字库对资源字段进行分析匹配，若匹配成功，说明该请求数据包 为文件资源请求包，则转至步骤3.2；否则继续进行分析，使用网络服务特征 字库对资源字段进行分析，查找成功，说明该请求数据包为服务请求包，则 转至步骤3.3；查找失败则说明该请求数据包为其它类型，不处理；

步骤2.2、回应请求数据包的处理：查看该请求数据包是否为特定地址所 返回的数据包，例如，数据库服务地址、邮件服务地址或检索服务地址，若 是则转至步骤3.4；否则认为该请求数据包为其它类型，不处理；

步骤3、多类型资源获取；

针对四种不同类型的资源，分别采用不同的方法来进行处理。

步骤3.1、网页类资源的获取：将请求数据包的地址与客体列表进行比对， 若匹配成功，则提取该客体项的其余字段信息，获取网页类资源的属性信息， 即实现了网页类资源的获取功能；

步骤3.2、文件资源的获取：对请求数据包的URL字段进一步进行分析， 提取与文件名相关的信息，并进行翻译和解码，得到文件名称，用文件名称 与客体列表中的文件资源进行比对可获得相关信息；

步骤3.3、服务类资源的获取：对资源字段进行进一步分析，提取关键字， 将该关键字进行翻译和解码，可以知道用户所使用的服务类型和其所想获得 的信息；对用户提交的数据进行相应操作，可以知道用户对服务类资源进行 了哪些修改；

步骤3.4、虚拟文件资源的获取：虚拟文件资源一般都有固定的格式，通 过对返回的数据包进行格式还原，屏蔽掉返回的数据包中的控制信息和同步 信息，再对还原出来的数据与模式库进行匹配，若与某一种模式匹配成功， 则使用该模式可将数据还原出来，即将虚拟文件资源提取出来；若与所有模 式匹配失败，说明该返回的数据包为坏包，或者，该返回的数据包不是需要 的数据。

基于互联网的电子政务系统划分为内部数据处理区域、公开数据处理区 域、安全服务区域和安全管理区域，针对不同的区域制定了不同的安全策略， 提供基于安全域的接入控制、域间信息安全交换等安全机制。

因此，一个信息系统的部署是否符合要求，成为了信息分类防护核查的 一个重要方面。然而，由于信息系统规模庞大，部署复杂。通过手工检查的 方式费时费力，而且有些信息系统的拓扑环境不方便对外公开。造成核查的 难度增加。

为解决上述难题，本发明设计了针对信息系统的系统分域部署核查方法。

系统分域部署核查的具体方法如下：

步骤1、部署核查工具；

核查工具的部署方式分为两种：

基于透明网关的部署方式和基于交换机端口镜像的部署方式；这两种部 署方式的使用需参考实现情况加以选择，但它们所实现的功能是一样的，对 外提供统一的接口；

基于透明网关的部署方式是在应用系统前端部署一个透明代理网关，让 用户通过代理网关来对信息系统进行访问。核查工具就运行在透明网关上， 通过对过往数据的核查分析，判断系统分域部署情况是否符合要求。这种方 式可以实时捕获网络中全部的数据流，效率较高。

基于交换机端口镜像的部署方式是在应用系统中信息交互的某一结点上 部署一个交换机，交换机上不仅可以实现正常的功能，另外还可以通过端口 镜像的方式，将网络中的信息全部传给分域部署核查工具。这种部署方式对 信息系统的影响更小，但效率不及基于透明网关的部署方式。

步骤2、收集系统信息；

核查工具部署完成后，并不能立即对系统进行核查。核查工具需要对系 统信息进行收集整理，并转化为系统可识别的类型。

步骤2.1、收集系统信息：一方面核查者与被核查方进行沟通，了解系统 部署相关信息；另一方面，通过对数据流的分析，得到不同系统的特征代码； 系统分域部署情况与系统拓扑紧密相关。

步骤2.2、系统信息导入：将正确的系统部署地址与特征代码对应关系以 列表的形式导入核查工具，供核查工具进行校验；

步骤3、系统分域部署核查；

步骤3.1、数据流信息获取：对网络上的数据流进行捕获，提取地址字段 和资源信息字段，并使用特征字库对资源信息字段进行识别处理，若识别成 功说明捕获的数据包为有用包，转入步骤3.2；否则放弃该数据包，继续进行 步骤3.1；

