电力信息网终端违规外联的管理研究

2014-07-29 22:35:37

大云网　点击量：评论 (0)

【摘要】违规外联事件是信息安全考核的一项重要指标。扬州供电公司通过研究，实现了违规外联行为发生后即时报警以及实时切断连接，并能有效的取证；对近两年的违规外联事件进行认真分析，找出产生违规外联的主

【摘要】违规外联事件是信息安全考核的一项重要指标。扬州供电公司通过研究，实现了违规外联行为发生后即时报警以及实时切断连接，并能有效的取证；对近两年的违规外联事件进行认真分析，找出产生违规外联的主要原因，提出明确的管理要求，终端违规外联管理取得一定的成效。

【关键词】信息终端违规管理

引言

最近国网公司对《国家电网公司安全事故调查规程》进行了修订，首次将信息安全纳入了大安全考核体系，江苏省电力公司在2012年安全工作会上提出的公司安全目标中更是明确要求“不发生五级信息系统事件”，这对信息安全工作提出了更新、更高的要求。

违规外联事件作为信息安全工作中的一项重要指标一直都备受各单位重视。近两年扬州供电公司先后几次发生信息内网设备违规外联事件，被上级部门通报，严重影响公司信息安全同业对标排名。

违规外联行为发生后，如何有效的即时报警以及实时切断非法计算机同内网的连接？在日常工作中发现有部分违规外联终端的使用人对违规行为矢口抵赖，在检查人员到场前已经通过常规渠道将外网访问记录清除，这给取证工作带来了不便。产生违规外联的主要原因？怎样才能有效的减少电力信息网违规外联？

1 违规外联行为监控及阻止

扬州供电公司通过推广桌面终端管理系统，在终端接入管理中，对违规外联行为监控、阻止。系统提供实时监控的强大功能，即时报警以及实时切断非法计算机同内网的连接。

1.1 桌面终端管理系统工作原理

桌面终端管理系统包括服务器端及客户端。终端执行客户端注册程序后，根据要求填入指定信息，系统自动将所添加信息和系统自动采集获得的设备信息发送到服务器保存。该客户端驻留程序驻留在系统内部，以服务的方式实时运行，一旦某个客户端非法接入互联网或设备违规，客户端就向服务器发送报警数据，同时终端实时切断连接。

1.2 客户端安装

运行桌面终端管理系统客户端安装程序出现如图1所示的界面，点击”注册”弹出如图2所示的界面，完成注册信息再次点击“注册”直至弹出注册成功提示即完成客户端安装。

图2

1.3 未注册设备提示安装

对于未安装桌面终端注册程序的客户端，在其访问公司网站时通过在如下代码：

中引用quest.asp（服务端程序自带）页面实现弹出注册提示。若用户不进行注册安装，则在30分钟内会被启用的阻断策略自动切断同内网的连接。

1.4 桌面终端系统应用效果

在终端接入管理中，对违规外联行为监控、阻止非法连接提供实时监控的强大功能，即时报警以及实时切断非法计算机同内网的连接。图3 违规外联

2010年12月某供电所员工把智能手机连接到信息内网终端充电导致同时连接内外网，桌面终端管理系统立即阻止了违规外联，上网起始时间、上网结束时间一样的，并自动违规外联报警，如图3所示。

2 违规外联调查取证方法

发生违规外联后常规检查方法是到涉案计算机上查询浏览器访问记录、查看浏览器临时文件等。如果计算机使用人在检查前已经删除了相关记录那么检查人员将很难找到有力证据。

2.1 违规外联常规调查取证方法

发生违规外联后常规处理方法是查询浏览器的临时文件、Cookie和历史记录，也可以查询浏览器地址栏的访问记录，一般情况都能发现一些线索。

图4 地址栏访问记录查看

2.2 违规外联隐藏文件调查取证方法

如果被检查人在检查之前已经将上述痕迹都清除那么常规方法将很难奏效，经过查询相关资料得知windows系统中还有一个隐藏的“index.dat”文件，它记录着通过浏览器访问过的网址、访问时间、历史记录等信息。实际上它是一个保存了cookie、历史记录和IE临时文件中所记录内容的副本，即使你在IE中把这些内容都清除了，但index.dat文件中的记录还是存在。

