熊輝　夏曉榮

摘要：從技術(shù)和管理兩個(gè)層面提出了企業(yè)防違規(guī)外聯(lián)的一些措施和方法。

關(guān)鍵詞：信息安全；防違規(guī)外聯(lián)；桌面終端；定制

隨著信息技術(shù)的高速發(fā)展，企業(yè)信息安全也越來(lái)越受到企業(yè)管理者的重視。一方面要建設(shè)一流的現(xiàn)代化企業(yè)，必然要求企業(yè)和外界保持緊密的聯(lián)系，兩者間存在大量的信息交換處理；另一方面企業(yè)自身的商業(yè)機(jī)密包括研發(fā)信息、客戶信息等又要確保信息安全，避免企業(yè)內(nèi)部重要信息的外泄。因此，如何在滿足自身信息化需求的情況下保證企業(yè)的內(nèi)部信息安全是企業(yè)信息化工作面臨的一個(gè)重要課題。

一、技術(shù)層面

（一）部署信息網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)及桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)

針對(duì)企業(yè)內(nèi)網(wǎng)部署實(shí)施信息網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)。系統(tǒng)服務(wù)端對(duì)企業(yè)內(nèi)網(wǎng)終端建立基本信息庫(kù)，并綁定IP和MAC地址。終端上網(wǎng)時(shí)，終端上安裝的客戶端先取得一個(gè)臨時(shí)IP，并訪問(wèn)服務(wù)器，取得授權(quán)后獲取真正的IP地址，從而得以訪問(wèn)內(nèi)網(wǎng)。同時(shí)，在交換機(jī)上啟動(dòng)相關(guān)協(xié)議，確保所有終端必須訪問(wèn)準(zhǔn)入系統(tǒng)，取得授權(quán)才能訪問(wèn)內(nèi)網(wǎng)。

（二）利用windows操作系統(tǒng)自身的安全機(jī)制

通過(guò)Windows操作系統(tǒng)自帶的安全機(jī)制，定制IPSec安全策略，僅允許信息內(nèi)網(wǎng)桌面終端訪問(wèn)企業(yè)內(nèi)網(wǎng)網(wǎng)段，同時(shí)禁止訪問(wèn)外網(wǎng)。策略定制完成后，可通過(guò)監(jiān)測(cè)注冊(cè)表前后變化，提取變化信息生成注冊(cè)表導(dǎo)入文件，利用桌面終端管理系統(tǒng)下發(fā)策略到各終端電腦并自動(dòng)運(yùn)行，使用人員無(wú)需進(jìn)行任何操作。主要過(guò)程如下：

1、在“控制面板”—“管理工具”下選擇“本地安全設(shè)置”，選中“IP安全策略 在本地計(jì)算機(jī)”，右鍵新建1個(gè)違規(guī)外聯(lián)安全策略。

2、新建2個(gè)篩選器，分別實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)允許訪問(wèn)和外網(wǎng)禁止訪問(wèn)進(jìn)行控制。

3、配置內(nèi)網(wǎng)訪問(wèn)策略，目標(biāo)地址設(shè)為內(nèi)網(wǎng)網(wǎng)段如：10.0.0.0，篩選器操作設(shè)置為允許，僅允許訪問(wèn)10.0.0.0網(wǎng)段地址的IP請(qǐng)求。

4、配置外網(wǎng)訪問(wèn)策略，目標(biāo)地址設(shè)為0.0.0.0，篩選器操作設(shè)置為拒絕，阻斷所有的IP訪問(wèn)請(qǐng)求。

5、指派違規(guī)外聯(lián)安全策略，立即生效。

6、從系統(tǒng)注冊(cè)表中提取相關(guān)內(nèi)容，并做成注冊(cè)表導(dǎo)入文件，利用桌面終端管理系統(tǒng)下發(fā)該條策略。