步骤3.2、系统分域部署核查：用识别出来的系统特征字与地址字段在步 骤2.2中生成的列表中进行检索；若匹配成功，说明该域部署正确，否则说明 访问部署有误；

步骤4、生成核查报告：将系统分域部署核查结果以报告形式展示出来， 标明系统部署不恰当的地方，并提出整改方案。

根据信息系统中信息的不同属性，将信息划分为公开信息和内部信息。 内部信息又分为内部公开和内部受控信息两种。系统的防护措施应面向它所 处理的信息，根据不同类别的信息采取不同的保护措施。

但是，由于信息系统中信息数量庞大、公文流转频繁，且使用者大多没 有经过专业培训，往往为信息存储带来非常多的问题。信息易被存放在错误 的位置，从而造成不必要的安全隐患。

另一方面，与系统分域部署情况不同，系统分域存储不以物理地址为划 分界限。相同域内可能存有不同类型的信息，不同域内也可能存有相同类型 的信息。这也增加了检验的难度。

为解决上述难题，本发明设计了针对信息系统的系统分域存储核查方法；

系统分域存储核查的具体方法如下：

步骤1、部署核查工具：

核查工具的部署采用基于透明网关的部署方式，或者采用基于交换机端 口镜像的部署方式，这两种部署方式的使用需参考实现情况加以选择，但所 实现的功能是一样的，对外提供统一的接口；

步骤2、收集系统信息；

核查工具部署完成后，并不能立即对系统进行核查。核查工具需要对系 统信息进行收集整理，并将转化为检验工具可识别的类型。

步骤2.1、分析系统存储位置情况：通过对数据流的分析，得到不同存储 位置的特征代码；

步骤2.2、收集信息在存储方式：分析信息系统用户对资源的访问情况， 得出系统中信息的存放方式，并总结出可供识别的特征代码；

步骤2.3、初始化所需要的信息：将存储位置类型与特征代码存入位置列 表，将信息类型与识别特征代码存入信息列表；

步骤3、系统分域存储核查；

步骤3.1、数据流信息获取：对网络上的数据流进行捕获，提取位置信息 与文件信息，并使用特征字库对位置信息和文件信息分别进行识别处理，若 识别成功说明捕获的数据包为有用包，转入步骤3.2；否则放弃该数据包，继 续进行步骤3.1；

步骤3.2、确定位置类型与信息类型：用识别出来的位置特征字与文件特 征字分别在步骤2.3中生成的位置列表和信息列表中进行检索；若查找成功， 进入步骤3.3；否则说明该信息类型为其它，不做处理；

步骤3.3、系统分域存储核查：用位置特征字找出位置信息类型，用信息 特征字找出信息类型；比较位置类型与信息类型，得出检验结果；

步骤4、生成核查报告：将系统分域存储核查的结果以报告形式展示出来， 标明信息存储不恰当的地方，并提出整改方案。

用户分类访问的措施面向其所处理的信息，根据不同类别的信息采取不 同的保护措施。其中提到，对公开信息的保护应保证信息的完整性和可用性； 对于内部公开信息的保护可采用口令或数字证书进行身份鉴别等手段，允许 系统内政务人员通过身份鉴别访问内部公开信息，防止系统内非政务人员的 非法访问；对于内部受控信息的保护应采用数字证书认证、自主访问控制和 加密等手段，防止非授权人员的访问和数据泄漏。

针对上述要求，本发明设计了虚拟逻辑映射表，

虚拟逻辑映射表：虚拟逻辑映射表包含标识主体的特征字段、主体安全 标识信息、客体信息、客体安全标识字段。通过使用虚拟逻辑映射的方法， 配合使用前面提到的主体列表、主体临时列表和客体列表，可以将用户和用 户安全标识，资源和资源标识对应起来。为用户访问行为的检查提供了依据。

用户分类访问核查的具体方法如下：

步骤1、系统初始化；

程序启动和对系统进行重新配置的时候要对系统进行初始化。初始化的 主要内容有两个，一是对程序运行参数进行配置，二是对主、客体的安全信 息进行初始化。

步骤1.1、配置程序运行参数：程序运行参数包括：程序监听的端口、接 收与发送数据的缓冲区的大小、日志文件的路径、网关超时选项；对程序运 行参数进行初始化，该初始化中含有分配缓存空间、读取并解析配置文件、 创建监听线程；

步骤1.2、主、客体安全信息的初始化：为用户和资源分配安全标识，建 立逻辑映射关系，并将逻辑映射关系存储在特定的数据结构中；在内存中申 请空间，将程序解析配置文件中的内容存储在定义好的数据结构中，并用链 表链接起来，形成主体列表、客体列表和策略列表，供判断程序进行查找匹 配；

