淺析海口航標處計算機內(nèi)部網(wǎng)絡(luò)非法外聯(lián)風(fēng)險及對策

◎ 林芳 何瑞冠 彭鐘 海口航標處

淺析?？诤綐颂幱嬎銠C內(nèi)部網(wǎng)絡(luò)非法外聯(lián)風(fēng)險及對策

◎ 林芳 何瑞冠 彭鐘 ?？诤綐颂?/p>

本文通過分析?？诤綐颂幱嬎銠C內(nèi)部網(wǎng)絡(luò)存在的非法外聯(lián)風(fēng)險，從人為管理和技術(shù)管理角度探討防止非法外聯(lián)的措施，以保障內(nèi)部網(wǎng)絡(luò)運行的安全穩(wěn)定。

網(wǎng)絡(luò) 非法外聯(lián) 安全

1.?？诤綐颂巸?nèi)部網(wǎng)絡(luò)建設(shè)現(xiàn)狀

在現(xiàn)今大數(shù)據(jù)和“互聯(lián)網(wǎng)+交通”的背景下，我國航海保障管理逐漸走上了信息化和智能化的道路。?？诤綐颂幾鳛榻煌ㄟ\輸部航海保障中心的重要組成單位，其業(yè)務(wù)也積極向信息化、智能化轉(zhuǎn)變。為保障單位計算機內(nèi)部網(wǎng)絡(luò)和重要業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運行，?？诤綐颂幹鹉赀M行了一系列的制度、管理和技術(shù)方面的網(wǎng)絡(luò)升級工作。目前，處屬計算機內(nèi)部網(wǎng)絡(luò)部署了防火墻、網(wǎng)閘等網(wǎng)絡(luò)邊界安全設(shè)備，內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間通過網(wǎng)閘實現(xiàn)物理隔離，為信息網(wǎng)絡(luò)的安全防護起到了積極的作用。

圖1　 海口航標處網(wǎng)絡(luò)架構(gòu)示意圖

2.處屬計算機內(nèi)部網(wǎng)絡(luò)非法外聯(lián)存在的安全風(fēng)險

隨著業(yè)務(wù)系統(tǒng)的信息化應(yīng)用廣泛普及，?？诤綐颂幱嬎銠C內(nèi)部網(wǎng)絡(luò)應(yīng)用日益復(fù)雜，主要體現(xiàn)在網(wǎng)絡(luò)分布廣泛、終端數(shù)量龐大、業(yè)務(wù)應(yīng)用系統(tǒng)越來越多、航標業(yè)務(wù)對網(wǎng)絡(luò)信息化依賴也越來越大，因此保障內(nèi)部網(wǎng)絡(luò)環(huán)境運行安全、穩(wěn)定成為重要問題。目前海口航標處主要采用網(wǎng)閘設(shè)備將內(nèi)、外網(wǎng)絡(luò)實施物理隔離，確保兩個環(huán)境之間無信息傳輸?shù)奈锢硗ǖ溃碚撋险f可以保證內(nèi)部網(wǎng)絡(luò)信息不發(fā)生外泄。但在實際管理中發(fā)現(xiàn)，大部分信息安全問題主要來自于內(nèi)部終端用戶的非法外聯(lián)行為引發(fā)。由于海口航標處內(nèi)部網(wǎng)絡(luò)只在邊界安裝了網(wǎng)閘和防火墻，內(nèi)網(wǎng)用戶群目前的入網(wǎng)方式是自動獲取IP式，全網(wǎng)無實時安全監(jiān)控設(shè)備，而網(wǎng)絡(luò)應(yīng)用的日益多樣化和存儲介質(zhì)的不斷普及，諸多安全隱患日益顯現(xiàn)。

2.1非法外聯(lián)的概念

非法外聯(lián)是指內(nèi)部網(wǎng)絡(luò)計算機在未授權(quán)的前提下，通過網(wǎng)絡(luò)設(shè)備建立一條內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的通路。非法外聯(lián)行為有很多種，如撥號上網(wǎng)、雙網(wǎng)卡上網(wǎng)、GPRS等行為。正常情況下，局域網(wǎng)會有一個統(tǒng)一的出口，即由網(wǎng)關(guān)來跟上級網(wǎng)絡(luò)進行聯(lián)結(jié)，其局域網(wǎng)是封閉的，不允許聯(lián)結(jié)互聯(lián)網(wǎng)，局域網(wǎng)用戶是安全的。但從另一個角度來看，安全是以受限制為代價的，局域網(wǎng)用戶為了達到某種目的，采用其他方式非法聯(lián)結(jié)互聯(lián)網(wǎng)，該聯(lián)結(jié)的風(fēng)險是使主機同時暴露于內(nèi)網(wǎng)和外網(wǎng)。

