APP下载

浅析海口航标处计算机内部网络非法外联风险及对策

2016-11-18林芳何瑞冠彭钟海口航标处

珠江水运 2016年19期
关键词:外联存储介质航标

◎ 林芳 何瑞冠 彭钟 海口航标处

浅析海口航标处计算机内部网络非法外联风险及对策

◎ 林芳 何瑞冠 彭钟 海口航标处

本文通过分析海口航标处计算机内部网络存在的非法外联风险,从人为管理和技术管理角度探讨防止非法外联的措施,以保障内部网络运行的安全稳定。

网络 非法外联 安全

1.海口航标处内部网络建设现状

在现今大数据和“互联网+交通”的背景下,我国航海保障管理逐渐走上了信息化和智能化的道路。海口航标处作为交通运输部航海保障中心的重要组成单位,其业务也积极向信息化、智能化转变。为保障单位计算机内部网络和重要业务系统的安全稳定运行,海口航标处逐年进行了一系列的制度、管理和技术方面的网络升级工作。目前,处属计算机内部网络部署了防火墙、网闸等网络边界安全设备,内部网络和互联网之间通过网闸实现物理隔离,为信息网络的安全防护起到了积极的作用。

图1  海口航标处网络架构示意图

2.处属计算机内部网络非法外联存在的安全风险

随着业务系统的信息化应用广泛普及,海口航标处计算机内部网络应用日益复杂,主要体现在网络分布广泛、终端数量庞大、业务应用系统越来越多、航标业务对网络信息化依赖也越来越大,因此保障内部网络环境运行安全、稳定成为重要问题。目前海口航标处主要采用网闸设备将内、外网络实施物理隔离,确保两个环境之间无信息传输的物理通道,理论上说可以保证内部网络信息不发生外泄。但在实际管理中发现,大部分信息安全问题主要来自于内部终端用户的非法外联行为引发。由于海口航标处内部网络只在边界安装了网闸和防火墙,内网用户群目前的入网方式是自动获取IP式,全网无实时安全监控设备,而网络应用的日益多样化和存储介质的不断普及,诸多安全隐患日益显现。

2.1非法外联的概念

非法外联是指内部网络计算机在未授权的前提下,通过网络设备建立一条内部网络与外部网络的通路。非法外联行为有很多种,如拨号上网、双网卡上网、GPRS等行为。正常情况下,局域网会有一个统一的出口,即由网关来跟上级网络进行联结,其局域网是封闭的,不允许联结互联网,局域网用户是安全的。但从另一个角度来看,安全是以受限制为代价的,局域网用户为了达到某种目的,采用其他方式非法联结互联网,该联结的风险是使主机同时暴露于内网和外网。

2.2处属内网存在的非法外联行为的安全风险分析

(1)内网用户通过360无线路由、热点路由终端、无线网卡拨号等方式,将内网终端连接至互联网,造成内外网共联,易造成病毒感染、敏感信息泄密等安全事故发生。

(2)外来设备(例如笔记本电脑、PAD等)可人为随意接入内网,造成病毒传播、信息泄漏等信息安全事故。

(3)随意安装来历不明的应用软件,形成众多隐形“后门”,容易造成数据外泄。

(4)移动存储介质内外网交叉使用,由此造成的病毒泛滥和攻击服务器致使瘫痪事件。

(5)内网用户群目前的入网方式是自动获取IP式,全网无实时安全监控设备,存在内外网终端非法互联无法监控,容易造成内网信息外泄。

2.3非法外联的危害

内部网络用户的上述非法外联行为破坏原本封闭纯净环境,造成内、外部网络之间存在网络信息传输的可能,这将使内部网络面临着木马病毒的入侵、隐形“后门”非法监控软件的植入和恶意暴力破解,从而导致单位内部网络的日常运营存在重大的安全隐患。

海口航标处承担着辖区内航标建设养护、管理等技术支持和服务保障职责。目前海口航标处的重要业务均已实现网络信息化管理,因此网络环境的安全尤为重要。以当前航标遥测遥控系统为例,该系统主要通过内网部署监控平台,从而实现对环岛灯塔、灯浮标的灯器远程测控,为航行的船舶提供航道和方向指引。一旦非法外联行为造成黑客或者木马的入侵,极有可能对监控中心发动攻击破坏,那么有可能出现篡改系统参数设置,造成系统为灯器发送错误指令,导致灯器的不正常运行,这将严重威胁到船舶的安全航行。再如号称海上守护神的AIS系统,目前海事监管部门通过AIS应用推广系统对海上船舶进行实时监管,该系统的二次应用数据库也是建立在海事内网环境,一旦因非法外联行为造成攻击进入该系统数据库篡改数据,发送恶意指令,而该系统可以直接与海上船舶进行通信,将会造成重大安全事件。

