淺談電力企業內網終端違規外聯的危害與防護措施

李斌 張躍斌 張艷菲 李云 袁亞琴 張麗敏 崔高智

摘 要：本文提出人工防護與技術防護結合的強有力措施，從多角度出發嚴格杜絕違規外聯，通過加強宣貫信息安全知識，規范計算機準入管理，安裝防違規外聯程序，逐步提升公司終端安全管理水平，提高全員安全意識，增強計算機終端安全防護能力。

關鍵詞：信息安全；違規外聯；安全指標；管理水平

1引言

電力工業是我國國民經濟的一個重要組成部分，隨著計算機網絡的飛速發展和Internet應用的不斷擴大，電力企業建立自己的內部網絡，使員工之間能夠更加方便有效的獲取信息資源并相互交流。

2違規外聯的危害

2.1違規外聯的概述

違規外聯從大的方面可分為兩種情況：一種是指主機同時裝有兩套網絡設備，一套網絡設備正常連接內部網絡，而另一套網絡設備（第二塊網卡、Modem或無線網卡等）連接安全策略不允許的外部網絡，俗稱“一機兩用”，特點是主機同時連通內外兩個網絡；另一種是主機在斷開內部網絡后再連接外部網絡，可以使用同一套網絡設備或使用第二套網絡設備，又稱“離線外聯”，特點是一臺計算機不同時連接兩個不同網絡。顯然，前者的安全隱患大于后者。

2.2違規外聯的常見方式

涉密信息系統進行物理隔離，需按照國家有關的要求，物理環境、傳輸線路的隔離只能保證涉密場所的物理安全，而違規外聯作為一種來自系統內部的、主動的行為，可以輕易地從系統內部撕開一條通向外網的秘密通道，繞過整個網絡邊界的安全防護措施如部署在網絡出口處的防火墻、網絡監控工具的監控，從而無法保證涉密系統完全物理隔離。

涉密系統主機違規外聯主要途徑如下：

2.2.1使用雙/多網卡聯通涉密和非涉密網絡，從而破壞涉密網絡物理隔離；

2.2.2惡意拔掉內網網線或禁用本地網卡進行違規外聯；

2.2.3涉密網內主機或涉密單機使用普通電話線MODEM、ISDN、ADSL等方式撥號上網；

2.2.4涉密網內主機或涉密單機通過WLAN、GPRS或CDMA等無線方式違規上網；

2.2.5涉密網中新添主機；

2.2.6非涉密單機直接違規接入或使用涉密機器網線并更改與涉密機器一樣的IP進行違規接入；

2.2.7涉密網內主機通過串口、并口、USB接口、紅外、藍牙等外設接口接入互聯網中的計算機或其他可交換數據的信息設備。

3人工防護

3.1張貼警示標簽

在計算機使用過程中，手機通過USB接口、Wifi網絡連接辦公計算機都存在極大安全隱患，內網計算機USB接口處張貼“內網設備請勿接入”警示標簽很好的提醒了使用計算機時可能誤接入的隱患，時刻提醒員工注意，保證信息安全，防止非法外聯，防止因內網機插無線網卡、內網機充電發生的誤操作。

3.2宣傳信息安全知識

加強宣貫防違規外聯安全知識，通過網站飄窗、短信平臺、張貼警示標簽、通報制度，增強員工信息安全知識，形成時刻警惕違規外聯的安全意識。運用防違規外聯軟件技術，經過嚴謹的測試，大面積實施推廣，反復多次調試，直至安全穩定高效運行。經大量討論，研究，最終確立發生違規外聯事件大部分原因是員工信息安全意識淡薄，手機誤插到內網計算機；供電所廠家維修人員不知情將手機或外部互聯網接入公司內網；員工用無線設備連接公司內網（wifi，無線網卡）；員工自行把內網計算機離開公司維修。

利用公司門戶網站平臺，宣傳違規外聯知識解答。并以彈窗、飄窗等較為醒目的形式進行信息安全知識的宣貫，使員工隨時隨地都可以接受信息安全教育、查詢違規外聯相關知識、咨詢違規外聯相關問題，提升全員信息安全意識。

通過短信平臺定期向全體員工發送防違規外聯知識相關內容，進行全員防違規外聯知識宣傳，讓他們在日常生活隨時隨地了解防違規外聯知識，同時也能作為信息傳播者轉發出去，讓更多的人了解并加以重視。

4技術防護

4.1前期構思

面對違規外聯這頭號殺手，僅僅大力宣貫，多方擴充宣傳途徑還是不夠的，信通公司大膽嘗試，引進一種新型的防違規外聯軟件技術，實現開機自動啟動WMC高效防火墻功能，實時監控和管理進出的連接，從而達到防違規外聯的效果。4.2安裝防違規外聯程序推廣安裝計算機終端防違規外聯程序，全面解決系統弱口令及違規外聯事件的發生。公司統一建設、規范、推廣計算機終端安全防護軟件系統，進一步加強終端安全管控力度，全面防護辦公計算機終端用戶的口令安全及違規外聯事件的發生，促進公司信息安全指標的良好態勢。

5結論

5.1提高公司信息安全管理水平

通過“人防”和“技防”的相互管理，從根本上杜絕了違規外聯事件的發生，自2015年7月起，信通公司接到咨詢電話6起，均有效的攔截。提升了計算機終端安全防護能力，提高了公司信息安全管理水平。

5.2提升全員信息安全意識

通過多種宣貫方式大力宣傳違規外聯及其嚴重后果，結合防違規外聯軟件技術的合理實施，全面提升了公司全體員工的信息安全意識。

參考文獻：

[1]李建.計算機網絡安全的現狀與探討[J].職業技術，2008，86-89.

[2]張國慶，鄭貴省，于波.局域網安全風險分析與防范[J].信息安全與通信保密，2010，（6）：68-70.

[3]沈昌祥.信息安全工程導論[M].北京：電子工業出版社，2003.

[4]朱星偉.非法外聯監控成就終端安全[J].信息安全與通信保密，2009，（2）：23.

[5]謝家榮.涉密計算機保密防范技術研究[J].計算機與數字工程，2000，28（5）：63-66.

[6]孫娜.非法外聯監測技術的研究與實現.[D].北京郵電大學碩士學位論文.2006.2.

[7]趙元.涉密計算機違規外聯監控技術的研究與實現[D].北京交通大學.2011.6.

[8]陳曉杰，洪志華，孫夷澤等.電力內網違規外聯安全監控研究[J].浙江電力，2013，（10）：70-73.

（作者單位：國網晉城市供電公司）