主体列表由含有主体名、主体类型等相关信息的数据结构链接而成；客 体列表由含有客体名、客体类型等相关信息的数据结构链接起来而成；策略 列表识别配置文件中的个性化策略，将其存入特定的数据结构，然后链接起 来。

步骤2、网络数据信息识别与提取；

在系统初始化完成以后，信息分类防护自动核查网关就开始等待接收数 据。

步骤2.1、判断数据包类型：检测接收到的数据包的类型，如果为登录包 或身份验证包，则进入步骤2.2；否则为普通包，进入步骤2.3；

步骤2.2、获取用户信息：当检测到用户的登录或身份验证动作时，信息 分类防护自动核查网关查找接收到的数据包中的用户信息，并将该用户信息 与前面生成的主体列表进行查找匹配；若匹配成功，则说明该用户是我们所 要核查的用户，继续查找该数据包，提取该数据包中的特征字段，并将特征 字段、用户信息以及用户安全标识存入主体临时列表；否则视该数据包的用 户为访客身份；进入步骤2.4；

步骤2.3、获取资源信息：查找并提取该数据包中的特征字段，将特征字 段与客体临时列表进行查找比对，若查找失败则认为该数据包的用户为访客 身份；若查找成功，则将用户身份信息与用户安全标记写入虚拟逻辑映射块， 并进入步骤2.4；

步骤2.4、继续完成虚拟逻辑映射块：继续获取数据包所要访问的资源， 并结合客体列表进行处理分析，判断该数据包是否是所要核查的数据包；若 是，则将客体信息和客体安全标识写入未完成的虚拟逻辑映射块；若不是进 入步骤3；

步骤2.5、维护虚拟逻辑映射表：用完成的新的虚拟逻辑映射块对虚拟逻 辑映射表进行遍历，若发现有相同的虚拟逻辑映射块，更新该虚拟逻辑映射 块上的信息为新虚拟逻辑映射块上的信息；否则，将新的虚拟逻辑映射块插 入虚拟逻辑映射表，进入步骤3；

步骤3、分类访问核查策略；

步骤3.1、使用系统内置策略进行核查：虚拟逻辑映射块中的内容包括用 户、用户安全标识、资源、资源安全标识，将这些内容逐块导入核查模块， 通过对主客体安全信息进行检查，得出结论；

步骤3.2、使用自主策略库进行核查：将虚拟逻辑映射表中的内容与步骤 1.2生成的策略列表进行比较，通过用户名与资源名进行查找匹配，得出结论；

步骤4、安全审计：将用户访问的详细情况进行安全审计，并写入审计日 志中，供审计管理员检查。

信息分类防护自动核查网关采用linux操作系统，防火墙规则为Iptables 防火墙规则，HTTP应用的端口号为80。

本发明中用到的基本概念如下：

(1)信息分类防护：根据信息系统中的信息属性，将信息划分为公开信 息和内部信息，内部信息又分为内部公开和内部受控信息两种。信息分类防 护是指系统的防护措施应面向它所处理的信息，根据不同类别的信息采取不 同的保护措施。

(2)系统分域控制：将基于互联网电子政务系统划分为内部数据处理区 域、公开数据处理区域、安全服务区域和安全管理区域，制定不同的安全策 略，提供基于安全域的接入控制、域间信息安全交换等安全机制。其中，安 全域划分为：

a)公开数据处理区域。公开数据是提供给公众访问的数据。公开数据处理 区域用来承载处理公开信息的电子政务应用系统及其数据库，处理对公众和 企业开放的服务，如政策发布、政府网站或便民服务等。

b)内部数据处理区域。内部数据是仅允许系统内部人员访问的数据。内部 数据处理区用来承载处理内部信息的电子政务应用系统及其数据库，处理政 府内部和部门之间的业务。

c)安全管理区域。安全管理区域面向电子政务系统安全管理员，承载安全 管理中心等，为全网的电子政务系统提供统一的资源管理、权限管理、策略 管理、审计管理和安全可视化管理等。

