企業防違規外聯的措施研究

熊輝　夏曉榮

摘要：從技術和管理兩個層面提出了企業防違規外聯的一些措施和方法。

關鍵詞：信息安全；防違規外聯；桌面終端；定制

隨著信息技術的高速發展，企業信息安全也越來越受到企業管理者的重視。一方面要建設一流的現代化企業，必然要求企業和外界保持緊密的聯系，兩者間存在大量的信息交換處理；另一方面企業自身的商業機密包括研發信息、客戶信息等又要確保信息安全，避免企業內部重要信息的外泄。因此，如何在滿足自身信息化需求的情況下保證企業的內部信息安全是企業信息化工作面臨的一個重要課題。

一、技術層面

（一）部署信息網絡準入系統及桌面終端標準化管理系統

針對企業內網部署實施信息網絡準入系統。系統服務端對企業內網終端建立基本信息庫，并綁定IP和MAC地址。終端上網時，終端上安裝的客戶端先取得一個臨時IP，并訪問服務器，取得授權后獲取真正的IP地址，從而得以訪問內網。同時，在交換機上啟動相關協議，確保所有終端必須訪問準入系統，取得授權才能訪問內網。

（二）利用windows操作系統自身的安全機制

通過Windows操作系統自帶的安全機制，定制IPSec安全策略，僅允許信息內網桌面終端訪問企業內網網段，同時禁止訪問外網。策略定制完成后，可通過監測注冊表前后變化，提取變化信息生成注冊表導入文件，利用桌面終端管理系統下發策略到各終端電腦并自動運行，使用人員無需進行任何操作。主要過程如下：

1、在“控制面板”—“管理工具”下選擇“本地安全設置”，選中“IP安全策略 在本地計算機”，右鍵新建1個違規外聯安全策略。

2、新建2個篩選器，分別實現對內網允許訪問和外網禁止訪問進行控制。

3、配置內網訪問策略，目標地址設為內網網段如：10.0.0.0，篩選器操作設置為允許，僅允許訪問10.0.0.0網段地址的IP請求。

4、配置外網訪問策略，目標地址設為0.0.0.0，篩選器操作設置為拒絕，阻斷所有的IP訪問請求。

5、指派違規外聯安全策略，立即生效。

6、從系統注冊表中提取相關內容，并做成注冊表導入文件，利用桌面終端管理系統下發該條策略。

（三）設置開機安全提示畫面

定制防違規外聯啟動畫面，替換原windows操作系統啟動畫面，用戶一旦啟動計算機終端，該提醒畫面將按照啟動順序出現在終端用戶面前。統一定制的信息內、外網桌面終端開機畫面以企業統一形象標識為背景，并對違規外聯、弱口令、防病毒等信息安全要求進行了提示。

可以手工設置替換開機啟動畫面，也可以開發小程序，通過桌面終端管理系統下發執行自動更換。對于終端用戶較多的企業，建議采用開發程序自動執行的方式。主要步驟如下（省略了具體編程過程）：

1、判斷操作系統版本，判斷是否32位或64位操作系統。

2、目前企業用戶大部分使用的是32位winxp系統。對于32位winxp系統更換啟動畫面較簡單，只需要修改c：＼boot.ini文件內容，將“operating systems”下的類似multi（0）disk（0）rdisk（0）partition（1）＼WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect”語句后加上“ /bootlogo/noguiboot”即可，同時，將定制的啟動畫面更名為boot.bmp，將其存放在multi（0）disk（0）rdisk（0）partition（1）＼WINDOWS下，通常是c：＼windows下。

3、對于32位win7系統，需要先修改注冊表中”＼Software＼Microsoft＼windows＼currentversion＼authentication＼LogonUI＼background＼”下的“oembackground”鍵值為1，如果該鍵值不存在，則創建該鍵值。同時將定制的啟動畫面文件名改為backgroundDefault.jpg，并存放在 c：＼windows＼system32＼oobe＼info＼backgrounds下。

4、如果操作系統是64位的，則32位應用程序在64位操作系統下運行時，需要考慮64位操作系統的重定向問題，在修改注冊表和拷貝文件時，先要禁止重定向，修改或拷貝工作完成后再恢復重定向功能。

（四）設置信息安全提示屏保

在用戶使用終端的過程中，為了更好地提醒用戶的使用習慣，避免違規外聯，可以定制企業自己的信息安全提示屏幕保護程序。屏保通過不斷滾動的信息安全提示畫面向終端用戶展示包括禁止連接手機、禁止外來人員使用、禁止送外維修、禁止使用弱口令及禁止使用非注冊信息桌面終端等信息安全要求。屏保程序通過桌面終端管理系統向桌面終端注冊用戶統一下發并自動執行生效。

關于屏保的制作方法，網上有很多，這里不在一一贅述。

（五）定制標準化操作系統

以正版操作系統為基礎進行定制，將以上的安全措施和技術手段包含在內，形成一套包含防病毒軟件、IPSec安全策略等信息安全防護措施以及辦公相關基礎軟件等在內的標準化操作系統。

信息運維人員在日常工作中，需要重裝系統時，可直接安裝該套定制系統，安裝完成后再進行適當微調。定制系統的推行一方面確保所有技術手段和措施在新終端上都得以安裝，沒有遺漏；另一方面，也節省了人力物力和時間，確保了操作系統環境的標準化，在系統出現問題時，便于問題的分析和查找，極大的提升了工作效率，降低了企業信息內網安全隱患。

二、管理層面

（一）嚴格執行終端設備入網退網審批制度

在終端設備信息安全管理工作中，企業應建立和完善信息終端設備的入網和退網審批制度，防止未經授權和檢查的終端隨意接入企業信息內網，未經檢查和處理的終端設備隨意退網或轉接外網。

對于退役終端，先履行紀委監督、物資部門核實并批準、財務部門資產處理的程序，再填報《信息終端報廢表》，由信息部門核實信息設備的最終使用狀態，在桌面終端管理系統、準入系統等相關信息系統內變更設備狀態，同時配合原使用者對終端存儲介質進行資料的轉移、銷毀及防泄密處理。

（二）加強標識標簽管理

對所有終端的網線、公室墻壁上的網口、信息機房的網絡設備接口等均應標注內外網標識，確保不發生誤插、錯插事件。同時在終端主機、顯示屏醒目位置針對內外網分別粘貼“內網設備禁止連接外網”或“外網設備禁止連接內網”等醒目標識，隨時提醒終端使用者規范自己的使用行為。

（三）嚴格考核，簽訂信息安全工作責任書

加強考核，每年年初時在企業內部分級簽訂《信息安全工作責任書》，責任書對企業信息安全和終端管理提出明確要求，并規定了獎懲和考核辦法。同時，所有新入職人員也必須簽訂《信息安全工作責任書》，在企業內部營造出信息安全人人有責的氛圍。

通過采用以上技術措施和管理手段，能有效地控制企業終端使用者的行為，避免違規外聯，大大加強了企業的信息安全。

參考文獻：

[1] 王開圣，馬俊明.電力信息網終端違規外聯的管理研究.中國信息化學術版.2013.07

[2] 陳曉杰，洪志華，孫夷澤，王勇.電力內網違規外聯安全監控研究.浙江電力.2013.10

[3] 薛鐵軍.關于涉密計算機及其移動存儲介質違規外聯監控系統的幾點思考.保密科學技術.2011.03