学文网摘 要:人民银行作为我国的中央银行对内部计算机网络具有极高的保密性。内网非法外联可能导致计算机系统的瘫痪和重要数据信息的泄密从而危及整个系统的安全。人民银行在全辖范围推广实施内联网非法外联监控系统以来,各级领导高度重视,系统内对全体员工进行了宣传教育,对所有拨号上网的设备进行了清查,并对同时跨接内联网、国际互联网的非法外联行为进行了实时监控,有效阻断了内网信息外泄、外网入侵内网的渠道。保证了办公网、业务网、互联网之间两两隔离,提高了人民银行网络的安全管理水平。
关键词:人民银行;非法外联;危害;措施
中***分类号:TP39
计算机网络技术在央行业务系统及办公自动化领域中的广泛应用,极大地提高了工作效率,提升了服务水平。但随之也带来不少风险和隐患,尤其是近几年来重要业务系统实现数据集中,对网络的依赖程度越来越高,网络的安全成为不可忽视的问题。人民银行作为我国的中央银行对内部计算机网络具有极高的保密性。为保障人民银行系统网络安全,在人民银行两网部署了非法外联监控管理系统,实现了网络非法外联提前阻断并报警提示,保证了办公网、业务网、互联网之间两两隔离,提高了人民银行两网的安全管理水平。
1 非法外联的危害
计算机网络系统的安全威胁主要有以下几种类型:黑客入侵、来自内部的攻击、计算机病毒侵入、秘密信息的泄露和修改网络的关键数据等方面,这些都可以计算机信息泄密或网络瘫痪。黑客攻击等威胁主要原因在于网络系统内部的安全的脆弱性;其次就是人员思想***,没有正视黑客入侵造成的严重后果,在网络安全上投入的人力、物力和财力不足,没有采取有效地安全策略和安全机制;另外缺乏先进的网络安全技术、工具、手段和产品,也会导致网络安全防范能力差。
随着人民银行系统对网络安全的逐步重视,人民银行在全国范围内针对网络安全分别部署了防火墙、入侵检测、漏洞扫描和防病毒等系统,在一定程度上保证了网络的安全,但是如果内部网络计算机通过MODEM或其他方式(拨号、IE、网卡等)连接到互联网,黑客就可以通过建立连接进行攻击这台机器,一旦这台机器被黑客控制,就可以通过这台机器访问内网,窃取机密资料,甚至使整个网络瘫痪。由于这种方式直接通过拨号链路进行,而不经过防火墙,所以防火墙对于这种方式的攻击无能为力;另外也可以通过这台机器访问其他机器,完全可以通过合法身份进行访问,这种情况IDS也不会发现并报警;并且通过拨号上网是一种比较隐蔽、黑容易被人们忽略的行为。事实证明,这种行为存在较大的安全隐患。因此人民银行在全国范围部署非法外联监控管理系统,提前阻断网络非法外联,有效的保证了人民银行系统网络安全。
2 非法外联形成的原因
2.1 安全意识淡薄,存在侥幸心理。部分人员对计算机内网外联的危害性没有引起足够重视和认真对待,对信息安全保密工作缺乏认识,对其安全控制、有效监管认识不足,安全意识淡薄。
2.2 网络安全防护技术不完善,没有形成立体的技术防护体系。网络系统存在内在的安全的脆弱性,在网络安全上所投入的人力、物力和财力不足,没有采取有效的安全策略和安全机制,缺乏先进的安全技术、工具、手段和产品,导致网络的安全防范能力差。
2.3 技术力量薄弱,安全防护知识匮乏。有些部门技术力量相对薄弱,业务素质和技术水平很难适应当前网络发展要求,新知识和新技术掌握不多,随意安装不正规软件,不按规定正确设置计算机ip地址和计算机名,不安装防病毒软件和非法外联客户端,随意接入外部设备,如用计算机对3G手机或上网手机进行充电,笔记本接入内网等。
2.4 制度落实不严,责任分工不清,重应用,轻管理。许多安全管理措施不能落实到部门和个人,不能成为制约应用部门员工的行为准则,保密安全管理制度不完善,存在制度老化和新制度制订不及时的现象,制度与管理脱节。
3 非法外联应对措施
