基于防违规外联的信息安全防护体系构建论文

SCI论文（www.lunwensci.com）:
 
 摘   要：移动互联网的高速发展，大数据技术的广泛应用，手机支付业务的高效便捷，使得越来越多的政府部门和企业通 过手机 App、微信小程序等方式，将诸如公积金贷款、医疗保险、企业纳税等业务扩展到互联网平台。本文将深入探讨如何有 效的使用、管理内部专用网络和互联网，在合理使用互联网服务的同时尽量避免发生内部专用网络的违规外联事件，确保内部 专用网络的数据安全。

关键词：信息安全 ；专用网络 ；违规外联 ；安全保障体系
SUN Meiling, LI Yong, ZHENG Renming
(Dalian Tax Service State Administration of Taxation, Dalian Liaoning 116000)

【Abstract】： With the rapid development of mobile Internet and the wide application of big data technology as well as the efficiency and convenience of mobile payment, more and more government departments and enterprises extend their businesses such as housing provident fund loan, medical insurance, and enterprise tax payment to the Internet platform through mobile APPs and WeChat mini programs. This essay deeply explores how to effectively use and manage the internal private network and the Internet, avoid illegal external link of the internal private network while reasonably using Internet services, thus to ensure the data security of the internal private network.

【Key words】： information security;private network;illegal external link;the security system of information

0 引言

本文旨在探讨如何在各单位的内部专用网络和互联 网上有效构建基于防违规外联的信息安全防护体系。

1 专用网络违规外联问题的概述

数字经济时代，移动互联网、实时通信、云计算、 大数据、物联网、区块链、人工智能等新技术正得到更 深层次的广泛运用。与此同时，我国企事业单位、政府 机关的内部大量资料也正从纸质逐步转为数字化的形式 保存和使用，通过“互联网 + 政务服务”体系的建设和推进，推动了多部门间数据共享、整合资源、协同办 事，优化了政务服务流程，提高了政府效率和透明度。 信息技术在带来工作便捷同时，也给各单位、部门的安 全保密工作带来了极大的挑战，层出不穷的系统漏洞、 商业间谍软件和各式各样的攻击入侵让管理人员疲于奔命，对出现的问题也无法及时查证，更难以对责任人进 行追溯、追究。

对安全性要求较高的政府和企事业单位为了应对这 些问题，普遍建有为特定对象服务的专用计算机网络 （以下称“专网”），如公安系统专网、税务系统专网等， 专网内的计算机不允许连接互联网等外部网络，从而避 免重要资料的泄露，但是由于员工个人原因或单位管理 问题，导致专网计算机与外部网络连接，造成专网的资 料存在泄露风险，我们将这种情况称为违规外联 [1]。


2 违规外联的产生

近年来发生违规外联的案例，绝大多数可以归结为 非主观的个人误操作，这里将这些问题从现象上分为两 大类 [2] ：

现象一 ：日常使用专网计算机时外接非专网资源造成违规外联。如通过蓝牙、手机数据线、Modem 或 ADSL 拨号和无线网络等方式，将专网计算机与其他非 专网设备连接。

常见的情况有 ：（1）将手机通过 USB 数据线接入 专网计算机充电，造成违规外联。（2）将 USB 类移 动营运商上网卡直接插入专网计算机，造成违规外联。 （3）使用“数据对拷线”同时插入专网和外网计算机， 从而实现共享专网和外网网络的数据、键盘鼠标，造成违规外联。

现象二 ：设备调试、修理时外接非专网资源造成违 规外联。

常见的情况有 ：（1）设备故障维修时，将设备连入 外部网络下载驱动，造成违规外联。（2）维修完毕后安 装专网计算机时，将非专网的网线插到专网计算机，造 成违规外联。（3）带无线网卡的专网笔记本电脑，启用 无线网卡接入互联网，造成违规外联。

3 违规外联防护策略

总结违规外联案例产生的原因，除了个人的粗心大 意因素外，各单位自身管理和信息技术方面都存在不同 程度的漏洞和不足。这里根据笔者从业经验建议从以下 几方面进行查找和调整 ：

