◆张前 马健 徐发强

（玄武区人民检察院 江苏 210018）

1 前言

在涉密单位的内部局域网上，凡是接入的电子设备，比如电脑、服务器、监控摄像头等，都是需要严格登记和管理的，这些设备不仅需要分配固定IP，指定保密责任人，还会在涉密网交换机端口绑定其MAC 地址，只允许特定的设备上网。这些管理方式可以阻止未登记的电子设备接入涉密网，但不能对非法接入行为进行监测和报警。并且，实际工作中，难免存在管理措施及技术保障落实不到位的情况，那么对这种非法接入涉密网的实时报警就显得十分必要了。

本文基于电子设备接入网络时一定具有其唯一的MAC 地址，并且该MAC 地址可被在线搜索读取的特点，通过编写CMD 搜索程序（即DOS 操作系统的命令程序，其优点是无须编译，在Windows 系统中可以直接运行），实时监测涉密网上的所有电子设备，对比涉密网上的登记在册的MAC 地址清单，对新出现的MAC 进行报警，如果将一个网段的地址进行分段并行搜索，以花费极短的捕获时间，达到“实时”报警的目的。

2 基于MAC 的“无死角”搜索策略

涉密单位的涉密局域网上，非法电子设备必须配置特定网段IP地址，才能访问网络资源，并且其自身MAC 也是全球唯一的，因此，我们可以通过PING 命令“无死角”地扫描涉密网段所有IP，逐个读取其MAC 地址，比对登记在册涉密电子设备MAC 地址清单，如果发现其不在清单中，就可以认定其为新出现的可疑设备，即时报警。

如图1所示，基于MAC 的“无死角”搜索策略的编程思路是：程序自动后台运行；先复制最新“涉密电脑MAC 清单.txt”文件作为比对之用；在涉密局域网，依次PING 段内IP，无论返回什么信息，均马上用ARP 命令读取该IP 对应的MAC 地址；在确认MAC 地址为有效的后，对比其MAC 是否包含在涉密电脑清单以内，如果是就继续扫描下一个IP，一个网段全部扫完后再从头开始循环扫描，如果单位有其他网段，则切换网管电脑的IP 到新网段上，扫描新网段；如果发现扫描获取的MAC 不在涉密电脑清单以内，则触发报警，程序可以播放报警音乐，还可以发送Windows 报警信息，接收信息的电脑会出现报警弹窗，具体参考图2 和图3。

图1 基于MAC 的“无死角”搜索策略的编程思路

图2 电脑播放音乐报警

图3 电脑屏幕弹窗报警

发现警情后，技术人员可以查询程序记录的LOG 文件，获得可疑设备的IP 和MAC，可以通过登录核心交换机和汇聚交换机，查询可疑设备的MAC 来自哪个端口以及哪个房间，如有违规违法情况，则移交相关部门处理。

3 基于分段并行的高速搜索策略

对可疑电子设备的非法接入，越早发现越好，这就要求程序的搜索捕获时间越短越好。为了进一步缩短捕获时间，本文提出了分段并行的搜索策略，即当搜索一个IP 网段时，可以同时运行N 个搜索子程序，每个搜索子程序搜索的IP 范围只是这个IP 网段的1/N，比如，当N=256 时，每个并行搜索的子程序只负责搜索1 个IP 就可以了。另外，考虑到并行的搜索程序越多，负责搜索的网管电脑CPU 和内存负荷就越大，会出现N 增大，捕获时间反而变长的现象，因此不可以一味地增大N 的取值。在本文的实例中，采用两台网管电脑分担。

完成N=64 个子程序的搜索任务，可以实现小于10 秒的平均捕获时间，对于发现非法接入来说，可以说是“实时”的。编写一个总的管理程序，负责对N 个分段搜索的子程序进行生成与部署运行，其编程思路如图四所示。子程序的编程思路参考图1，不同点仅是搜索范围变小了。

图4 对N 个子程序进行生成与部署运行程序的编程思路

在涉密网上存在多网段的情况下，可以在每个网段上安装部署基于分段并行的高速搜索策略的网管电脑，以保证对非法接入涉密网的电子设备的“实时”捕获。

4 实施案例

作者在所在单位的涉密局域网网段上，部署了两台基于分段并行搜索的网管电脑，均为配置AMD A10-8770 的CPU、8G 内存的联想启天M520-D055 台式电脑，操作系统均为win7 x64，N=64，两台网管电脑各承担一半的搜索任务，即一个网段，分成64 个子段，前32个子段用一台网管电脑搜索，后32 个子段用另一台网管电脑搜索，这种方案可以获得极短的平均捕获时间。

取一个子程序为例，其CMD 程序如下：

这64 个分段并行搜索子程序，分别对本小段4 个IP 循环扫描MAC，发现不在清单内的MAC 就报警，在播放报警音乐的同时，报警信息弹出在电脑屏幕上，也可发送到其他电脑的屏幕上，技术人员可以及时发现非法入侵者。根据作者单位千兆涉密局域网上的反复测试，两台网管电脑分担64 分段并行搜索任务的案例中，对非法电子设备接入的平均捕获时间小于10 秒，最大捕获时间不超过12 秒。

5 小结

对于涉密单位内部局域网上的非法接入，本文提出了在涉密网上对可疑设备的MAC 进行“实时”监测报警的策略，具体包括：基于MAC 的“无死角”搜索策略和基于分段并行的高速搜索策略，达到了“实时”发现和报警的目的。本文所研究的涉密网可疑设备的“实时”报警策略，对军队、公安、银行、工商、税务等单位对防止内部涉密网络和等级保护网络的非法接入，实现智慧网管，防止泄密事件发生，具有较大的参考价值。