【關(guān)鍵詞】信息 終端 違規(guī) 管理

 

引言

 

最近國網(wǎng)公司對《國家電網(wǎng)公司安全事故調(diào)查規(guī)程》進(jìn)行了修訂，首次將信息安全納入了大安全考核體系，江蘇省電力公司在2012年安全工作會上提出的公司安全目標(biāo)中更是明確要求“不發(fā)生五級信息系統(tǒng)事件”，這對信息安全工作提出了更新、更高的要求。

 

違規(guī)外聯(lián)事件作為信息安全工作中的一項重要指標(biāo)一直都備受各單位重視。近兩年揚(yáng)州供電公司先后幾次發(fā)生信息內(nèi)網(wǎng)設(shè)備違規(guī)外聯(lián)事件，被上級部門通報，嚴(yán)重影響公司信息安全同業(yè)對標(biāo)排名。

 

違規(guī)外聯(lián)行為發(fā)生后，如何有效的即時報警以及實(shí)時切斷非法計算機(jī)同內(nèi)網(wǎng)的連接？在日常工作中發(fā)現(xiàn)有部分違規(guī)外聯(lián)終端的使用人對違規(guī)行為矢口抵賴，在檢查人員到場前已經(jīng)通過常規(guī)渠道將外網(wǎng)訪問記錄清除，這給取證工作帶來了不便。產(chǎn)生違規(guī)外聯(lián)的主要原因？怎樣才能有效的減少電力信息網(wǎng)違規(guī)外聯(lián)？

 

1 違規(guī)外聯(lián)行為監(jiān)控及阻止

 

揚(yáng)州供電公司通過推廣桌面終端管理系統(tǒng)， 在終端接入管理中，對違規(guī)外聯(lián)行為監(jiān)控、阻止。系統(tǒng)提供實(shí)時監(jiān)控的強(qiáng)大功能，即時報警以及實(shí)時切斷非法計算機(jī)同內(nèi)網(wǎng)的連接。

 

1.1 桌面終端管理系統(tǒng)工作原理

 

桌面終端管理系統(tǒng)包括服務(wù)器端及客戶端。終端執(zhí)行客戶端注冊程序后，根據(jù)要求填入指定信息，系統(tǒng)自動將所添加信息和系統(tǒng)自動采集獲得的設(shè)備信息發(fā)送到服務(wù)器保存。該客戶端駐留程序駐留在系統(tǒng)內(nèi)部，以服務(wù)的方式實(shí)時運(yùn)行，一旦某個客戶端非法接入互聯(lián)網(wǎng)或設(shè)備違規(guī)，客戶端就向服務(wù)器發(fā)送報警數(shù)據(jù)，同時終端實(shí)時切斷連接。

 

1.2 客戶端安裝

 

運(yùn)行桌面終端管理系統(tǒng)客戶端安裝程序出現(xiàn)如圖1所示的界面，點(diǎn)擊”注冊”彈出如圖2所示的界面，完成注冊信息再次點(diǎn)擊“注冊”直至彈出注冊成功提示即完成客戶端安裝。

 

圖2

 

1.3 未注冊設(shè)備提示安裝

 

對于未安裝桌面終端注冊程序的客戶端，在其訪問公司網(wǎng)站時通過在如下代碼：

 

中引用quest.asp（服務(wù)端程序自帶）頁面實(shí)現(xiàn)彈出注冊提示。若用戶不進(jìn)行注冊安裝，則在30分鐘內(nèi)會被啟用的阻斷策略自動切斷同內(nèi)網(wǎng)的連接。

 

1.4 桌面終端系統(tǒng)應(yīng)用效果

 

在終端接入管理中，對違規(guī)外聯(lián)行為監(jiān)控、阻止非法連接提供實(shí)時監(jiān)控的強(qiáng)大功能，即時報警以及實(shí)時切斷非法計算機(jī)同內(nèi)網(wǎng)的連接。圖3 違規(guī)外聯(lián)

 

2010年12月某供電所員工把智能手機(jī)連接到信息內(nèi)網(wǎng)終端充電導(dǎo)致同時連接內(nèi)外網(wǎng)， 桌面終端管理系統(tǒng)立即阻止了違規(guī)外聯(lián)，上網(wǎng)起始時間、上網(wǎng)結(jié)束時間一樣的，并自動違規(guī)外聯(lián)報警，如圖3所示。

 

2 違規(guī)外聯(lián)調(diào)查取證方法

 

