摘 要：人民銀行作為我國的中央銀行對(duì)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)具有極高的保密性。內(nèi)網(wǎng)非法外聯(lián)可能導(dǎo)致計(jì)算機(jī)系統(tǒng)的癱瘓和重要數(shù)據(jù)信息的泄密從而危及整個(gè)系統(tǒng)的安全。人民銀行在全轄范圍推廣實(shí)施內(nèi)聯(lián)網(wǎng)非法外聯(lián)監(jiān)控系統(tǒng)以來，各級(jí)領(lǐng)導(dǎo)高度重視，系統(tǒng)內(nèi)對(duì)全體員工進(jìn)行了宣傳教育，對(duì)所有撥號(hào)上網(wǎng)的設(shè)備進(jìn)行了清查，并對(duì)同時(shí)跨接內(nèi)聯(lián)網(wǎng)、國際互聯(lián)網(wǎng)的非法外聯(lián)行為進(jìn)行了實(shí)時(shí)監(jiān)控，有效阻斷了內(nèi)網(wǎng)信息外泄、外網(wǎng)入侵內(nèi)網(wǎng)的渠道。保證了辦公網(wǎng)、業(yè)務(wù)網(wǎng)、互聯(lián)網(wǎng)之間兩兩隔離，提高了人民銀行網(wǎng)絡(luò)的安全管理水平。

關(guān)鍵詞：人民銀行；非法外聯(lián)；危害；措施

中圖分類號(hào)：TP39

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在央行業(yè)務(wù)系統(tǒng)及辦公自動(dòng)化領(lǐng)域中的廣泛應(yīng)用，極大地提高了工作效率，提升了服務(wù)水平。但隨之也帶來不少風(fēng)險(xiǎn)和隱患，尤其是近幾年來重要業(yè)務(wù)系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)集中，對(duì)網(wǎng)絡(luò)的依賴程度越來越高，網(wǎng)絡(luò)的安全成為不可忽視的問題。人民銀行作為我國的中央銀行對(duì)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)具有極高的保密性。為保障人民銀行系統(tǒng)網(wǎng)絡(luò)安全，在人民銀行兩網(wǎng)部署了非法外聯(lián)監(jiān)控管理系統(tǒng)，實(shí)現(xiàn)了網(wǎng)絡(luò)非法外聯(lián)提前阻斷并報(bào)警提示，保證了辦公網(wǎng)、業(yè)務(wù)網(wǎng)、互聯(lián)網(wǎng)之間兩兩隔離，提高了人民銀行兩網(wǎng)的安全管理水平。

1 非法外聯(lián)的危害

計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅主要有以下幾種類型：黑客入侵、來自內(nèi)部的攻擊、計(jì)算機(jī)病毒侵入、秘密信息的泄露和修改網(wǎng)絡(luò)的關(guān)鍵數(shù)據(jù)等方面，這些都可以計(jì)算機(jī)信息泄密或網(wǎng)絡(luò)癱瘓。黑客攻擊等威脅主要原因在于網(wǎng)絡(luò)系統(tǒng)內(nèi)部的安全的脆弱性；其次就是人員思想麻痹，沒有正視黑客入侵造成的嚴(yán)重后果，在網(wǎng)絡(luò)安全上投入的人力、物力和財(cái)力不足，沒有采取有效地安全策略和安全機(jī)制；另外缺乏先進(jìn)的網(wǎng)絡(luò)安全技術(shù)、工具、手段和產(chǎn)品，也會(huì)導(dǎo)致網(wǎng)絡(luò)安全防范能力差。

