内网监控系统的架构设计与研究摘要：针对目前越来越突出的内部网络安全问题，提出通过架设内网监控系统的方法来防止内部信息泄漏，同时介绍了内网监控系统的定义及其开发背景；接着分别从系统的硬件结构、通信结构和业务流程结构三个方面分别介绍了内网监控系统架构设计的思路和方法；最后探讨了目前内网监控系统的发展趋势。??关键词：内网监控系统；架构；设计??中图法分类号：TP311.52文献标识码：A：1001―3695(2007)02―0305―03随着网络技术的发展，网络安全问题呈现出越来越复杂化的趋势，而在众多的安全事件导致的经济损失中，内部信息泄漏已经占了相当一部分的比例[1]。因此，对组织机构，特别是存在核心机密数据的组织结构来说，如何防止内部机要信息被非法窃取、窜改、破坏，是当前信息安全建设的一个重点。??内网监控系统是指利用多种安全技术（密码技术、网络应用监控技术、端口应用监控技术、系统安全监视技术、安全事件智能分析技术和审计跟踪技术等），对内网计算机及其存储的信息进行保护、监控数据流动的全过程，使其不被非法复制、传输、窜改和破坏等。它可以有效地对内部机密信息进行保护，对组织的安全体系建设起着越来越重要的作用。??1系统的设计目标??内网监控系统是为了满足内部局域网用户对内网信息安全进行监控管理的不同层次需求，主要针对目前普遍存在的内网信息的安全隐患，为企事业管理人员提供一套监督、检查内网被监管主机重要信息流向的有效手段，并提供一定的防范措施。用一句话来概括就是防止除人脑记忆以外的一切信息泄露行为。具体地讲，在功能上就是需要能够实时地检测到用户所进行的非法操作并实施干预，能够实时地监控到用户在电脑上的操作并记录关键操作，从而实现网络通信方式信息泄漏的防护、存储媒体/介质信息泄漏的防护、打印机监控、显示器监控、个人计算机系统资源安全管理和个人计算机系统运行状况监控六大主要功能。在性能方面应该做到通信的畅通与高效，可靠性高，并且有一定的容错能力。??2总体分析??整个内网监控系统庞大而又复杂，一个好的架构设计不但能够使系统各部分高效运行，而且也能使得在设计编码时取得事半功倍的效果。而整个架构既包括系统在硬件上的分布，又包括在软件层面上模块的组织结构及其业务流程。硬件是整个系统的核心，如果硬件的性能达不到要求，那么无论系统的软件架构做得多好也不能满足系统的性能要求。??由于内网监控系统的信息流量非常大，单一的服务器不能满足处理要求，这就需要寻找其他的多服务器的架构方案，才能满足大数据量处理的需求。在有了好的硬件架构的基础上，系统的软件架构则主要致力于模块间的交互，使系统在高效运行的基础上尽量少占用系统资源，而内网监控系统信息流量的巨大，使得模块间的通信方案和业务流程的设计显得尤为重要。下面就以硬件架构、通信架构、业务流程的架构三方面来分别说明整个内网监控系统的架构设计。??3系统的架构设计??3.1系统的硬件架构设计??（1）面临的困难。由于需要实时进行监控，在响应时间上有着较高的要求，这就使得对通信系统的性能有着非常高的要求；另外，由于通过电脑进行信息泄露的方法非常多，如通过邮件、网页、打印和移动存储设备等多种方式向外界传递信息。这就需要对整个终端系统进行全方位的控制，从而使得需要监控的项目非常多，信息流量非常大，这又对服务器的性能提出了非常高的要求，甚至单个服务器已经不能满足所有的监控要求，因此必须采用多服务器模式才能满足要求，从而加大了系统整体设计的困难。??（2）解决的办法。为了解决信息流量过大的问题，我们在系统的物理架构上采用了多层分级控制的结构，整个系统分三层，即管理层、服务器层和终端系统层。管理层由多个GUI管理中心所组成，每个GUI均可以控制任意一个终端；系统为一定数量的终端配置一台服务器并将其命名为信息站，它直接负责它所控制的所有终端的事务处理，并将获得的数据经过汇总处理后再与GUI或服务中心进行交互，每个终端只与它所对应的信息站交互，多个信息站一起构成了服务器层；而终端系统层就是被信息站所分割控制的终端系统的集合。这样每个信息站只控制...