2.2處屬內(nèi)網(wǎng)存在的非法外聯(lián)行為的安全風(fēng)險分析

（1）內(nèi)網(wǎng)用戶通過360無線路由、熱點路由終端、無線網(wǎng)卡撥號等方式，將內(nèi)網(wǎng)終端連接至互聯(lián)網(wǎng)，造成內(nèi)外網(wǎng)共聯(lián)，易造成病毒感染、敏感信息泄密等安全事故發(fā)生。

（2）外來設(shè)備（例如筆記本電腦、PAD等）可人為隨意接入內(nèi)網(wǎng)，造成病毒傳播、信息泄漏等信息安全事故。

（3）隨意安裝來歷不明的應(yīng)用軟件，形成眾多隱形“后門”，容易造成數(shù)據(jù)外泄。

（4）移動存儲介質(zhì)內(nèi)外網(wǎng)交叉使用，由此造成的病毒泛濫和攻擊服務(wù)器致使癱瘓事件。

（5）內(nèi)網(wǎng)用戶群目前的入網(wǎng)方式是自動獲取IP式，全網(wǎng)無實時安全監(jiān)控設(shè)備，存在內(nèi)外網(wǎng)終端非法互聯(lián)無法監(jiān)控，容易造成內(nèi)網(wǎng)信息外泄。

2.3非法外聯(lián)的危害

內(nèi)部網(wǎng)絡(luò)用戶的上述非法外聯(lián)行為破壞原本封閉純凈環(huán)境，造成內(nèi)、外部網(wǎng)絡(luò)之間存在網(wǎng)絡(luò)信息傳輸?shù)目赡?，這將使內(nèi)部網(wǎng)絡(luò)面臨著木馬病毒的入侵、隱形“后門”非法監(jiān)控軟件的植入和惡意暴力破解，從而導(dǎo)致單位內(nèi)部網(wǎng)絡(luò)的日常運營存在重大的安全隱患。

?？诤綐颂幊袚?dān)著轄區(qū)內(nèi)航標建設(shè)養(yǎng)護、管理等技術(shù)支持和服務(wù)保障職責(zé)。目前海口航標處的重要業(yè)務(wù)均已實現(xiàn)網(wǎng)絡(luò)信息化管理，因此網(wǎng)絡(luò)環(huán)境的安全尤為重要。以當前航標遙測遙控系統(tǒng)為例，該系統(tǒng)主要通過內(nèi)網(wǎng)部署監(jiān)控平臺，從而實現(xiàn)對環(huán)島燈塔、燈浮標的燈器遠程測控，為航行的船舶提供航道和方向指引。一旦非法外聯(lián)行為造成黑客或者木馬的入侵，極有可能對監(jiān)控中心發(fā)動攻擊破壞，那么有可能出現(xiàn)篡改系統(tǒng)參數(shù)設(shè)置，造成系統(tǒng)為燈器發(fā)送錯誤指令，導(dǎo)致燈器的不正常運行，這將嚴重威脅到船舶的安全航行。再如號稱海上守護神的AIS系統(tǒng)，目前海事監(jiān)管部門通過AIS應(yīng)用推廣系統(tǒng)對海上船舶進行實時監(jiān)管，該系統(tǒng)的二次應(yīng)用數(shù)據(jù)庫也是建立在海事內(nèi)網(wǎng)環(huán)境，一旦因非法外聯(lián)行為造成攻擊進入該系統(tǒng)數(shù)據(jù)庫篡改數(shù)據(jù)，發(fā)送惡意指令，而該系統(tǒng)可以直接與海上船舶進行通信，將會造成重大安全事件。

因此，針對于上述安全隱患問題，急需采取相應(yīng)的手段，合理化解決問題。

3.防止非法外聯(lián)的措施

內(nèi)部網(wǎng)絡(luò)安全本質(zhì)上是一種管理需求，目的是使單位的各項工作任務(wù)在信息化工作模式下能夠安全的進行，管理是主要方式。首先應(yīng)從人為管理角度建立網(wǎng)絡(luò)安全管理體系架構(gòu)，其次要依靠符合單位實際網(wǎng)絡(luò)安全的先進技術(shù)管理手段，實現(xiàn)全方位管控，杜絕安全隱患問題，全面保障內(nèi)網(wǎng)安全。

（1）建章立制，落實網(wǎng)絡(luò)安全管理責(zé)任。近年來國家高度重視網(wǎng)絡(luò)安全工作，要做好處屬內(nèi)部網(wǎng)絡(luò)的安全管理工作，就必須遵照國家信息安全法律法規(guī)、政策要求和安全標準，結(jié)合本單位工作實際，建立切實可行的信息安全管理責(zé)任制，完善信息安全保密保障體系，提高單位網(wǎng)絡(luò)信息安全防護的正規(guī)化水平，遵循“誰主管誰負責(zé)、誰運行誰負責(zé)、誰使用誰負責(zé)”的原則，做到一機一管，責(zé)任明確到人。