因此,针对于上述安全隐患问题,急需采取相应的手段,合理化解决问题。

3.防止非法外联的措施

内部网络安全本质上是一种管理需求,目的是使单位的各项工作任务在信息化工作模式下能够安全的进行,管理是主要方式。首先应从人为管理角度建立网络安全管理体系架构,其次要依靠符合单位实际网络安全的先进技术管理手段,实现全方位管控,杜绝安全隐患问题,全面保障内网安全。

(1)建章立制,落实网络安全管理责任。近年来国家高度重视网络安全工作,要做好处属内部网络的安全管理工作,就必须遵照国家信息安全法律法规、政策要求和安全标准,结合本单位工作实际,建立切实可行的信息安全管理责任制,完善信息安全保密保障体系,提高单位网络信息安全防护的正规化水平,遵循“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,做到一机一管,责任明确到人。

(2)部署完善内部网络的有效监控技术手段。针对海口航标处内部网络网络设备的架构存在的安全隐患,建议从如下几方面完善技术部署:一是建设内网终端管理系统。海口航标处内部网络除了边界安装防火墙、网闸等安全设备,应该要部署一套内网终端管理系统,强制要求每台内部网络终端需安装终端管理系统,

实现从内网网络环境安全管理与终端桌面安全管理,从网络到终端,从终端到数据,有效保障处属网络以及终端的安全运行,为管理者制定内网统一安全管理策略提供有效的技术支撑和服务;任何访问单位内网需要对终端进行安全管理,对接入内网的终端进行合法性与安全性检查,对访问终端必须经过统一的安全认证,只有合法且安全的终端才能允许接入内网,达到对非法终端和未知终端进行严格阻断控制的效果。二是加强对IP地址的管理。建议更改当前内网IP地址自动获取入网方式,通过上网行为控制设备的上线,将每台终端的mac地址与与固态IP进行绑定,落实一人一机责任管理。三是部署审计系统。针对服务器或重要终端设备的操作行为进行监控和审计,从而保障信息系统安全运维,如有篡改做到有迹可查,通过审计日记及时发现漏洞,对不规范行为进行整改。四是对移动存储介质进行统一管理。根据目前处属病毒监控报表显示,移动存储介质是造成木马入侵的重要途径。建议部署一套针对接入内网环境的移动存储介质的安全认证系统,任何移动存储介质需通过该系统进行安全认证登记后,方可进入内网终端操作,这样一旦出现安全事件,结合现已部署的病毒网络安全中心,可及时找到病源,从而采取有效举措处理威胁,杜绝外来移动存储介质的乱插乱用现象。

(3)加大计算机网络安全检查力度。要定期、不定期对处属内、外网络终端进行安全检查,重点检查以往信息安全检查中发现问题的整改情况,做到及时发现问题和隐患,及时进行排除和整改,全面化解风险。认真做好服务器、网络设备、安全设备等安全策略配置及有效性;做好重要数据传输、存储的安全防护措施等工作,确保处属网络信息系统安全稳定运行。

(4)积极开展信息网络安全宣贯工作。要将网络安全管理列入全年信息类培训计划,以计算机网络信息安全应用知识和操作技能为基础,通过举办讲座、警示小视频等多种形式,切实加大对全体干部职工的培训教育力度,普及安全知识,从而树立“信息安全无小事”的意识,达到增强干部职工的安全防范意识和风险应对能力的目的。

4.结语

随着信息网络的迅速发展,在当今的信息时代,信息技术已经彻底改变我们的生活和工作方式,也改变现行航保事业的管理模式。面对着航保业务的信息化、智能化层次越来越高,我们必须加强网络与信息安全意识,将网络信息的安全管理工作提升到一个新的高度,在信息安全的建设中遵循PDCA的循环模型进行不断完善,从而为航保业务提供安全可靠的网络基础平台,助力“智慧航保”的健康发展。

[1]浅析央行计算机内部网络非法外联.崔景杰.2014.

[2]防止非法外联的解决方案.天融信.2011.

猜你喜欢

外联存储介质航标
航标工
外联内和:中小学合唱教育高水平发展的区域行动
基于IDF技术实现违规外联控制探究
档案馆移动存储介质管理方法探讨
一种使用存储介质驱动的方式
虚拟航标的作用与应用前景
电力内网违规外联安全监控研究
医院环境下移动存储介质的信息安全管理