隨著人民銀行系統(tǒng)對(duì)網(wǎng)絡(luò)安全的逐步重視，人民銀行在全國范圍內(nèi)針對(duì)網(wǎng)絡(luò)安全分別部署了防火墻、入侵檢測(cè)、漏洞掃描和防病毒等系統(tǒng)，在一定程度上保證了網(wǎng)絡(luò)的安全，但是如果內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)通過MODEM或其他方式（撥號(hào)、IE代理、網(wǎng)卡代理等）連接到互聯(lián)網(wǎng)，黑客就可以通過建立連接進(jìn)行攻擊這臺(tái)機(jī)器，一旦這臺(tái)機(jī)器被黑客控制，就可以通過這臺(tái)機(jī)器訪問內(nèi)網(wǎng)，竊取機(jī)密資料，甚至使整個(gè)網(wǎng)絡(luò)癱瘓。由于這種方式直接通過撥號(hào)鏈路進(jìn)行，而不經(jīng)過防火墻，所以防火墻對(duì)于這種方式的攻擊無能為力；另外也可以通過這臺(tái)機(jī)器訪問其他機(jī)器，完全可以通過合法身份進(jìn)行訪問，這種情況IDS也不會(huì)發(fā)現(xiàn)并報(bào)警；并且通過撥號(hào)上網(wǎng)是一種比較隱蔽、黑容易被人們忽略的行為。事實(shí)證明，這種行為存在較大的安全隱患。因此人民銀行在全國范圍部署非法外聯(lián)監(jiān)控管理系統(tǒng)，提前阻斷網(wǎng)絡(luò)非法外聯(lián)，有效的保證了人民銀行系統(tǒng)網(wǎng)絡(luò)安全。

2 非法外聯(lián)形成的原因

2.1 安全意識(shí)淡薄，存在僥幸心理。部分人員對(duì)計(jì)算機(jī)內(nèi)網(wǎng)外聯(lián)的危害性沒有引起足夠重視和認(rèn)真對(duì)待，對(duì)信息安全保密工作缺乏認(rèn)識(shí)，對(duì)其安全控制、有效監(jiān)管認(rèn)識(shí)不足，安全意識(shí)淡薄。

2.2 網(wǎng)絡(luò)安全防護(hù)技術(shù)不完善，沒有形成立體的技術(shù)防護(hù)體系。網(wǎng)絡(luò)系統(tǒng)存在內(nèi)在的安全的脆弱性，在網(wǎng)絡(luò)安全上所投入的人力、物力和財(cái)力不足，沒有采取有效的安全策略和安全機(jī)制，缺乏先進(jìn)的安全技術(shù)、工具、手段和產(chǎn)品，導(dǎo)致網(wǎng)絡(luò)的安全防范能力差。

2.3 技術(shù)力量薄弱，安全防護(hù)知識(shí)匱乏。有些部門技術(shù)力量相對(duì)薄弱，業(yè)務(wù)素質(zhì)和技術(shù)水平很難適應(yīng)當(dāng)前網(wǎng)絡(luò)發(fā)展要求，新知識(shí)和新技術(shù)掌握不多，隨意安裝不正規(guī)軟件，不按規(guī)定正確設(shè)置計(jì)算機(jī)ip地址和計(jì)算機(jī)名，不安裝防病毒軟件和非法外聯(lián)客戶端，隨意接入外部設(shè)備，如用計(jì)算機(jī)對(duì)3G手機(jī)或上網(wǎng)手機(jī)進(jìn)行充電，筆記本接入內(nèi)網(wǎng)等。

2.4 制度落實(shí)不嚴(yán)，責(zé)任分工不清，重應(yīng)用，輕管理。許多安全管理措施不能落實(shí)到部門和個(gè)人，不能成為制約應(yīng)用部門員工的行為準(zhǔn)則，保密安全管理制度不完善，存在制度老化和新制度制訂不及時(shí)的現(xiàn)象，制度與管理脫節(jié)。

3 非法外聯(lián)應(yīng)對(duì)措施

3.1 加強(qiáng)領(lǐng)導(dǎo)，落實(shí)安全責(zé)任，樹立正確的信息安全觀念。要充分認(rèn)識(shí)防止非法外聯(lián)工作的必要性、重要性和緊迫性，努力學(xué)習(xí)計(jì)算機(jī)安全知識(shí)，貫徹落實(shí)計(jì)算機(jī)安全管理方面的規(guī)章制度，認(rèn)真部署計(jì)算機(jī)安全防范工作，提高全行預(yù)防計(jì)算機(jī)犯罪能力，實(shí)行一把手負(fù)責(zé)制，把信息安全工作放在重要位置，按照“誰主管誰負(fù)責(zé)，誰運(yùn)營誰負(fù)責(zé)”的原則，逐級(jí)落實(shí)信息安全責(zé)任制，樹立信息安全和保密安全觀念。

