淺析海口航標(biāo)處計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)非法外聯(lián)風(fēng)險(xiǎn)及對(duì)策

◎ 林芳 何瑞冠 彭鐘 ?？诤綐?biāo)處

淺析?？诤綐?biāo)處計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)非法外聯(lián)風(fēng)險(xiǎn)及對(duì)策

◎ 林芳 何瑞冠 彭鐘 海口航標(biāo)處

本文通過分析?？诤綐?biāo)處計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)存在的非法外聯(lián)風(fēng)險(xiǎn)，從人為管理和技術(shù)管理角度探討防止非法外聯(lián)的措施，以保障內(nèi)部網(wǎng)絡(luò)運(yùn)行的安全穩(wěn)定。

網(wǎng)絡(luò) 非法外聯(lián) 安全

1.?？诤綐?biāo)處內(nèi)部網(wǎng)絡(luò)建設(shè)現(xiàn)狀

在現(xiàn)今大數(shù)據(jù)和“互聯(lián)網(wǎng)+交通”的背景下，我國航海保障管理逐漸走上了信息化和智能化的道路。?？诤綐?biāo)處作為交通運(yùn)輸部航海保障中心的重要組成單位，其業(yè)務(wù)也積極向信息化、智能化轉(zhuǎn)變。為保障單位計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)和重要業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運(yùn)行，?？诤綐?biāo)處逐年進(jìn)行了一系列的制度、管理和技術(shù)方面的網(wǎng)絡(luò)升級(jí)工作。目前，處屬計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)部署了防火墻、網(wǎng)閘等網(wǎng)絡(luò)邊界安全設(shè)備，內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間通過網(wǎng)閘實(shí)現(xiàn)物理隔離，為信息網(wǎng)絡(luò)的安全防護(hù)起到了積極的作用。

圖1　 海口航標(biāo)處網(wǎng)絡(luò)架構(gòu)示意圖

2.處屬計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)非法外聯(lián)存在的安全風(fēng)險(xiǎn)

隨著業(yè)務(wù)系統(tǒng)的信息化應(yīng)用廣泛普及，海口航標(biāo)處計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)應(yīng)用日益復(fù)雜，主要體現(xiàn)在網(wǎng)絡(luò)分布廣泛、終端數(shù)量龐大、業(yè)務(wù)應(yīng)用系統(tǒng)越來越多、航標(biāo)業(yè)務(wù)對(duì)網(wǎng)絡(luò)信息化依賴也越來越大，因此保障內(nèi)部網(wǎng)絡(luò)環(huán)境運(yùn)行安全、穩(wěn)定成為重要問題。目前海口航標(biāo)處主要采用網(wǎng)閘設(shè)備將內(nèi)、外網(wǎng)絡(luò)實(shí)施物理隔離，確保兩個(gè)環(huán)境之間無信息傳輸?shù)奈锢硗ǖ溃碚撋险f可以保證內(nèi)部網(wǎng)絡(luò)信息不發(fā)生外泄。但在實(shí)際管理中發(fā)現(xiàn)，大部分信息安全問題主要來自于內(nèi)部終端用戶的非法外聯(lián)行為引發(fā)。由于?？诤綐?biāo)處內(nèi)部網(wǎng)絡(luò)只在邊界安裝了網(wǎng)閘和防火墻，內(nèi)網(wǎng)用戶群目前的入網(wǎng)方式是自動(dòng)獲取IP式，全網(wǎng)無實(shí)時(shí)安全監(jiān)控設(shè)備，而網(wǎng)絡(luò)應(yīng)用的日益多樣化和存儲(chǔ)介質(zhì)的不斷普及，諸多安全隱患日益顯現(xiàn)。