（三）設(shè)置開(kāi)機(jī)安全提示畫(huà)面

定制防違規(guī)外聯(lián)啟動(dòng)畫(huà)面，替換原windows操作系統(tǒng)啟動(dòng)畫(huà)面，用戶一旦啟動(dòng)計(jì)算機(jī)終端，該提醒畫(huà)面將按照啟動(dòng)順序出現(xiàn)在終端用戶面前。統(tǒng)一定制的信息內(nèi)、外網(wǎng)桌面終端開(kāi)機(jī)畫(huà)面以企業(yè)統(tǒng)一形象標(biāo)識(shí)為背景，并對(duì)違規(guī)外聯(lián)、弱口令、防病毒等信息安全要求進(jìn)行了提示。

可以手工設(shè)置替換開(kāi)機(jī)啟動(dòng)畫(huà)面，也可以開(kāi)發(fā)小程序，通過(guò)桌面終端管理系統(tǒng)下發(fā)執(zhí)行自動(dòng)更換。對(duì)于終端用戶較多的企業(yè)，建議采用開(kāi)發(fā)程序自動(dòng)執(zhí)行的方式。主要步驟如下（省略了具體編程過(guò)程）：

1、判斷操作系統(tǒng)版本，判斷是否32位或64位操作系統(tǒng)。

2、目前企業(yè)用戶大部分使用的是32位winxp系統(tǒng)。對(duì)于32位winxp系統(tǒng)更換啟動(dòng)畫(huà)面較簡(jiǎn)單，只需要修改c：＼boot.ini文件內(nèi)容，將“operating systems”下的類似multi（0）disk（0）rdisk（0）partition（1）＼WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect”語(yǔ)句后加上“ /bootlogo/noguiboot”即可，同時(shí)，將定制的啟動(dòng)畫(huà)面更名為boot.bmp，將其存放在multi（0）disk（0）rdisk（0）partition（1）＼WINDOWS下，通常是c：＼windows下。

3、對(duì)于32位win7系統(tǒng)，需要先修改注冊(cè)表中”＼Software＼Microsoft＼windows＼currentversion＼authentication＼LogonUI＼background＼”下的“oembackground”鍵值為1，如果該鍵值不存在，則創(chuàng)建該鍵值。同時(shí)將定制的啟動(dòng)畫(huà)面文件名改為backgroundDefault.jpg，并存放在 c：＼windows＼system32＼oobe＼info＼backgrounds下。

4、如果操作系統(tǒng)是64位的，則32位應(yīng)用程序在64位操作系統(tǒng)下運(yùn)行時(shí)，需要考慮64位操作系統(tǒng)的重定向問(wèn)題，在修改注冊(cè)表和拷貝文件時(shí)，先要禁止重定向，修改或拷貝工作完成后再恢復(fù)重定向功能。

（四）設(shè)置信息安全提示屏保

在用戶使用終端的過(guò)程中，為了更好地提醒用戶的使用習(xí)慣，避免違規(guī)外聯(lián)，可以定制企業(yè)自己的信息安全提示屏幕保護(hù)程序。屏保通過(guò)不斷滾動(dòng)的信息安全提示畫(huà)面向終端用戶展示包括禁止連接手機(jī)、禁止外來(lái)人員使用、禁止送外維修、禁止使用弱口令及禁止使用非注冊(cè)信息桌面終端等信息安全要求。屏保程序通過(guò)桌面終端管理系統(tǒng)向桌面終端注冊(cè)用戶統(tǒng)一下發(fā)并自動(dòng)執(zhí)行生效。

關(guān)于屏保的制作方法，網(wǎng)上有很多，這里不在一一贅述。

（五）定制標(biāo)準(zhǔn)化操作系統(tǒng)

以正版操作系統(tǒng)為基礎(chǔ)進(jìn)行定制，將以上的安全措施和技術(shù)手段包含在內(nèi)，形成一套包含防病毒軟件、IPSec安全策略等信息安全防護(hù)措施以及辦公相關(guān)基礎(chǔ)軟件等在內(nèi)的標(biāo)準(zhǔn)化操作系統(tǒng)。

