浅析海口航标处计算机内部网络非法外联风险及对策

◎ 林芳 何瑞冠 彭钟 海口航标处

浅析海口航标处计算机内部网络非法外联风险及对策

◎ 林芳 何瑞冠 彭钟 海口航标处

本文通过分析海口航标处计算机内部网络存在的非法外联风险，从人为管理和技术管理角度探讨防止非法外联的措施，以保障内部网络运行的安全稳定。

网络 非法外联 安全

1.海口航标处内部网络建设现状

在现今大数据和“互联网+交通”的背景下，我国航海保障管理逐渐走上了信息化和智能化的道路。海口航标处作为交通运输部航海保障中心的重要组成单位，其业务也积极向信息化、智能化转变。为保障单位计算机内部网络和重要业务系统的安全稳定运行，海口航标处逐年进行了一系列的制度、管理和技术方面的网络升级工作。目前，处属计算机内部网络部署了防火墙、网闸等网络边界安全设备，内部网络和互联网之间通过网闸实现物理隔离，为信息网络的安全防护起到了积极的作用。

图1　 海口航标处网络架构示意图

2.处属计算机内部网络非法外联存在的安全风险

随着业务系统的信息化应用广泛普及，海口航标处计算机内部网络应用日益复杂，主要体现在网络分布广泛、终端数量庞大、业务应用系统越来越多、航标业务对网络信息化依赖也越来越大，因此保障内部网络环境运行安全、稳定成为重要问题。目前海口航标处主要采用网闸设备将内、外网络实施物理隔离，确保两个环境之间无信息传输的物理通道，理论上说可以保证内部网络信息不发生外泄。但在实际管理中发现，大部分信息安全问题主要来自于内部终端用户的非法外联行为引发。由于海口航标处内部网络只在边界安装了网闸和防火墙，内网用户群目前的入网方式是自动获取IP式，全网无实时安全监控设备，而网络应用的日益多样化和存储介质的不断普及，诸多安全隐患日益显现。

2.1非法外联的概念

非法外联是指内部网络计算机在未授权的前提下，通过网络设备建立一条内部网络与外部网络的通路。非法外联行为有很多种，如拨号上网、双网卡上网、GPRS等行为。正常情况下，局域网会有一个统一的出口，即由网关来跟上级网络进行联结，其局域网是封闭的，不允许联结互联网，局域网用户是安全的。但从另一个角度来看，安全是以受限制为代价的，局域网用户为了达到某种目的，采用其他方式非法联结互联网，该联结的风险是使主机同时暴露于内网和外网。

2.2处属内网存在的非法外联行为的安全风险分析

（1）内网用户通过360无线路由、热点路由终端、无线网卡拨号等方式，将内网终端连接至互联网，造成内外网共联，易造成病毒感染、敏感信息泄密等安全事故发生。

（2）外来设备（例如笔记本电脑、PAD等）可人为随意接入内网，造成病毒传播、信息泄漏等信息安全事故。

（3）随意安装来历不明的应用软件，形成众多隐形“后门”，容易造成数据外泄。

（4）移动存储介质内外网交叉使用，由此造成的病毒泛滥和攻击服务器致使瘫痪事件。

（5）内网用户群目前的入网方式是自动获取IP式，全网无实时安全监控设备，存在内外网终端非法互联无法监控，容易造成内网信息外泄。

2.3非法外联的危害

内部网络用户的上述非法外联行为破坏原本封闭纯净环境，造成内、外部网络之间存在网络信息传输的可能，这将使内部网络面临着木马病毒的入侵、隐形“后门”非法监控软件的植入和恶意暴力破解，从而导致单位内部网络的日常运营存在重大的安全隐患。

海口航标处承担着辖区内航标建设养护、管理等技术支持和服务保障职责。目前海口航标处的重要业务均已实现网络信息化管理，因此网络环境的安全尤为重要。以当前航标遥测遥控系统为例，该系统主要通过内网部署监控平台，从而实现对环岛灯塔、灯浮标的灯器远程测控，为航行的船舶提供航道和方向指引。一旦非法外联行为造成黑客或者木马的入侵，极有可能对监控中心发动攻击破坏，那么有可能出现篡改系统参数设置，造成系统为灯器发送错误指令，导致灯器的不正常运行，这将严重威胁到船舶的安全航行。再如号称海上守护神的AIS系统，目前海事监管部门通过AIS应用推广系统对海上船舶进行实时监管，该系统的二次应用数据库也是建立在海事内网环境，一旦因非法外联行为造成攻击进入该系统数据库篡改数据，发送恶意指令，而该系统可以直接与海上船舶进行通信，将会造成重大安全事件。