3.1 制度方面

制度和纪律是管理的核心，合理而全面的制度是工 作人员的行为准则。（1）建立资产管理制度。全覆盖 无死角的登记专网、外部网络硬件资产，规定硬件资产 在醒目的地方张贴网络属性标签和设备使用范围，制定 详细的专网设备存储介质维修、更换、报废处置流程。 （2）建立专网使用人员管理制度。明确使用专网的人员 范围，签订保密协议，建立严格外来人员对专网的审批 制度，严密监控外来人员对专网的使用。建议定期对专 网使用人员进行专项培训，宣讲安全保密意识。（3）建 立终端设备入网、退网审批制度。明确入网终端的操作 系统版本和设置、软件的安装和配置要求、使用人的权 利和义务，通过入网审批流程保证入网设备符合基本的 网络安全要求，从源头上控制泄露风险 ；对于即将退 网、预报废的设备，应先通过安全管理部门的监督下， 由资产处置部门进行设备报废处理。报废设备不宜改为其他用途再利用，应彻底粉碎处理。（4）建立关键业务 访问审批制度。施行“最小化授权原则”，防火墙只允 许通过审批流程的设备访问重要系统，并监控权限用户 的访问活动，达到可知可审计。（5）建立关键数据脱 敏制度。原则上，关键数据应保留在服务器、存储等重 要设备内，严格限制关键数据的批量导出功能。对于必须要导出并保存在终端内的关键数据，应对通过技术方 式将涉及证件号、密码、经营管理信息等进行脱敏预处 理，避免数据外泄后造成的重大损失 [3]。

3.2 技术方面

通过严谨的管理制度和必要的技术限制，形成风险 管理闭环，从而最大程度避免使用人员的误操作，并在 出现问题需要溯源时，管理人员可以及时、准确的定位 问题 [4-5]。

3.2.1 在网络整体控制方面

首先，应对机房、楼层电井等网络设备区域封闭式 管理，关停未使用的网络设备接口、对 Console 类管 理接口设置登录密码，防止被现场人员直接非法入侵。 其次，应至少在专网网关处安装防火墙并实行白名单 化管理，只开放已登记授权的业务访问，关闭 UDP 的 135、137、138、139、445，TCP 的 21、22（SSH）、 23（telnet）、139、445、3389（远程桌面登录） 等端 口，从而限制网络的文件共享传输能力，降低被攻击的 风险。必要时可以安装上网行为管理、入侵检测系统， 审计系统等流量分析类设备辅助日常管理。最后，专网 应禁止使用无线网络进行通讯，并将专网网线与其他外 部网网线颜色严格区分，避免网线插拔误操作 ；外部网 络若允许无线设备接入，应在无线管控设备上对手机等 移动设备固定 MAC 地址进行白名单绑定，严格禁止移 动设备通过随机或私有的 MAC 地址进行匿名访问。

3.2.2 在计算机类终端控制方面

首先，无论是专网还是外部网络，计算机类设备应 都设置为固定 IP 地址并予以登记，关闭 DHCP 等自动 获得 IP 地址的功能，必要时划分区域或施行 VLAN 管 理 ；为计算机设置 BIOS 密码，禁止将 USB、光驱、网 卡为操作系统优先引导启动方式 ；同时，在计算机类设 备上安装准入控制类软件，入网前强制验证该设备 IP 和 MAC 地址的对应关系，即计算机在入网前须得到管 理部门的授权。此项工作既避免了外部人员未授权的入 侵行为，又最大限度的减少错插网线导致违规外联的可 能性。其次，准入控制类软件应具备几点功能 ：一是合 规性检查。在准许计算机入网前应具备验证计算机内指 定程序是否被启用，如杀毒软件、文件监控软件、USB接口禁用软件等功能。通过入网前强制指定软件的安装 检测，保障专网计算机内存在多方位的监控进行互补， 从而尽量规避因病毒、木马等原因造成的攻击，也减低 了使用人在使用过程中手动关掉管理软件可能性 ；二是 计算机的网络访问控制。当计算机未连接入指定网络时 即未被准入软件许可时，本机无法从任何网卡（含 USB类网卡）访问任何网络，从而避免该计算机无法被带离 岗位后联网，保证计算机的专网专用 ；三是系统兼容 性。准入控制类软件应能够支持 Windows、Linux 等 多种操作系统以及操作系统的多个版本，避免出现专网 内设备因无法安装准入软件被迫启用准入白名单模式从 而脱离管控的情况 ；四是可以辅助管理计算机资产。对 终端软硬件使用情况、变更情况进行监控，必要时可以 对计算机资产的配置管理和软件的统一分发、远程桌面控制以及计算机操作系统的日志调取。再次，计算机内 应安装 USB 接口控制软件和文件监控类软件。通过这 些控制软件，禁止非合规注册的 USB 类设备（如优盘、 USB 手机充电线等）访问系统 ；对合规注册的 USB 类 设备的文件拷进、拷出应有记录，甚至在服务器上留有 拷贝文档的存档 ；软件应具备快速合规性判断的能力， 当 USB 类设备插入计算机后，避免在判断合规性的时 间内操作系统已经识别并启用该设备，确保不会出现违 规外联风险。最后，在计算机内尤其是专网计算机内应 禁止安装点对点类即时通讯软件。该类软件通常只在通 讯双方的软件上有对话和文件操作记录，而且杀毒软件 通常不会与通讯软件的文件传递进行联动杀毒，既提高 了网络内计算机病毒扩散的风险又在出现问题时难以追 溯文件流向，从而造成安全风险。