信息運(yùn)維人員在日常工作中，需要重裝系統(tǒng)時(shí)，可直接安裝該套定制系統(tǒng)，安裝完成后再進(jìn)行適當(dāng)微調(diào)。定制系統(tǒng)的推行一方面確保所有技術(shù)手段和措施在新終端上都得以安裝，沒(méi)有遺漏；另一方面，也節(jié)省了人力物力和時(shí)間，確保了操作系統(tǒng)環(huán)境的標(biāo)準(zhǔn)化，在系統(tǒng)出現(xiàn)問(wèn)題時(shí)，便于問(wèn)題的分析和查找，極大的提升了工作效率，降低了企業(yè)信息內(nèi)網(wǎng)安全隱患。

二、管理層面

（一）嚴(yán)格執(zhí)行終端設(shè)備入網(wǎng)退網(wǎng)審批制度

在終端設(shè)備信息安全管理工作中，企業(yè)應(yīng)建立和完善信息終端設(shè)備的入網(wǎng)和退網(wǎng)審批制度，防止未經(jīng)授權(quán)和檢查的終端隨意接入企業(yè)信息內(nèi)網(wǎng)，未經(jīng)檢查和處理的終端設(shè)備隨意退網(wǎng)或轉(zhuǎn)接外網(wǎng)。

對(duì)于退役終端，先履行紀(jì)委監(jiān)督、物資部門(mén)核實(shí)并批準(zhǔn)、財(cái)務(wù)部門(mén)資產(chǎn)處理的程序，再填報(bào)《信息終端報(bào)廢表》，由信息部門(mén)核實(shí)信息設(shè)備的最終使用狀態(tài)，在桌面終端管理系統(tǒng)、準(zhǔn)入系統(tǒng)等相關(guān)信息系統(tǒng)內(nèi)變更設(shè)備狀態(tài)，同時(shí)配合原使用者對(duì)終端存儲(chǔ)介質(zhì)進(jìn)行資料的轉(zhuǎn)移、銷毀及防泄密處理。

（二）加強(qiáng)標(biāo)識(shí)標(biāo)簽管理

對(duì)所有終端的網(wǎng)線、公室墻壁上的網(wǎng)口、信息機(jī)房的網(wǎng)絡(luò)設(shè)備接口等均應(yīng)標(biāo)注內(nèi)外網(wǎng)標(biāo)識(shí)，確保不發(fā)生誤插、錯(cuò)插事件。同時(shí)在終端主機(jī)、顯示屏醒目位置針對(duì)內(nèi)外網(wǎng)分別粘貼“內(nèi)網(wǎng)設(shè)備禁止連接外網(wǎng)”或“外網(wǎng)設(shè)備禁止連接內(nèi)網(wǎng)”等醒目標(biāo)識(shí)，隨時(shí)提醒終端使用者規(guī)范自己的使用行為。

（三）嚴(yán)格考核，簽訂信息安全工作責(zé)任書(shū)

加強(qiáng)考核，每年年初時(shí)在企業(yè)內(nèi)部分級(jí)簽訂《信息安全工作責(zé)任書(shū)》，責(zé)任書(shū)對(duì)企業(yè)信息安全和終端管理提出明確要求，并規(guī)定了獎(jiǎng)懲和考核辦法。同時(shí)，所有新入職人員也必須簽訂《信息安全工作責(zé)任書(shū)》，在企業(yè)內(nèi)部營(yíng)造出信息安全人人有責(zé)的氛圍。

通過(guò)采用以上技術(shù)措施和管理手段，能有效地控制企業(yè)終端使用者的行為，避免違規(guī)外聯(lián)，大大加強(qiáng)了企業(yè)的信息安全。

參考文獻(xiàn)：

[1] 王開(kāi)圣，馬俊明.電力信息網(wǎng)終端違規(guī)外聯(lián)的管理研究.中國(guó)信息化學(xué)術(shù)版.2013.07

[2] 陳曉杰，洪志華，孫夷澤，王勇.電力內(nèi)網(wǎng)違規(guī)外聯(lián)安全監(jiān)控研究.浙江電力.2013.10

[3] 薛鐵軍.關(guān)于涉密計(jì)算機(jī)及其移動(dòng)存儲(chǔ)介質(zhì)違規(guī)外聯(lián)監(jiān)控系統(tǒng)的幾點(diǎn)思考.保密科學(xué)技術(shù).2011.03