因此，针对于上述安全隐患问题，急需采取相应的手段，合理化解决问题。

3.防止非法外联的措施

内部网络安全本质上是一种管理需求，目的是使单位的各项工作任务在信息化工作模式下能够安全的进行，管理是主要方式。首先应从人为管理角度建立网络安全管理体系架构，其次要依靠符合单位实际网络安全的先进技术管理手段，实现全方位管控，杜绝安全隐患问题，全面保障内网安全。

（1）建章立制，落实网络安全管理责任。近年来国家高度重视网络安全工作，要做好处属内部网络的安全管理工作，就必须遵照国家信息安全法律法规、政策要求和安全标准，结合本单位工作实际，建立切实可行的信息安全管理责任制，完善信息安全保密保障体系，提高单位网络信息安全防护的正规化水平，遵循“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，做到一机一管，责任明确到人。

（2）部署完善内部网络的有效监控技术手段。针对海口航标处内部网络网络设备的架构存在的安全隐患，建议从如下几方面完善技术部署：一是建设内网终端管理系统。海口航标处内部网络除了边界安装防火墙、网闸等安全设备，应该要部署一套内网终端管理系统，强制要求每台内部网络终端需安装终端管理系统，

实现从内网网络环境安全管理与终端桌面安全管理，从网络到终端，从终端到数据，有效保障处属网络以及终端的安全运行，为管理者制定内网统一安全管理策略提供有效的技术支撑和服务；任何访问单位内网需要对终端进行安全管理，对接入内网的终端进行合法性与安全性检查，对访问终端必须经过统一的安全认证，只有合法且安全的终端才能允许接入内网，达到对非法终端和未知终端进行严格阻断控制的效果。二是加强对IP地址的管理。建议更改当前内网IP地址自动获取入网方式，通过上网行为控制设备的上线，将每台终端的mac地址与与固态IP进行绑定，落实一人一机责任管理。三是部署审计系统。针对服务器或重要终端设备的操作行为进行监控和审计，从而保障信息系统安全运维，如有篡改做到有迹可查，通过审计日记及时发现漏洞，对不规范行为进行整改。四是对移动存储介质进行统一管理。根据目前处属病毒监控报表显示，移动存储介质是造成木马入侵的重要途径。建议部署一套针对接入内网环境的移动存储介质的安全认证系统，任何移动存储介质需通过该系统进行安全认证登记后，方可进入内网终端操作，这样一旦出现安全事件，结合现已部署的病毒网络安全中心，可及时找到病源，从而采取有效举措处理威胁，杜绝外来移动存储介质的乱插乱用现象。

（3）加大计算机网络安全检查力度。要定期、不定期对处属内、外网络终端进行安全检查，重点检查以往信息安全检查中发现问题的整改情况，做到及时发现问题和隐患，及时进行排除和整改，全面化解风险。认真做好服务器、网络设备、安全设备等安全策略配置及有效性；做好重要数据传输、存储的安全防护措施等工作，确保处属网络信息系统安全稳定运行。

（4）积极开展信息网络安全宣贯工作。要将网络安全管理列入全年信息类培训计划，以计算机网络信息安全应用知识和操作技能为基础，通过举办讲座、警示小视频等多种形式，切实加大对全体干部职工的培训教育力度，普及安全知识，从而树立“信息安全无小事”的意识，达到增强干部职工的安全防范意识和风险应对能力的目的。

4.结语

随着信息网络的迅速发展，在当今的信息时代，信息技术已经彻底改变我们的生活和工作方式，也改变现行航保事业的管理模式。面对着航保业务的信息化、智能化层次越来越高，我们必须加强网络与信息安全意识，将网络信息的安全管理工作提升到一个新的高度，在信息安全的建设中遵循PDCA的循环模型进行不断完善，从而为航保业务提供安全可靠的网络基础平台，助力“智慧航保”的健康发展。

[1]浅析央行计算机内部网络非法外联.崔景杰.2014.

[2]防止非法外联的解决方案.天融信.2011.