3.2.3 其他方面

首先，专网打印机、多功能一体机、复印机等外设 不得与其他外部网络共享使用，尤其不能通过分线器等 资源共享设备将专网与其他网络间接互联。其次，专网 设备因故障需要带出维修的，应拆除存储介质带出维 修 ；确有数据需要修复的，可在单位内维修，使用人在 场监督。更换存储介质时，故障介质不得带走，应交由 管理人员销毁。再次，专网计算机应拆除刻录光驱，并 禁用笔记本电脑访问专网，避免因为笔记本电脑外带办 公的原因，造成违规外联风险。最后，应在互联网上设 置舆情监控系统，并对本单位关键敏感词汇进行列举，确保第一时间能够知晓并及时处理。


4 结语

近年来，新冠疫情对全球的影响严重。越来越多的 企业和部门为了减少人员的聚集，更倾向于大力推进互 联网服务，便于用户足不出户完成各类业务的办理。这 使得专网与互联网等外部网络之间的数据交互需求极为 迫切。因此，在开发运维过程中，尤其是互联网应用系 统的第三方技术人员，需要分别对互联网端程序和专网端程序进行大量修改和验证，使得他们最容易想方设法 通过“数据对拷线”等技术绕过专网违规外联监控进行 开发、运维。针对此类问题建议 ：一是要加强第三方人 员的管理与培训，加强他们的安全风险意识 ；二是引入 运维类堡垒机系统，对运维人员的服务器类操作进行集 中管理，既可以通过录屏等方式复现运维人员的操作记 录，又可以限制运维人员对数据和文件的批量导入、导 出能力 ；三是要认真查找本单位的专网管理漏洞并及时 升级、修补，必要时可以引入第三方风险评估进行自查 整改 ；四是互联网服务尤其是属于关键信息基础设施的 应用系统服务，应严格落实我国《网络安全法》《数据安 全法》《关键信息基础设施安全保护条例》相关要求，在 我国等级保护保护制度的框架下做好网络安全防护工作。

参考文献

[1] 于微伟,卢泽新,康东明,等.关于网络准入控制系统的分析与 优化[J].计算机工程与科学,2011,33(8):39-44.
[2] 顾涛,杨健.公安内网移动存储介质安全管理系统的设计与 研究[J].网络安全技术与应用,2017(3):150-151.
[3] 孙东颖.移动存储介质信息安全与管理[J].科学技术创新,2019 (15):81-82.
[4] 田永飞.桌面终端安全管理现状分析与对策研究[J].金融科 技时代,2015(9):77-79.
[5] 裔睿.非涉密移动存储介质管控系统建设研究:政府部门 USB端口管控系统建设案例[J].软件导刊,2011,10(6):122-124.

关注SCI论文创作发表，寻求SCI论文修改润色、SCI论文代发表等服务支撑，请锁定SCI论文网！

文章出自SCI论文网转载请注明出处：https://www.lunwensci.com/jisuanjilunwen/34307.html