發(fā)生違規(guī)外聯(lián)后常規(guī)檢查方法是到涉案計算機(jī)上查詢?yōu)g覽器訪問記錄、查看瀏覽器臨時文件等。如果計算機(jī)使用人在檢查前已經(jīng)刪除了相關(guān)記錄那么檢查人員將很難找到有力證據(jù)。

 

2.1 違規(guī)外聯(lián)常規(guī)調(diào)查取證方法

 

發(fā)生違規(guī)外聯(lián)后常規(guī)處理方法是查詢?yōu)g覽器的臨時文件、Cookie和歷史記錄，也可以查詢?yōu)g覽器地址欄的訪問記錄，一般情況都能發(fā)現(xiàn)一些線索。

 

圖4 地址欄訪問記錄查看

 

2.2 違規(guī)外聯(lián)隱藏文件調(diào)查取證方法

 

如果被檢查人在檢查之前已經(jīng)將上述痕跡都清除那么常規(guī)方法將很難奏效，經(jīng)過查詢相關(guān)資料得知windows系統(tǒng)中還有一個隱藏的“index.dat”文件，它記錄著通過瀏覽器訪問過的網(wǎng)址、訪問時間、歷史記錄等信息。實(shí)際上它是一個保存了cookie、歷史記錄和IE臨時文件中所記錄內(nèi)容的副本 ，即使你在IE中把這些內(nèi)容都清除了，但index.dat文件中的記錄還是存在。

 

系統(tǒng)為了保密是不會直接看到這些地方的index.dat文件的，就算在文件夾選項中設(shè)置成了讓系統(tǒng)顯示所有文件和不隱藏受操作系統(tǒng)保護(hù)的文件，也同樣看不到也搜索不到它們。但進(jìn)入IE的臨時文件夾“Temporary Internet Files”，在窗口地址欄的“Temporary Internet Files”后面手工加上“Content.IE5”，便能發(fā)現(xiàn)該文件夾下面居然還有別的文件和文件夾，index.dat文件就是其中之一。

 

圖5 index.dat文件查看

 

找到index.dat文件后通過常規(guī)渠道是無法查看該文件的，使用文本編輯器打開該文件只能看到一堆亂碼：

 

圖7 index.dat文件查看軟件

 

經(jīng)過上述方法一般都能順利的取得需要的證據(jù)。

 

2.3 違規(guī)外聯(lián)調(diào)查取證效果

 

常規(guī)方法容易使用也容易被利用，通過查看隱藏的index.dat文件能夠在常規(guī)記錄被清除的情況下也能取得有力證據(jù)。

 

3 違規(guī)外聯(lián)事件分析

 

對近兩年的違規(guī)外聯(lián)事件進(jìn)行了認(rèn)真分析，找出產(chǎn)生違規(guī)外聯(lián)的主要原因，并提出明確的管理要求：

 

3.1 2.28客戶服務(wù)中心違規(guī)外聯(lián)事件分析

 

因打印地稅發(fā)票需要，公司財務(wù)部要求在文昌營業(yè)廳必須安裝外網(wǎng)計算機(jī)，用于連接外網(wǎng)實(shí)時開具業(yè)務(wù)發(fā)票。經(jīng)向公司相關(guān)部門申請， 2月28日，由網(wǎng)通公司來文昌營業(yè)廳安裝外網(wǎng)。9：27分由網(wǎng)通人員進(jìn)行連接測試時，誤將外網(wǎng)網(wǎng)線插入內(nèi)網(wǎng)計算機(jī)，迅速發(fā)現(xiàn)后立即拔出，前后時間約幾秒鐘，但已造成內(nèi)網(wǎng)計算機(jī)外聯(lián)事實(shí)，通報的數(shù)據(jù)顯示從9：27開始，至9：27結(jié)束。

 

分析： 誤將外網(wǎng)網(wǎng)線插入內(nèi)網(wǎng)計算機(jī)導(dǎo)致違規(guī)外聯(lián)

 

3.2 4.19配電工程公司違規(guī)外聯(lián)事件分析

 

4月19日下午四時左右，配電工程一社會化用工人員，因上網(wǎng)站尋找資料，借來上網(wǎng)卡用公司材供部電腦上網(wǎng)，電腦主人發(fā)現(xiàn)后及時制止，但已發(fā)生外聯(lián)行為。

 

分析： 內(nèi)網(wǎng)計算機(jī)用上網(wǎng)卡用上外網(wǎng)導(dǎo)致違規(guī)外聯(lián)

 

3.3 11.25寶應(yīng)供電公司違規(guī)外聯(lián)事件分析

 