d)安全服务区域。安全服务区域作为安全管理中心的一部分，为所有的电 子政务系统用户，提供共性安全支撑服务，如防恶意代码库升级、统一身份 鉴别和权限验证等。

(3)主体：本发明中的主体是指信息系统中对资源发起访问的请求者。 主体包括信息系统中不同的用户、不同身份的角色、特定的主机、相关的进 程等。

(4)客体：客体是与主体相对的概念，它是指信息系统中被主体访问的 资源。客体包括信息系统中的文件、数据库、web服务、ftp服务等。

本发明中用到的数据格式如下：

主体安全标识、主体列表、主体临时列表、客体安全标识、客体列表、 虚拟逻辑映射表、安全策略表。

主体安全标识：主体安全标识由主体名、主体类型、认证方式组成。

主体列表：主体列表由主体安全标记链接而成。

主体临时列表：主体临时列表由主体名和主体标识字段两部分构成。通过 建立主体临时列表，将标识信息与用户名建立关联，有效地实现基于访问信息 的用户身份识别与关联，为实现基于数据流的信息分类防护自动核查提供依据。

客体安全标识：客体安全标识由客体名、客体类型、认证方式组成。

客体列表：主体列表由客体安全标记链接而成。

虚拟逻辑映射表：虚拟逻辑映射表包含标识主体的特征字段、主体安全 标识信息、客体信息、客体安全标识字段。

策略列表：策略列表由主体信息块、客体信息块、标记位构成。本发明 支持内置策略和自主策略。核查网关自己有一套默认策略，而当有特殊需求 时，使用者可以自己定制个性策略。

系统分域表、文件列表、存储位置列表等由其名称与相关特征字段组成。

本发明的有益效果：

1、本发明部署于应用系统前端，通过采用透明数据捕获模式，方便了 系统部署，对应用系统没有依赖，有效地避免了对已运行应用系统的内部进 行。使用这种方法，降低了成本，提高了效率，同时对于用户来说，感觉不 到网关的存在，部署和配置都十分简单和方便，易于推广使用。

2、本发明能够适用于信息系统中信息分类防护的核查，解决了以往信息 分类防护核查采用手工方式所带来的效率低下、准确性差、安全程度不高， 且无法实现对系统实时进行检查等不足。

(四)、附图说明：

图1为基于数据流的信息分类防护自动化核查方法的示意图；

图2为信息分类防护自动核查网关的结构示意图。

(五)、具体实施方式：

参见图1～图2，图中，基于数据流的信息分类防护自动化核查方法为： 在客户端与服务器端之间设置网关，该网关为信息分类防护自动核查网关，在 信息分类防护自动核查网关中，通过定制防火墙规则，将所有目的端口号为 HTTP应用的端口号的TCP报文全部重定向到某一端口，例如：8080端口， 然后设定代理服务器在该端口上进行监听，这样所有在网络上传输的HTTP 数据包就全部流向了信息分类防护自动核查网关，信息分类防护自动核查网 关对监听到的数据进行如下分析和处理：

A、基于访问信息的用户身份快速识别：

通过对数据流中的访问信息进行捕获并提取其中的特征信息，再结合对 访问者一系列动作的分析，就可以确定访问者的身份；

B、多类型资源的获取：对数据流进行分析，确定用户所访问的资源信息， 识别资源信息的类型，并将资源信息提取出来，提取的资源信息包括：网页 类资源、文件资源、服务类资源和虚拟文件资源；

C、系统分域部署核查：获取系统内部的分域情况，并对域内的信息系统 进行分析判断，检查信息系统的部署是否符合要求；

D、系统分域存储核查：通过对系统内部的存储位置、资源信息进行分析， 确定分类后的信息是否是被安全合理地存放，这样可消除不必要的安全隐患；

E、用户分类访问核查：对分类后用户的访问情况进行核查。

信息分类防护自动核查网关捕获HTTP数据包的方式为透明的数据捕获 模式，这种方式是一种与应用系统无关、无需用户参与的自动化透明核查方 式，它能够有效地降低系统开发带来的不便，降低了成本。

基于访问信息的用户身份快速识别是一种从过往的网络数据流中提取信 息，确定用户身份的一种技术。信息系统在运行过程中会产生大量的数据， 通过对数据流进行收集，对特征信息进行提取并结合对其一系列动作的分析， 就可以确定访问者的身份。

在网络协议中，HTTP协议是高层协议，其中包含有大量的传输信息。而 HTTP协议是基于请求/回应机制的，在客户端与服务器端建立连接后，以请 求方法、URL、协议版本等方式向服务器端发出请求。请求内容可包含请求 修饰符、客户信息，及可能的请求体(body)内容的MIME类型消息。服务器端 则通过状态队列回应，内容包括消息的协议版本、成功或错误代码，也包含 服务器信息、实体元信息及实体内容的MIME类型消息。