（2）部署完善內(nèi)部網(wǎng)絡(luò)的有效監(jiān)控技術(shù)手段。針對海口航標處內(nèi)部網(wǎng)絡(luò)網(wǎng)絡(luò)設(shè)備的架構(gòu)存在的安全隱患，建議從如下幾方面完善技術(shù)部署：一是建設(shè)內(nèi)網(wǎng)終端管理系統(tǒng)。海口航標處內(nèi)部網(wǎng)絡(luò)除了邊界安裝防火墻、網(wǎng)閘等安全設(shè)備，應(yīng)該要部署一套內(nèi)網(wǎng)終端管理系統(tǒng)，強制要求每臺內(nèi)部網(wǎng)絡(luò)終端需安裝終端管理系統(tǒng)，

實現(xiàn)從內(nèi)網(wǎng)網(wǎng)絡(luò)環(huán)境安全管理與終端桌面安全管理，從網(wǎng)絡(luò)到終端，從終端到數(shù)據(jù)，有效保障處屬網(wǎng)絡(luò)以及終端的安全運行，為管理者制定內(nèi)網(wǎng)統(tǒng)一安全管理策略提供有效的技術(shù)支撐和服務(wù)；任何訪問單位內(nèi)網(wǎng)需要對終端進行安全管理，對接入內(nèi)網(wǎng)的終端進行合法性與安全性檢查，對訪問終端必須經(jīng)過統(tǒng)一的安全認證，只有合法且安全的終端才能允許接入內(nèi)網(wǎng)，達到對非法終端和未知終端進行嚴格阻斷控制的效果。二是加強對IP地址的管理。建議更改當前內(nèi)網(wǎng)IP地址自動獲取入網(wǎng)方式，通過上網(wǎng)行為控制設(shè)備的上線，將每臺終端的mac地址與與固態(tài)IP進行綁定，落實一人一機責(zé)任管理。三是部署審計系統(tǒng)。針對服務(wù)器或重要終端設(shè)備的操作行為進行監(jiān)控和審計，從而保障信息系統(tǒng)安全運維，如有篡改做到有跡可查，通過審計日記及時發(fā)現(xiàn)漏洞，對不規(guī)范行為進行整改。四是對移動存儲介質(zhì)進行統(tǒng)一管理。根據(jù)目前處屬病毒監(jiān)控報表顯示，移動存儲介質(zhì)是造成木馬入侵的重要途徑。建議部署一套針對接入內(nèi)網(wǎng)環(huán)境的移動存儲介質(zhì)的安全認證系統(tǒng)，任何移動存儲介質(zhì)需通過該系統(tǒng)進行安全認證登記后，方可進入內(nèi)網(wǎng)終端操作，這樣一旦出現(xiàn)安全事件，結(jié)合現(xiàn)已部署的病毒網(wǎng)絡(luò)安全中心，可及時找到病源，從而采取有效舉措處理威脅，杜絕外來移動存儲介質(zhì)的亂插亂用現(xiàn)象。

（3）加大計算機網(wǎng)絡(luò)安全檢查力度。要定期、不定期對處屬內(nèi)、外網(wǎng)絡(luò)終端進行安全檢查，重點檢查以往信息安全檢查中發(fā)現(xiàn)問題的整改情況，做到及時發(fā)現(xiàn)問題和隱患，及時進行排除和整改，全面化解風(fēng)險。認真做好服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等安全策略配置及有效性；做好重要數(shù)據(jù)傳輸、存儲的安全防護措施等工作，確保處屬網(wǎng)絡(luò)信息系統(tǒng)安全穩(wěn)定運行。

（4）積極開展信息網(wǎng)絡(luò)安全宣貫工作。要將網(wǎng)絡(luò)安全管理列入全年信息類培訓(xùn)計劃，以計算機網(wǎng)絡(luò)信息安全應(yīng)用知識和操作技能為基礎(chǔ)，通過舉辦講座、警示小視頻等多種形式，切實加大對全體干部職工的培訓(xùn)教育力度，普及安全知識，從而樹立“信息安全無小事”的意識，達到增強干部職工的安全防范意識和風(fēng)險應(yīng)對能力的目的。

4.結(jié)語

隨著信息網(wǎng)絡(luò)的迅速發(fā)展，在當今的信息時代，信息技術(shù)已經(jīng)徹底改變我們的生活和工作方式，也改變現(xiàn)行航保事業(yè)的管理模式。面對著航保業(yè)務(wù)的信息化、智能化層次越來越高，我們必須加強網(wǎng)絡(luò)與信息安全意識，將網(wǎng)絡(luò)信息的安全管理工作提升到一個新的高度，在信息安全的建設(shè)中遵循PDCA的循環(huán)模型進行不斷完善，從而為航保業(yè)務(wù)提供安全可靠的網(wǎng)絡(luò)基礎(chǔ)平臺，助力“智慧航?！钡慕】蛋l(fā)展。

[1]淺析央行計算機內(nèi)部網(wǎng)絡(luò)非法外聯(lián).崔景杰.2014.

[2]防止非法外聯(lián)的解決方案.天融信.2011.