浅谈基层行内部网络非法外联风险及对策
【摘要】随着计算机网络技术及移动通讯技术的飞速发展,具有联网功能的信息产品越来越多,越来越先进,如3G手机、4G手机、无线网卡、无线路由器等等。在为计算机提供丰富的联网手段的同时,这些方便便捷的信息产品也为基层行内部网络非法外联带来一定的风险。
【关键词】金融科技 网络 风险
计算机和网络技术的发展,为计算机用户提供了丰富的网络和设备互联的手段。这些多种多样的互联互通方式,正在成为基层行内部网络规范化管理工作中,所要面对的最大挑战之一。而非法外联是影响计算机网络安全的重要方面,有效防范非法外联对确保基层行各信息系统安全平稳运行意义重大。
一、基层行内部网络建设现状
人民银行内联网经过多年的升级改造,已初具规模。为保证人民银行内联网和重要业务系统的安全稳定运行,在内联网和国际互联网之间实施物理隔离,是当前内联网采取的主要安全保密措施。物理隔离能够在内联网和国际互联网之间提供一条安全边界,建立一个可信可控的内部安全网络。
从人民银行内部网络二十多年运行情况来看,单纯的物理隔离手段还不能够完全将内部网络与外部网络隔离开来,内部网络计算机在使用、管理中还存在一定的安全隐患。
二、非法外联概念
非法外联是指内部网络计算机在未授权的前提下,通过网络设备建立一条内部网络与外部网络的通路。非法外联行为有很多种,如拨号上网、双网卡上网、GPRS、红外等。正常情况下,基层行的局域网会有一个统一的出口,即由网关来跟上级行联结,其局域网是封闭的,不允许联结互联网,局域网用户是安全的。但从另一个角度来看,安全是以受限制为代价的,局域网用户为了达到某种目的,采用其他方式非法联结互联网,该联结的风险是使主机同时暴露于内网和外网。
三、非法外联的危害
由于内部工作人员故意或无意的疏忽,在内部网络与外部网络间开出了新的联结通道,外部的黑客攻击或者病毒就能够绕过内部网络、外部网络之间的防护屏障,顺利侵入非法外联的计算机,盗窃内部网络的敏感信息和机密数据,甚至利用该机作为跳板,攻击、传染内部网络的重要服务器,导致整个内部网络工作瘫痪。
四、非法外联的方式
一是内部网络计算机内外网线交叉错接;
二是内部网络计算机使用拨号、无线网卡、双网卡等方式接入外网;
三是在内部网络使用过的计算机不经相关部门授权批准和技术处理又接入外部网络使用。
五、防范非法外联的对策
为了保障内部网络的安全,除了物理隔离外,还必须采取以下措施:
(一)切实加强对计算机网络安全管理工作的组织领导
人民银行计算机网络安全,关系到国家金融信息、社会资金、交易结算安全,关系到经济金融稳定运行。基层行要牢固树立“信息安全无小事”的意识,始终站在保安全、保稳定、促发展的高度,切实提高对计算机网络安全管理重要性的认识,不断增强工作责任感和紧迫感,把计算机网络安全管理列入基层行的重要议事日程,加强组织领导,健全工作机制,按照更加严格的标准,建立更加严格的制度,采取更加严格的措施,将计算机网络安全抓好、抓实。
(二)严格落实计算机网络安全管理工作责任
要严格落实总行、分行制定的各项计算机网络安全管理制度,按照“谁主管谁负责,谁使用谁负责”的原则,层层细化、逐级靠实领导责任、管理责任、操作责任。要结合本单位工作实际,制订切实可行的信息安全管理责任制,做到对每一个部门、每一个岗位、每一个环节、每一个人员计算机安全工作的全面、有效覆盖。
(三)深入开展计算机安全管理教育工作
要将计算机网络安全管理教育列入全年培训教育计划,严格落实培训责任,细化培训内容、对象和要求,以计算机网络安全管理制度、机要保密工作制度为核心,以计算机和网络应用知识、操作技能为基础,通过举办讲座、现场演练、警示教育等多种形式,切实加大对全体干部职工的培训教育力度,普及安全知识,增强干部职工的安全防范意识和风险应对能力。特别是对新入行人员,要及时进行系统培训,使其全面掌握相关应知、应会知识和技能。
(四)进一步加大计算机网络安全检查力度
要针对计算机安全管理的重要部门、重要系统、重要岗位,围绕落实身份认证、访问控制、数据加密、安全审计、责任认定以及防篡改、防病毒、防攻击、防瘫痪、防泄密等重要环节,定期不定期对全行计算机网络安全风险状况进行深入检查和评估,及时发现薄弱环节和安全隐患,及时采取有效措施堵塞漏洞,全面化解风险。要加强计算机网络应急技术队伍建设,认真做好重大信息安全事故处置、重要数据和业务系统备份等各项工作,确保计算机网络系统安全稳定运行。
(五)确保内网、外网、专网、互联网严格物理隔离
严格实施内外网物理隔离,是防止病毒入侵破坏系统、非法软件植入窃取信息的重要措施。基层行应严格按照总行有关网络安全管理规定,实行内网、外网、专网、互联网网络及相关设备的物理隔离,严禁交叉使用、串用混用和并网运行,坚决杜绝非法外联现象发生。
(六)采取先进技术手段,确保内外网不发生非法外联事件
行内联结内部网络的计算机要全部安装亿阳网警终端安全管理系统和非法外联监控管理子系统(中华箭5号),勿使一台计算机漏网。通过亿阳网警终端安全管理系统下发安全控制策略到每一台联结内部网络的计算机,禁用所有与工作无关的服务和端口;通过非法外联监控管理子系统(中华箭5号)24小时监控内部网络中每一台计算机,实时阻断外联行为,确保内部网络计算机及网络系统的安全。
上一篇:终端安全管理系统及其应用
下一篇:网络环境下计算机信息安全研究