本发明中，主要对用户的请求数据包进行判断。请求数据包中包含有用 户与所要请求的资源全部的信息。然而对请求数据包进行分析后发现，访问 者的信息并不会出现在每一个请求数据包中，仅当用户在登录系统或向系统 验证身份时才会向服务器端发送自己的身份信息。其它时候，在数据包中都 是用Cookie字段中的特征信息来标明此数据包与前面的数据包是同一次访问 过程。另一方面，不同操作类型的数据包其内容也不尽相同。例如，登录数 据包中含有用户身份信息、用户证书信息等；而用户访问数据包中则没有用 户身份等信息，只有用户所访问资源的相关内容。

为解决上述难题，本发明设计了主体列表和主体临时列表：

主体列表：包含主体名、主体安全标识信息。

主体临时列表：包含主体名、标识主体的特征字段、主体安全标识信息。

通过主体列表和主体临时列表的使用，可以建立用户与数据包特征字段 的映射关系，这样就以间接的方式获得了用户的身份。

基于访问信息的用户身份快速识别的具体方法如下：

步骤1、用户数据预处理；

步骤1.1、字段特征知识库的训练学习：通过对大量用户请求数据包的分 析、统计，形成字段特征知识库；使用字段特征知识库对数据包内容进行扫 描，便可以确定数据包中特征字段的位置和内容；

步骤1.2、分配用户安全标识，形成主体列表和客体列表，供以后的判决 程序进行查找匹配；

程序对配置文件中的内容进行解析，在内存中申请空间，将其存储在定 义好的数据结构中，并用链表链接起来，形成主体列表和客体列表。

步骤2、判断用户操作类型；

资源请求数据采用GET和POST操作方式，用户登录数据一般采用POST 操作方式；

步骤2.1、判断用户请求数据包的操作类型(请求数据包的操作类型在数 据报头的特定位置有标明)，若检测出其类型为GET，则说明该包为资源请求 包，转至步骤3.1；若为POST类型，转至步骤2.2；

步骤2.2、识别用户操作，继续对POST数据包进行处理，使用字段特征 知识库对数据内容进行检索，若能找出用户身份信息，说明该POST数据包为 登录包或身份确认包，转至步骤3.2；否则，说明该POST数据包为资源请求 包，转至步骤3.1；

步骤3、提取特征字段，识别用户身份；

步骤3.1、提取特征字段，将资源请求包与字段特征知识库进行匹配检索， 提取资源请求包的会话唯一标识ID，然后，转入步骤3.4；

步骤3.2、提取用户登录信息，判断POST数据包的内容，若为普通登录 包，则用普通登录包内容与字段特征知识库进行匹配检索，提取用户身份信 息，然后，转入步骤3.3；若为证书登录包，则调用相关接口，对证书进行解 释，获得用户身份后，转入步骤3.3；

步骤3.3、生成并维护主体临时列表，在获得POST数据包中的用户身份 后，与主体临时列表进行查找比对，若匹配成功则说明该用户已经登录，更 新该主体临时列表的相关数据；若在主体临时列表中匹配失败，则与步骤1.2 中所生成的主体列表进行查找比对，若匹配成功，则说明该用户为受控用户， 将用户身份信息、用户安全标识、数据包会话唯一标识ID这些信息填入主体 临时块，并将这些信息插入主体临时列表；

步骤3.4、使用主体临时列表识别用户，将步骤3.1中提取的数据包会话 唯一标识ID与主体临时列表进行查询比较，若查询失败则认为该用户为非受 控用户；若查询成功，提取主体临时列表中的信息，就可以获得用户的身份 信息和安全标识信息，实现了基于访问信息的用户身份快速识别。

多类型资源的获取技术是从网络上的数据流中确定用户的访问信息，并 提取出来的一种技术。

目前，现有的网络通信协议大都是基于请求/回应机制的，用户首先向服 务器端提交对某一资源的访问请求，服务器端对用户的请求进行解析，然后 按照预先定好的协议，将数据返还给用户。因此，通过对网络中的数据流进 行分析，可以从中提取出资源信息，从而为信息分类防护核查提供依据。

然而，信息系统在与用户进行交互的过程中会产生大量的数据，其中不 仅有资源信息，还包含有请求信息、回应信息、控制信息、同步信息等等， 不同的信息起着不同的作用。由于不同的信息作用不同、所实现的功能不同， 其编码方式和数据结构也不尽相同，这也加大了对资源信息进行提取的难度。