3.1 加强领导,落实安全责任,树立正确的信息安全观念。要充分认识防止非法外联工作的必要性、重要性和紧迫性,努力学习计算机安全知识,贯彻落实计算机安全管理方面的规章制度,认真部署计算机安全防范工作,提高全行预防计算机犯罪能力,实行一把手负责制,把信息安全工作放在重要位置,按照“谁主管谁负责,谁运营谁负责”的原则,逐级落实信息安全责任制,树立信息安全和保密安全观念。
3.2 开展专题教育,增强安全意识。一方面对全行职工进行必要定期培训和实践锻炼,增强计算机信息安全防范意识和法制观念,尽快提高员工的业务素质、技术水平和防范能力,另一方面要加强计算机信息安全队伍建设,采取灵活多样的培训、教育方式,积极推广新知识、新技术、新方法,是每个工作人员掌握更多、更新的计算机安全技术和相关法律知识,普及理论知识、提高专业技能,使其充分了解内网外联的危害,增强安全意识。
3.3 严格计算机入网管理,做好计算机杀毒、补丁分发、非法外联客户端的安装升级工作。一是建立健全计算机入网管理制度,严格实行准入制度,计算机入网前必须清理各种非内网使用的软件,规范计算机IP地址及计算机名,正确安装客户端软件,严格规范计算机操作,杜绝在内网计算机上使用任何监控、跟踪软件,防止不当操作产生监控结果,杜绝笔记本接入内部网络。二是在内网所有客户端上安装杀毒软件(Symantec),并定期检查病毒代码的升级;三是利用LANDESK系统对客户端及时统一扫描漏洞、分发补丁,并利用此系统对客户端安全情况进行实时监控,计算机管理员创建各种查询自动发现客户端安装的软件,对与业务工作无关的游戏、盗版软件能做到及时发现、及时控制;四是利用IDS系统对安全事件源进行远程阻断,发现客户端存在病毒、遭到攻击等安全问题后,应立即对安全事件源进行实时、快速、精确定位,并远程阻断隔离;五是利用非法外联监控管理系统进行客户端违规联网检测。内部网络用户如果通过双网卡、无线网卡等设备进行***违规上网,该系统按照不同的策略进行警告或分布式阻断。
3.4 组织对计算机信息安全检查,拆除外联硬件,卸载驱动软件。组织对联网用机全面核查,严禁内联网计算机一机双卡;严禁在内联网计算机安装调制解、无线网卡(各种上网卡,包括3G上网卡);严禁在内联网计算机安装与办公无关的软件;严禁在内联网计算机进行网卡网关、IE设置;严禁原来上过互联网的计算机,直接接入内联网;严禁用手机连接内联网计算机进行上网;拆除其多余网卡,正确安装总行统一推广的防病毒软件及其他安全防护产品;杜绝央行内网外联。
3.5 建立健全有效的内控制度,落实安全责任。建立健全有效的内控制度是防范计算机网络安全风险的前提。一是制定和完善各项规章制度、标准和规范,为每台计算机建立完备的档案,确定惟一责任人,落实安全责任;二是对现有的计算机内控制度进行全面清理,进一步健全完善计算机内控制度,内控制度要涵盖计算机的操作规程、硬件维护、软件开发、网络运行、数据备份、安全管理等各个方面。三是加大对非法外联危害性的宣传力度,增强全员安全保密意识。
3.6 定期监测非法外联监控系统运行情况,发现报警信息及时解决。一是对内联网计算机非法外联客户端安装情况进行检查,不留死角,不留安全漏洞,确保非法外链系统能对内联网中所有计算机进行实时、全面的非法外联监控管理。二是定期查看监控主机运行情况,及时发现并严格控制全行内联网中所有计算机设备的各种非法外联行为,实现全行网络的统一管理,并能够有效的进行控制管理,达到杜绝非法外联行为的目的。
参考文献:
[1]孙娜.非法外联检测技术的研究与实现[D].北京邮电大学,2006,2.
[2]牟春华.防止非法外联,确保信息安全[J].华南金融电脑,2006,3.
作者简介:崔景杰(1968.3.17-)男,籍贯:陕西宜川,工作单位:中国人民银行石家庄中心支行,职务:主任科员,职称:工程师,学历:大学本科,研究方向:计算机信息安全。
作者单位:中国人民银行石家庄中心支行科技处,石家庄 050000
转载请注明出处学文网 » 浅析央行计算机内部网络非法外联