11月25日上午11時左右，寶應(yīng)供電公司營銷稽查班某員工用手機(jī)上百度查找“關(guān)于廉潔文化工作總結(jié)”撰寫格式，在檢查時手機(jī)電源不足發(fā)出信號，便急忙從柜子里拿出USB接口充電器進(jìn)行充電，當(dāng)時手機(jī)正在連接外網(wǎng)，第一次插入接口時，在查詢資料時將連接線，兩三分鐘后無意中拉斷開，后又一次連接上繼續(xù)充電，在百度外網(wǎng)上繼續(xù)查找， 造成了“違規(guī)外聯(lián)”的現(xiàn)象的發(fā)生。

 

分析： 智能手機(jī)使用內(nèi)網(wǎng)計算機(jī)USB口充電導(dǎo)致違規(guī)外

 

3.4 8.16范水供電所違規(guī)外聯(lián)事件分析

 

8月12日下午，范水供電所從寶應(yīng)供電公司領(lǐng)到計算機(jī)1臺。恐因該主機(jī)在運(yùn)輸過程中受劇烈震動等原因，主機(jī)無法正常使用。8月16日下午16點(diǎn)10分左右，抄表班某員工就將該主機(jī)拿到電腦維修部進(jìn)行重新安裝， 被維修人員誤接在外網(wǎng)達(dá)5分鐘左右的時間，當(dāng)發(fā)現(xiàn)此情況后就立即退出了外網(wǎng)，但未進(jìn)行上報處理就將計算機(jī)直接連接了內(nèi)網(wǎng)，發(fā)生了違規(guī)外連的情況

 

分析： 內(nèi)網(wǎng)計算機(jī)送外維修接入外網(wǎng)， 回來后不經(jīng)檢查直接聯(lián)入內(nèi)網(wǎng)導(dǎo)致違規(guī)外聯(lián)

 

3.5 分析近兩年公司違規(guī)外聯(lián)事件，產(chǎn)生的主要原因：

 

①使用移動無線上網(wǎng)卡將個人內(nèi)網(wǎng)計算機(jī)連接互聯(lián)網(wǎng)

 

②智能手機(jī)充電會引發(fā)內(nèi)網(wǎng)計算機(jī)產(chǎn)生違規(guī)外聯(lián)記錄

 

③內(nèi)網(wǎng)計算機(jī)誤插外網(wǎng)網(wǎng)線會引發(fā)違規(guī)外聯(lián)記錄

 

④內(nèi)網(wǎng)計算機(jī)送外維修，回來后不經(jīng)檢查直接聯(lián)入內(nèi)網(wǎng)。

 

3.6 提出明確的管理要求：

 

①嚴(yán)格執(zhí)行內(nèi)、外網(wǎng)分開制度，信息內(nèi)網(wǎng)、外網(wǎng)計算機(jī)不得交叉混用。

 

②禁止任何形式的違規(guī)外聯(lián)，內(nèi)網(wǎng)設(shè)備嚴(yán)禁采用任何手段和方式接入外網(wǎng)。

 

③加強(qiáng)公用信息設(shè)備（筆記本電腦）的管理。內(nèi)網(wǎng)注冊過的筆記本上不得再接入外網(wǎng)。

 

④任何部門、單位不得私自開通互聯(lián)網(wǎng)，特殊需求，必須經(jīng)公司審批后報信通公司備案。

 

⑤開通上網(wǎng)功能的手機(jī)不得使用內(nèi)網(wǎng)計算機(jī)USB口充電。

 

4 小結(jié)

 

為認(rèn)真貫徹國網(wǎng)公司關(guān)于“安全年”活動的部署，切實(shí)加強(qiáng)電力信息網(wǎng)管理，杜絕終端違規(guī)外聯(lián)屢禁不止的現(xiàn)象，揚(yáng)州供電公司通過推廣桌面終端管理系統(tǒng)， 實(shí)現(xiàn)了違規(guī)外聯(lián)行為發(fā)生后即時報警以及實(shí)時切斷連接；提出了一整套的違規(guī)外聯(lián)的調(diào)查取證方法，對違規(guī)行為矢口抵賴并將外網(wǎng)訪問記錄清除的從嚴(yán)處理；并對近兩年的違規(guī)外聯(lián)事件進(jìn)行了認(rèn)真分析，找出產(chǎn)生違規(guī)外聯(lián)的主要原因，提出明確的管理要求并通過開會、安全培訓(xùn)、網(wǎng)站飄窗等進(jìn)行宣傳， 終端違規(guī)外聯(lián)管理取得一定的效果。