通过对一些信息系统进行分类，目前信息系统中的资源主要有以下几种 形式：

网页类资源，这类资源主要以链接的形式提供给用户。例如，用户在浏 览主页的时候，点击某新闻链接，则会弹出其所想看到的内容；

文件资源，这类资源主要为大家所熟知的文件格式。例如，用户从某网 站下载的音频文件；

服务类资源，顾名思义这类资源以服务的方式提供给用户。例如，用户 使用搜索引擎对某关键字进行搜索；

虚拟文件资源，或称动态文件，这类资源比较复杂，一般是指临时生成 的一些文件。例如，以网页形式存在的表格、文档，或用户已经写好即将发 出去的电子邮件等。

针对上面提到的几种资源类型，本发明设计了客体列表，客体列表主要 包含：客体名称、客体安全标识等。

多类型资源的获取的具体方法如下：

步骤1、资源数据预处理：建立相关特征字段的特征库，相关特征字段的 特征库含有文件后缀名字库、网络服务特征字库；为资源数据分配安全标识 并生成客体列表，供以后的判决程序进行查找匹配；

资源数据预处理的任务是为从数据流中提取资源信息做好准备。资源数 据预处理为资源数据分配安全标识，并将其存储在特定的数据结构中，程序 对配置文件中的内容进行解析，在内存中申请空间，将其存储在定义好的数 据结构中并用链表链接起来，形成客体列表。

步骤2、资源类型识别；

步骤2.1、请求数据包的处理：请求数据包中包含用户对资源的请求。分 析请求数据包所请求的资源字段，与客体列表进行匹配，若匹配成功，说明 该请求数据包为普通的页面资源，则转至步骤3.1；否则继续进行分析，使用 文件后缀名字库对资源字段进行分析匹配，若匹配成功，说明该请求数据包 为文件资源请求包，则转至步骤3.2；否则继续进行分析，使用网络服务特征 字库对资源字段进行分析，查找成功，说明该请求数据包为服务请求包，则 转至步骤3.3；查找失败则说明该请求数据包为其它类型，不处理；

步骤2.2、回应请求数据包的处理：查看该请求数据包是否为特定地址所 返回的数据包，例如，数据库服务地址、邮件服务地址或检索服务地址，若 是则转至步骤3.4；否则认为该请求数据包为其它类型，不处理；

步骤3、多类型资源获取；

针对四种不同类型的资源，分别采用不同的方法来进行处理。

步骤3.1、网页类资源的获取：将请求数据包的地址与客体列表进行比对， 若匹配成功，则提取该客体项的其余字段信息，获取网页类资源的属性信息， 即实现了网页类资源的获取功能；

步骤3.2、文件资源的获取：对请求数据包的URL字段进一步进行分析， 提取与文件名相关的信息，并进行翻译和解码，得到文件名称，用文件名称 与客体列表中的文件资源进行比对可获得相关信息；

步骤3.3、服务类资源的获取：对资源字段进行进一步分析，提取关键字， 将该关键字进行翻译和解码，可以知道用户所使用的服务类型和其所想获得 的信息；对用户提交的数据进行相应操作，可以知道用户对服务类资源进行 了哪些修改；

步骤3.4、虚拟文件资源的获取：虚拟文件资源一般都有固定的格式，通 过对返回的数据包进行格式还原，屏蔽掉返回的数据包中的控制信息和同步 信息，再对还原出来的数据与模式库进行匹配，若与某一种模式匹配成功， 则使用该模式可将数据还原出来，即将虚拟文件资源提取出来；若与所有模 式匹配失败，说明该返回的数据包为坏包，或者，该返回的数据包不是需要 的数据。

基于互联网的电子政务系统划分为内部数据处理区域、公开数据处理区 域、安全服务区域和安全管理区域，针对不同的区域制定了不同的安全策略， 提供基于安全域的接入控制、域间信息安全交换等安全机制。

因此，一个信息系统的部署是否符合要求，成为了信息分类防护核查的 一个重要方面。然而，由于信息系统规模庞大，部署复杂。通过手工检查的 方式费时费力，而且有些信息系统的拓扑环境不方便对外公开。造成核查的 难度增加。

为解决上述难题，本发明设计了针对信息系统的系统分域部署核查方法。

系统分域部署核查的具体方法如下：

步骤1、部署核查工具；

核查工具的部署方式分为两种：

基于透明网关的部署方式和基于交换机端口镜像的部署方式；这两种部 署方式的使用需参考实现情况加以选择，但它们所实现的功能是一样的，对 外提供统一的接口；

基于透明网关的部署方式是在应用系统前端部署一个透明代理网关，让 用户通过代理网关来对信息系统进行访问。核查工具就运行在透明网关上， 通过对过往数据的核查分析，判断系统分域部署情况是否符合要求。这种方 式可以实时捕获网络中全部的数据流，效率较高。