2.1非法外聯(lián)的概念

非法外聯(lián)是指內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)在未授權(quán)的前提下，通過網(wǎng)絡(luò)設(shè)備建立一條內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的通路。非法外聯(lián)行為有很多種，如撥號(hào)上網(wǎng)、雙網(wǎng)卡上網(wǎng)、GPRS等行為。正常情況下，局域網(wǎng)會(huì)有一個(gè)統(tǒng)一的出口，即由網(wǎng)關(guān)來跟上級(jí)網(wǎng)絡(luò)進(jìn)行聯(lián)結(jié)，其局域網(wǎng)是封閉的，不允許聯(lián)結(jié)互聯(lián)網(wǎng)，局域網(wǎng)用戶是安全的。但從另一個(gè)角度來看，安全是以受限制為代價(jià)的，局域網(wǎng)用戶為了達(dá)到某種目的，采用其他方式非法聯(lián)結(jié)互聯(lián)網(wǎng)，該聯(lián)結(jié)的風(fēng)險(xiǎn)是使主機(jī)同時(shí)暴露于內(nèi)網(wǎng)和外網(wǎng)。

2.2處屬內(nèi)網(wǎng)存在的非法外聯(lián)行為的安全風(fēng)險(xiǎn)分析

（1）內(nèi)網(wǎng)用戶通過360無線路由、熱點(diǎn)路由終端、無線網(wǎng)卡撥號(hào)等方式，將內(nèi)網(wǎng)終端連接至互聯(lián)網(wǎng)，造成內(nèi)外網(wǎng)共聯(lián)，易造成病毒感染、敏感信息泄密等安全事故發(fā)生。

（2）外來設(shè)備（例如筆記本電腦、PAD等）可人為隨意接入內(nèi)網(wǎng)，造成病毒傳播、信息泄漏等信息安全事故。

（3）隨意安裝來歷不明的應(yīng)用軟件，形成眾多隱形“后門”，容易造成數(shù)據(jù)外泄。

（4）移動(dòng)存儲(chǔ)介質(zhì)內(nèi)外網(wǎng)交叉使用，由此造成的病毒泛濫和攻擊服務(wù)器致使癱瘓事件。

（5）內(nèi)網(wǎng)用戶群目前的入網(wǎng)方式是自動(dòng)獲取IP式，全網(wǎng)無實(shí)時(shí)安全監(jiān)控設(shè)備，存在內(nèi)外網(wǎng)終端非法互聯(lián)無法監(jiān)控，容易造成內(nèi)網(wǎng)信息外泄。

2.3非法外聯(lián)的危害

內(nèi)部網(wǎng)絡(luò)用戶的上述非法外聯(lián)行為破壞原本封閉純凈環(huán)境，造成內(nèi)、外部網(wǎng)絡(luò)之間存在網(wǎng)絡(luò)信息傳輸?shù)目赡?，這將使內(nèi)部網(wǎng)絡(luò)面臨著木馬病毒的入侵、隱形“后門”非法監(jiān)控軟件的植入和惡意暴力破解，從而導(dǎo)致單位內(nèi)部網(wǎng)絡(luò)的日常運(yùn)營存在重大的安全隱患。

海口航標(biāo)處承擔(dān)著轄區(qū)內(nèi)航標(biāo)建設(shè)養(yǎng)護(hù)、管理等技術(shù)支持和服務(wù)保障職責(zé)。目前?？诤綐?biāo)處的重要業(yè)務(wù)均已實(shí)現(xiàn)網(wǎng)絡(luò)信息化管理，因此網(wǎng)絡(luò)環(huán)境的安全尤為重要。以當(dāng)前航標(biāo)遙測(cè)遙控系統(tǒng)為例，該系統(tǒng)主要通過內(nèi)網(wǎng)部署監(jiān)控平臺(tái)，從而實(shí)現(xiàn)對(duì)環(huán)島燈塔、燈浮標(biāo)的燈器遠(yuǎn)程測(cè)控，為航行的船舶提供航道和方向指引。一旦非法外聯(lián)行為造成黑客或者木馬的入侵，極有可能對(duì)監(jiān)控中心發(fā)動(dòng)攻擊破壞，那么有可能出現(xiàn)篡改系統(tǒng)參數(shù)設(shè)置，造成系統(tǒng)為燈器發(fā)送錯(cuò)誤指令，導(dǎo)致燈器的不正常運(yùn)行，這將嚴(yán)重威脅到船舶的安全航行。再如號(hào)稱海上守護(hù)神的AIS系統(tǒng)，目前海事監(jiān)管部門通過AIS應(yīng)用推廣系統(tǒng)對(duì)海上船舶進(jìn)行實(shí)時(shí)監(jiān)管，該系統(tǒng)的二次應(yīng)用數(shù)據(jù)庫也是建立在海事內(nèi)網(wǎng)環(huán)境，一旦因非法外聯(lián)行為造成攻擊進(jìn)入該系統(tǒng)數(shù)據(jù)庫篡改數(shù)據(jù)，發(fā)送惡意指令，而該系統(tǒng)可以直接與海上船舶進(jìn)行通信，將會(huì)造成重大安全事件。