系统为了保密是不会直接看到这些地方的index.dat文件的，就算在文件夹选项中设置成了让系统显示所有文件和不隐藏受操作系统保护的文件，也同样看不到也搜索不到它们。但进入IE的临时文件夹“Temporary Internet Files”，在窗口地址栏的“Temporary Internet Files”后面手工加上“Content.IE5”，便能发现该文件夹下面居然还有别的文件和文件夹，index.dat文件就是其中之一。

图5 index.dat文件查看

找到index.dat文件后通过常规渠道是无法查看该文件的，使用文本编辑器打开该文件只能看到一堆乱码：

图7 index.dat文件查看软件

经过上述方法一般都能顺利的取得需要的证据。

2.3 违规外联调查取证效果

常规方法容易使用也容易被利用，通过查看隐藏的index.dat文件能够在常规记录被清除的情况下也能取得有力证据。

3 违规外联事件分析

对近两年的违规外联事件进行了认真分析，找出产生违规外联的主要原因，并提出明确的管理要求：

3.1 2.28客户服务中心违规外联事件分析

因打印地税发票需要，公司财务部要求在文昌营业厅必须安装外网计算机，用于连接外网实时开具业务发票。经向公司相关部门申请， 2月28日，由网通公司来文昌营业厅安装外网。9：27分由网通人员进行连接测试时，误将外网网线插入内网计算机，迅速发现后立即拔出，前后时间约几秒钟，但已造成内网计算机外联事实，通报的数据显示从9：27开始，至9：27结束。

分析：误将外网网线插入内网计算机导致违规外联

3.2 4.19配电工程公司违规外联事件分析

4月19日下午四时左右，配电工程一社会化用工人员，因上网站寻找资料，借来上网卡用公司材供部电脑上网，电脑主人发现后及时制止，但已发生外联行为。

分析：内网计算机用上网卡用上外网导致违规外联

3.3 11.25宝应供电公司违规外联事件分析

11月25日上午11时左右，宝应供电公司营销稽查班某员工用手机上百度查找“关于廉洁文化工作总结”撰写格式，在检查时手机电源不足发出信号，便急忙从柜子里拿出USB接口充电器进行充电，当时手机正在连接外网，第一次插入接口时，在查询资料时将连接线，两三分钟后无意中拉断开，后又一次连接上继续充电，在百度外网上继续查找，造成了“违规外联”的现象的发生。

分析：智能手机使用内网计算机USB口充电导致违规外

3.4 8.16范水供电所违规外联事件分析

8月12日下午，范水供电所从宝应供电公司领到计算机1台。恐因该主机在运输过程中受剧烈震动等原因，主机无法正常使用。8月16日下午16点10分左右，抄表班某员工就将该主机拿到电脑维修部进行重新安装，被维修人员误接在外网达5分钟左右的时间，当发现此情况后就立即退出了外网，但未进行上报处理就将计算机直接连接了内网，发生了违规外连的情况

分析：内网计算机送外维修接入外网，回来后不经检查直接联入内网导致违规外联

3.5 分析近两年公司违规外联事件，产生的主要原因：

①使用移动无线上网卡将个人内网计算机连接互联网

②智能手机充电会引发内网计算机产生违规外联记录

③内网计算机误插外网网线会引发违规外联记录

④内网计算机送外维修，回来后不经检查直接联入内网。

3.6 提出明确的管理要求：

①严格执行内、外网分开制度，信息内网、外网计算机不得交叉混用。

②禁止任何形式的违规外联，内网设备严禁采用任何手段和方式接入外网。

③加强公用信息设备（笔记本电脑）的管理。内网注册过的笔记本上不得再接入外网。

④任何部门、单位不得私自开通互联网，特殊需求，必须经公司审批后报信通公司备案。

⑤开通上网功能的手机不得使用内网计算机USB口充电。

4 小结

为认真贯彻国网公司关于“安全年”活动的部署，切实加强电力信息网管理，杜绝终端违规外联屡禁不止的现象，扬州供电公司通过推广桌面终端管理系统，实现了违规外联行为发生后即时报警以及实时切断连接；提出了一整套的违规外联的调查取证方法，对违规行为矢口抵赖并将外网访问记录清除的从严处理；并对近两年的违规外联事件进行了认真分析，找出产生违规外联的主要原因，提出明确的管理要求并通过开会、安全培训、网站飘窗等进行宣传，终端违规外联管理取得一定的效果。