基于交换机端口镜像的部署方式是在应用系统中信息交互的某一结点上 部署一个交换机，交换机上不仅可以实现正常的功能，另外还可以通过端口 镜像的方式，将网络中的信息全部传给分域部署核查工具。这种部署方式对 信息系统的影响更小，但效率不及基于透明网关的部署方式。

步骤2、收集系统信息；

核查工具部署完成后，并不能立即对系统进行核查。核查工具需要对系 统信息进行收集整理，并转化为系统可识别的类型。

步骤2.1、收集系统信息：一方面核查者与被核查方进行沟通，了解系统 部署相关信息；另一方面，通过对数据流的分析，得到不同系统的特征代码； 系统分域部署情况与系统拓扑紧密相关。

步骤2.2、系统信息导入：将正确的系统部署地址与特征代码对应关系以 列表的形式导入核查工具，供核查工具进行校验；

步骤3、系统分域部署核查；

步骤3.1、数据流信息获取：对网络上的数据流进行捕获，提取地址字段 和资源信息字段，并使用特征字库对资源信息字段进行识别处理，若识别成 功说明捕获的数据包为有用包，转入步骤3.2；否则放弃该数据包，继续进行 步骤3.1；

步骤3.2、系统分域部署核查：用识别出来的系统特征字与地址字段在步 骤2.2中生成的列表中进行检索；若匹配成功，说明该域部署正确，否则说明 访问部署有误；

步骤4、生成核查报告：将系统分域部署核查结果以报告形式展示出来， 标明系统部署不恰当的地方，并提出整改方案。

根据信息系统中信息的不同属性，将信息划分为公开信息和内部信息。 内部信息又分为内部公开和内部受控信息两种。系统的防护措施应面向它所 处理的信息，根据不同类别的信息采取不同的保护措施。

但是，由于信息系统中信息数量庞大、公文流转频繁，且使用者大多没 有经过专业培训，往往为信息存储带来非常多的问题。信息易被存放在错误 的位置，从而造成不必要的安全隐患。

另一方面，与系统分域部署情况不同，系统分域存储不以物理地址为划 分界限。相同域内可能存有不同类型的信息，不同域内也可能存有相同类型 的信息。这也增加了检验的难度。

为解决上述难题，本发明设计了针对信息系统的系统分域存储核查方法；

系统分域存储核查的具体方法如下：

步骤1、部署核查工具：

核查工具的部署采用基于透明网关的部署方式，或者采用基于交换机端 口镜像的部署方式，这两种部署方式的使用需参考实现情况加以选择，但所 实现的功能是一样的，对外提供统一的接口；

步骤2、收集系统信息；

核查工具部署完成后，并不能立即对系统进行核查。核查工具需要对系 统信息进行收集整理，并将转化为检验工具可识别的类型。

步骤2.1、分析系统存储位置情况：通过对数据流的分析，得到不同存储 位置的特征代码；

步骤2.2、收集信息在存储方式：分析信息系统用户对资源的访问情况， 得出系统中信息的存放方式，并总结出可供识别的特征代码；

步骤2.3、初始化所需要的信息：将存储位置类型与特征代码存入位置列 表，将信息类型与识别特征代码存入信息列表；

步骤3、系统分域存储核查；

步骤3.1、数据流信息获取：对网络上的数据流进行捕获，提取位置信息 与文件信息，并使用特征字库对位置信息和文件信息分别进行识别处理，若 识别成功说明捕获的数据包为有用包，转入步骤3.2；否则放弃该数据包，继 续进行步骤3.1；

步骤3.2、确定位置类型与信息类型：用识别出来的位置特征字与文件特 征字分别在步骤2.3中生成的位置列表和信息列表中进行检索；若查找成功， 进入步骤3.3；否则说明该信息类型为其它，不做处理；

步骤3.3、系统分域存储核查：用位置特征字找出位置信息类型，用信息 特征字找出信息类型；比较位置类型与信息类型，得出检验结果；

步骤4、生成核查报告：将系统分域存储核查的结果以报告形式展示出来， 标明信息存储不恰当的地方，并提出整改方案。

用户分类访问的措施面向其所处理的信息，根据不同类别的信息采取不 同的保护措施。其中提到，对公开信息的保护应保证信息的完整性和可用性； 对于内部公开信息的保护可采用口令或数字证书进行身份鉴别等手段，允许 系统内政务人员通过身份鉴别访问内部公开信息，防止系统内非政务人员的 非法访问；对于内部受控信息的保护应采用数字证书认证、自主访问控制和 加密等手段，防止非授权人员的访问和数据泄漏。