因此，針對(duì)于上述安全隱患問題，急需采取相應(yīng)的手段，合理化解決問題。

3.防止非法外聯(lián)的措施

內(nèi)部網(wǎng)絡(luò)安全本質(zhì)上是一種管理需求，目的是使單位的各項(xiàng)工作任務(wù)在信息化工作模式下能夠安全的進(jìn)行，管理是主要方式。首先應(yīng)從人為管理角度建立網(wǎng)絡(luò)安全管理體系架構(gòu)，其次要依靠符合單位實(shí)際網(wǎng)絡(luò)安全的先進(jìn)技術(shù)管理手段，實(shí)現(xiàn)全方位管控，杜絕安全隱患問題，全面保障內(nèi)網(wǎng)安全。

（1）建章立制，落實(shí)網(wǎng)絡(luò)安全管理責(zé)任。近年來國家高度重視網(wǎng)絡(luò)安全工作，要做好處屬內(nèi)部網(wǎng)絡(luò)的安全管理工作，就必須遵照國家信息安全法律法規(guī)、政策要求和安全標(biāo)準(zhǔn)，結(jié)合本單位工作實(shí)際，建立切實(shí)可行的信息安全管理責(zé)任制，完善信息安全保密保障體系，提高單位網(wǎng)絡(luò)信息安全防護(hù)的正規(guī)化水平，遵循“誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則，做到一機(jī)一管，責(zé)任明確到人。

（2）部署完善內(nèi)部網(wǎng)絡(luò)的有效監(jiān)控技術(shù)手段。針對(duì)?？诤綐?biāo)處內(nèi)部網(wǎng)絡(luò)網(wǎng)絡(luò)設(shè)備的架構(gòu)存在的安全隱患，建議從如下幾方面完善技術(shù)部署：一是建設(shè)內(nèi)網(wǎng)終端管理系統(tǒng)。?？诤綐?biāo)處內(nèi)部網(wǎng)絡(luò)除了邊界安裝防火墻、網(wǎng)閘等安全設(shè)備，應(yīng)該要部署一套內(nèi)網(wǎng)終端管理系統(tǒng)，強(qiáng)制要求每臺(tái)內(nèi)部網(wǎng)絡(luò)終端需安裝終端管理系統(tǒng)，