3.2 開展專題教育，增強(qiáng)安全意識(shí)。一方面對(duì)全行職工進(jìn)行必要定期培訓(xùn)和實(shí)踐鍛煉，增強(qiáng)計(jì)算機(jī)信息安全防范意識(shí)和法制觀念，盡快提高員工的業(yè)務(wù)素質(zhì)、技術(shù)水平和防范能力，另一方面要加強(qiáng)計(jì)算機(jī)信息安全隊(duì)伍建設(shè)，采取靈活多樣的培訓(xùn)、教育方式，積極推廣新知識(shí)、新技術(shù)、新方法，是每個(gè)工作人員掌握更多、更新的計(jì)算機(jī)安全技術(shù)和相關(guān)法律知識(shí)，普及理論知識(shí)、提高專業(yè)技能，使其充分了解內(nèi)網(wǎng)外聯(lián)的危害，增強(qiáng)安全意識(shí)。

3.3 嚴(yán)格計(jì)算機(jī)入網(wǎng)管理，做好計(jì)算機(jī)殺毒、補(bǔ)丁分發(fā)、非法外聯(lián)客戶端的安裝升級(jí)工作。一是建立健全計(jì)算機(jī)入網(wǎng)管理制度，嚴(yán)格實(shí)行準(zhǔn)入制度，計(jì)算機(jī)入網(wǎng)前必須清理各種非內(nèi)網(wǎng)使用的軟件，規(guī)范計(jì)算機(jī)IP地址及計(jì)算機(jī)名，正確安裝客戶端軟件，嚴(yán)格規(guī)范計(jì)算機(jī)操作，杜絕在內(nèi)網(wǎng)計(jì)算機(jī)上使用任何監(jiān)控、跟蹤軟件，防止不當(dāng)操作產(chǎn)生監(jiān)控結(jié)果，杜絕筆記本接入內(nèi)部網(wǎng)絡(luò)。二是在內(nèi)網(wǎng)所有客戶端上安裝殺毒軟件（Symantec），并定期檢查病毒代碼的升級(jí)；三是利用LANDESK系統(tǒng)對(duì)客戶端及時(shí)統(tǒng)一掃描漏洞、分發(fā)補(bǔ)丁，并利用此系統(tǒng)對(duì)客戶端安全情況進(jìn)行實(shí)時(shí)監(jiān)控，計(jì)算機(jī)管理員創(chuàng)建各種查詢自動(dòng)發(fā)現(xiàn)客戶端安裝的軟件，對(duì)與業(yè)務(wù)工作無關(guān)的游戲、盜版軟件能做到及時(shí)發(fā)現(xiàn)、及時(shí)控制；四是利用IDS系統(tǒng)對(duì)安全事件源進(jìn)行遠(yuǎn)程阻斷，發(fā)現(xiàn)客戶端存在病毒、遭到攻擊等安全問題后，應(yīng)立即對(duì)安全事件源進(jìn)行實(shí)時(shí)、快速、精確定位，并遠(yuǎn)程阻斷隔離；五是利用非法外聯(lián)監(jiān)控管理系統(tǒng)進(jìn)行客戶端違規(guī)聯(lián)網(wǎng)檢測(cè)。內(nèi)部網(wǎng)絡(luò)用戶如果通過雙網(wǎng)卡、無線網(wǎng)卡等設(shè)備進(jìn)行在線違規(guī)上網(wǎng)，該系統(tǒng)按照不同的策略進(jìn)行警告或分布式阻斷。