针对上述要求，本发明设计了虚拟逻辑映射表，

虚拟逻辑映射表：虚拟逻辑映射表包含标识主体的特征字段、主体安全 标识信息、客体信息、客体安全标识字段。通过使用虚拟逻辑映射的方法， 配合使用前面提到的主体列表、主体临时列表和客体列表，可以将用户和用 户安全标识，资源和资源标识对应起来。为用户访问行为的检查提供了依据。

用户分类访问核查的具体方法如下：

步骤1、系统初始化；

程序启动和对系统进行重新配置的时候要对系统进行初始化。初始化的 主要内容有两个，一是对程序运行参数进行配置，二是对主、客体的安全信 息进行初始化。

步骤1.1、配置程序运行参数：程序运行参数包括：程序监听的端口、接 收与发送数据的缓冲区的大小、日志文件的路径、网关超时选项；对程序运 行参数进行初始化，该初始化中含有分配缓存空间、读取并解析配置文件、 创建监听线程；

步骤1.2、主、客体安全信息的初始化：为用户和资源分配安全标识，建 立逻辑映射关系，并将逻辑映射关系存储在特定的数据结构中；在内存中申 请空间，将程序解析配置文件中的内容存储在定义好的数据结构中，并用链 表链接起来，形成主体列表、客体列表和策略列表，供判断程序进行查找匹 配；

主体列表由含有主体名、主体类型等相关信息的数据结构链接而成；客 体列表由含有客体名、客体类型等相关信息的数据结构链接起来而成；策略 列表识别配置文件中的个性化策略，将其存入特定的数据结构，然后链接起 来。

步骤2、网络数据信息识别与提取；

在系统初始化完成以后，信息分类防护自动核查网关就开始等待接收数 据。

步骤2.1、判断数据包类型：检测接收到的数据包的类型，如果为登录包 或身份验证包，则进入步骤2.2；否则为普通包，进入步骤2.3；

步骤2.2、获取用户信息：当检测到用户的登录或身份验证动作时，信息 分类防护自动核查网关查找接收到的数据包中的用户信息，并将该用户信息 与前面生成的主体列表进行查找匹配；若匹配成功，则说明该用户是我们所 要核查的用户，继续查找该数据包，提取该数据包中的特征字段，并将特征 字段、用户信息以及用户安全标识存入主体临时列表；否则视该数据包的用 户为访客身份；进入步骤2.4；

步骤2.3、获取资源信息：查找并提取该数据包中的特征字段，将特征字 段与客体临时列表进行查找比对，若查找失败则认为该数据包的用户为访客 身份；若查找成功，则将用户身份信息与用户安全标记写入虚拟逻辑映射块， 并进入步骤2.4；

步骤2.4、继续完成虚拟逻辑映射块：继续获取数据包所要访问的资源， 并结合客体列表进行处理分析，判断该数据包是否是所要核查的数据包；若 是，则将客体信息和客体安全标识写入未完成的虚拟逻辑映射块；若不是进 入步骤3；

步骤2.5、维护虚拟逻辑映射表：用完成的新的虚拟逻辑映射块对虚拟逻 辑映射表进行遍历，若发现有相同的虚拟逻辑映射块，更新该虚拟逻辑映射 块上的信息为新虚拟逻辑映射块上的信息；否则，将新的虚拟逻辑映射块插 入虚拟逻辑映射表，进入步骤3；

步骤3、分类访问核查策略；

步骤3.1、使用系统内置策略进行核查：虚拟逻辑映射块中的内容包括用 户、用户安全标识、资源、资源安全标识，将这些内容逐块导入核查模块， 通过对主客体安全信息进行检查，得出结论；

步骤3.2、使用自主策略库进行核查：将虚拟逻辑映射表中的内容与步骤 1.2生成的策略列表进行比较，通过用户名与资源名进行查找匹配，得出结论；

步骤4、安全审计：将用户访问的详细情况进行安全审计，并写入审计日 志中，供审计管理员检查。

信息分类防护自动核查网关采用linux操作系统，防火墙规则为Iptables 防火墙规则，HTTP应用的端口号为80。