實(shí)現(xiàn)從內(nèi)網(wǎng)網(wǎng)絡(luò)環(huán)境安全管理與終端桌面安全管理，從網(wǎng)絡(luò)到終端，從終端到數(shù)據(jù)，有效保障處屬網(wǎng)絡(luò)以及終端的安全運(yùn)行，為管理者制定內(nèi)網(wǎng)統(tǒng)一安全管理策略提供有效的技術(shù)支撐和服務(wù)；任何訪問單位內(nèi)網(wǎng)需要對(duì)終端進(jìn)行安全管理，對(duì)接入內(nèi)網(wǎng)的終端進(jìn)行合法性與安全性檢查，對(duì)訪問終端必須經(jīng)過統(tǒng)一的安全認(rèn)證，只有合法且安全的終端才能允許接入內(nèi)網(wǎng)，達(dá)到對(duì)非法終端和未知終端進(jìn)行嚴(yán)格阻斷控制的效果。二是加強(qiáng)對(duì)IP地址的管理。建議更改當(dāng)前內(nèi)網(wǎng)IP地址自動(dòng)獲取入網(wǎng)方式，通過上網(wǎng)行為控制設(shè)備的上線，將每臺(tái)終端的mac地址與與固態(tài)IP進(jìn)行綁定，落實(shí)一人一機(jī)責(zé)任管理。三是部署審計(jì)系統(tǒng)。針對(duì)服務(wù)器或重要終端設(shè)備的操作行為進(jìn)行監(jiān)控和審計(jì)，從而保障信息系統(tǒng)安全運(yùn)維，如有篡改做到有跡可查，通過審計(jì)日記及時(shí)發(fā)現(xiàn)漏洞，對(duì)不規(guī)范行為進(jìn)行整改。四是對(duì)移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行統(tǒng)一管理。根據(jù)目前處屬病毒監(jiān)控報(bào)表顯示，移動(dòng)存儲(chǔ)介質(zhì)是造成木馬入侵的重要途徑。建議部署一套針對(duì)接入內(nèi)網(wǎng)環(huán)境的移動(dòng)存儲(chǔ)介質(zhì)的安全認(rèn)證系統(tǒng)，任何移動(dòng)存儲(chǔ)介質(zhì)需通過該系統(tǒng)進(jìn)行安全認(rèn)證登記后，方可進(jìn)入內(nèi)網(wǎng)終端操作，這樣一旦出現(xiàn)安全事件，結(jié)合現(xiàn)已部署的病毒網(wǎng)絡(luò)安全中心，可及時(shí)找到病源，從而采取有效舉措處理威脅，杜絕外來移動(dòng)存儲(chǔ)介質(zhì)的亂插亂用現(xiàn)象。

（3）加大計(jì)算機(jī)網(wǎng)絡(luò)安全檢查力度。要定期、不定期對(duì)處屬內(nèi)、外網(wǎng)絡(luò)終端進(jìn)行安全檢查，重點(diǎn)檢查以往信息安全檢查中發(fā)現(xiàn)問題的整改情況，做到及時(shí)發(fā)現(xiàn)問題和隱患，及時(shí)進(jìn)行排除和整改，全面化解風(fēng)險(xiǎn)。認(rèn)真做好服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等安全策略配置及有效性；做好重要數(shù)據(jù)傳輸、存儲(chǔ)的安全防護(hù)措施等工作，確保處屬網(wǎng)絡(luò)信息系統(tǒng)安全穩(wěn)定運(yùn)行。

（4）積極開展信息網(wǎng)絡(luò)安全宣貫工作。要將網(wǎng)絡(luò)安全管理列入全年信息類培訓(xùn)計(jì)劃，以計(jì)算機(jī)網(wǎng)絡(luò)信息安全應(yīng)用知識(shí)和操作技能為基礎(chǔ)，通過舉辦講座、警示小視頻等多種形式，切實(shí)加大對(duì)全體干部職工的培訓(xùn)教育力度，普及安全知識(shí)，從而樹立“信息安全無小事”的意識(shí)，達(dá)到增強(qiáng)干部職工的安全防范意識(shí)和風(fēng)險(xiǎn)應(yīng)對(duì)能力的目的。

4.結(jié)語

隨著信息網(wǎng)絡(luò)的迅速發(fā)展，在當(dāng)今的信息時(shí)代，信息技術(shù)已經(jīng)徹底改變我們的生活和工作方式，也改變現(xiàn)行航保事業(yè)的管理模式。面對(duì)著航保業(yè)務(wù)的信息化、智能化層次越來越高，我們必須加強(qiáng)網(wǎng)絡(luò)與信息安全意識(shí)，將網(wǎng)絡(luò)信息的安全管理工作提升到一個(gè)新的高度，在信息安全的建設(shè)中遵循PDCA的循環(huán)模型進(jìn)行不斷完善，從而為航保業(yè)務(wù)提供安全可靠的網(wǎng)絡(luò)基礎(chǔ)平臺(tái)，助力“智慧航保”的健康發(fā)展。

[1]淺析央行計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)非法外聯(lián).崔景杰.2014.

[2]防止非法外聯(lián)的解決方案.天融信.2011.