3.4 組織對(duì)計(jì)算機(jī)信息安全檢查，拆除外聯(lián)硬件，卸載驅(qū)動(dòng)軟件。組織對(duì)聯(lián)網(wǎng)用機(jī)全面核查，嚴(yán)禁內(nèi)聯(lián)網(wǎng)計(jì)算機(jī)一機(jī)雙卡；嚴(yán)禁在內(nèi)聯(lián)網(wǎng)計(jì)算機(jī)安裝調(diào)制解、無線網(wǎng)卡（各種上網(wǎng)卡，包括3G上網(wǎng)卡）；嚴(yán)禁在內(nèi)聯(lián)網(wǎng)計(jì)算機(jī)安裝與辦公無關(guān)的軟件；嚴(yán)禁在內(nèi)聯(lián)網(wǎng)計(jì)算機(jī)進(jìn)行網(wǎng)卡網(wǎng)關(guān)代理、IE代理設(shè)置；嚴(yán)禁原來上過互聯(lián)網(wǎng)的計(jì)算機(jī)，直接接入內(nèi)聯(lián)網(wǎng)；嚴(yán)禁用手機(jī)連接內(nèi)聯(lián)網(wǎng)計(jì)算機(jī)進(jìn)行上網(wǎng)；拆除其多余網(wǎng)卡，正確安裝總行統(tǒng)一推廣的防病毒軟件及其他安全防護(hù)產(chǎn)品；杜絕央行內(nèi)網(wǎng)外聯(lián)。

3.5 建立健全有效的內(nèi)控制度，落實(shí)安全責(zé)任。建立健全有效的內(nèi)控制度是防范計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的前提。一是制定和完善各項(xiàng)規(guī)章制度、標(biāo)準(zhǔn)和規(guī)范，為每臺(tái)計(jì)算機(jī)建立完備的檔案，確定惟一責(zé)任人，落實(shí)安全責(zé)任；二是對(duì)現(xiàn)有的計(jì)算機(jī)內(nèi)控制度進(jìn)行全面清理，進(jìn)一步健全完善計(jì)算機(jī)內(nèi)控制度，內(nèi)控制度要涵蓋計(jì)算機(jī)的操作規(guī)程、硬件維護(hù)、軟件開發(fā)、網(wǎng)絡(luò)運(yùn)行、數(shù)據(jù)備份、安全管理等各個(gè)方面。三是加大對(duì)非法外聯(lián)危害性的宣傳力度，增強(qiáng)全員安全保密意識(shí)。

3.6 定期監(jiān)測(cè)非法外聯(lián)監(jiān)控系統(tǒng)運(yùn)行情況，發(fā)現(xiàn)報(bào)警信息及時(shí)解決。一是對(duì)內(nèi)聯(lián)網(wǎng)計(jì)算機(jī)非法外聯(lián)客戶端安裝情況進(jìn)行檢查，不留死角，不留安全漏洞，確保非法外鏈系統(tǒng)能對(duì)內(nèi)聯(lián)網(wǎng)中所有計(jì)算機(jī)進(jìn)行實(shí)時(shí)、全面的非法外聯(lián)監(jiān)控管理。二是定期查看監(jiān)控主機(jī)運(yùn)行情況，及時(shí)發(fā)現(xiàn)并嚴(yán)格控制全行內(nèi)聯(lián)網(wǎng)中所有計(jì)算機(jī)設(shè)備的各種非法外聯(lián)行為，實(shí)現(xiàn)全行網(wǎng)絡(luò)的統(tǒng)一管理，并能夠有效的進(jìn)行控制管理，達(dá)到杜絕非法外聯(lián)行為的目的。

參考文獻(xiàn)：

[1]孫娜.非法外聯(lián)檢測(cè)技術(shù)的研究與實(shí)現(xiàn)[D].北京郵電大學(xué)，2006，2.

[2]牟春華.防止非法外聯(lián)，確保信息安全[J].華南金融電腦，2006，3.

作者簡(jiǎn)介：崔景杰（1968.3.17-）男，籍貫：陜西宜川，工作單位：中國人民銀行石家莊中心支行，職務(wù)：主任科員，職稱：工程師，學(xué)歷：大學(xué)本科，研究方向：計(jì)算機(jī)信息安全。

作者單位：中國人民銀行石家莊中心支行科技處，石家莊 050000