- 1在github上创建个人主页的方法【2023更新版】_github个人主页链接在哪
- 2mysql5.7数据库配置(安全以及binlog)_mysql5.7 binlog
- 3协同过滤的进化--矩阵分解算法(MF)_mf(矩阵分解)计算公式
- 4CentOS 7 迁移到 Anolis OS 7_centos 与 anolis
- 5Android开源天气预报app - 清新小天气
- 6【数据结构与算法】-BF算法与KMP算法原理超详细讲解_bf算法和kmp算法
- 7〖Python 数据库开发实战 - MySQL篇③〗- MacOS 环境下 MySQL数据库的安装与初始化_mac mysql初始化
- 8自然语言处理:词性标注_完成基于 jieba 模块进行词性标注的程序编写
- 9如何走好知识变现第一步_打开认知知识变现第一步
- 10HOOPS Visualize:工业级3D可视化SDK,打造移动端和PC端工程应用程序
信创终端违规外联案例分析及防控措施_违规外联功能
赞
踩
在2022年经历俄乌冲突、美国半导体制裁等一系列事件催化,IT基础设施的科技自立自强重要程度空前提升,而透视“20大”报告对于相关领域的表述,以“完善科技创新体系,坚持创新在我国现代化建设全局中的核心地位,健全新型举国体制,强化国家战略科技力量,提升国家创新体系整体效能,形成具有全球竞争力的开放创新生态”为典型代表,我们认为国产化已经成为信息技术产业发展的主旋律。
现在全国各级政府、公检法、金融、电力及各企事业等单位已经逐步将windows电脑替换成信创终端。为最大程度上保障网络安全,这些单位都建有物理隔离专用内部通信网络,虽然在保密法第48条规定了12种严重的违规行为,其中第8种“将涉密计算机、涉密存储设备接入互联网及其他公共信息网络的”,对违规外联行为予以了明确的禁止,但是专网内的信创终端规外联行为仍屡屡发生,其背后的原因引人深思。
典型案例
案例1:2021年9月,有关部门在工作中发现,某市属单位工作人员刘某使用的专网笔记本电脑发生违规外联。经查,刘某因工作需要,将涉密笔记本带入单位会议室使用,由于会议室中网线标识不清,着急开会的刘某误将专网笔记本接入互联网,触发违规外联报警。案件发生后,刘某及有关责任人员均被严肃处理。
案例2:2021年4月,有关部门在工作中发现,某县级单位1台专网终端多次发生违规外联。经查,该终端为办公室工作人员赵某使用,赵某在使用过程中,某软件多次发生故障,遂按照该软件的提示,连接手机热点,多次尝试连接互联网进行自动修复,造成违规行为发生。案件发生后,赵某及有关责任人员均被通报批评。
案例3:2022年3月,有关部门在工作中发现,某省直单位1台专网终端多次发生违规外联。经查,王某的信创终端因机械故障需要维修,外部的运维工程师李某将这台终端带到外部维修,修好后造成多次违规连接互联网。案件发生后,王某和李某均被处理。
原因分析
1.跨网访问现象严重
案例1中暴露的问题在于专网与互联网设备混用。由于工作需要,很多办公室都同时安装了专用网与互联网。两种网络接口同处一室,极易发生混乱,因网线及网口标识不清或其他原因导致用户在办公时将专网信创终端网线接入互联网,给网络安全与信息安全带来了一定的安全隐患;
2.私搭乱建无线热点
案例2的当事人是通过联接手机无线热点将信创终端联网的。国产化终端通过手机无线热点功能,利用手机移动网络联接互联网造成违规外联;
3.外部单位运维缺少必要管控
案例3的原因则是由于终端维修、安装软件、系统维护升级等运维工作经常是由外部单位的人员来完成的。或者不了解违规外联的规定或者为了方便工作,在运维过程中有意、无意的连接互联网;
4.违规外联行为缺少有效的约束手段
以上案例的背后,都反应出了违规外联行为缺少有效的约束手段。用户通过多种方式取得互联网访问条件,导致互联网与专网交叉使用频繁,专网的网络安全难以保障。同时这种违规外联操作的行为,使用管理制度难以约束,产生的不必要后果,只能通过基层检查的方式获取,无法实现“事前控制”。
对策建议
在保密法律法规不断深入人心的今天,违规外联这种低级错误仍然屡犯不止,实属不应该。笔者认为,有关单位需从提高保密意识与采取技术措施两方面加强管理。
对相关人员,加强案例教育和技术普及。当前,随着物联网、移动互联等不断发展,新设备、新技术、新概念频出,信息技术无处不在,应是所有人掌握的基本技能。因此,教育培训应注重技术培训,掌握原理才能举一反三。
在技术上部署支持信创终端的违规外联管理系统,通过此系统阻断信创终端以任何方式与外网的通讯,从根本上杜绝违规外联事件的发生。
关于内控王违规外联管控系统
内控王违规外联系统是针对国产化终端的一种低成本、易实施、好管理、高可靠的一体化解决方案,从以下几个方面精准把控违规外联风险,为单位专网安全保驾护航。
- 驱动过滤引擎让违规外联无处可逃
网卡驱动层面对所有数据包进行监控,发现并拦截通过任何方式与外网通讯的数据包,在数据包被发送之前进行阻断,杜绝违规外联事件的发生。
- 实时监测 审计追溯
一旦出现违规外联行为,在阻断外联数据包的同时终端将外联详情上报至服务器并记录日志,外联日志可查询、导出、打印,便于日后溯源。
- 明确的终端告警
在产生违规外联的终端桌面弹出告警提示。对无意外联的用户起到提醒作用,对有意外联的用户起到威慑效果。
- 灵活的模式选择
提供阻断、告警、告警并阻断等模式设置,可以根据需求给信创终端灵活的设置不同策略。
方案优势
- 内控王违规外联管控系统从终端层面实现“内外隔离”,可以发现并阻断用户以任何形式跨网访问至互联网行为,包括双网卡、单互联网、USB式网卡等媒介、连接WIFI热点、访问代理服务器等的违规外联现象,彻底杜绝“一机两用”情况。
- 实现了对专网和其他网络间的违规外联监测,并可实时记录违规外联行为,通过日志回溯等能力规范专网管理。
- 高兼容性。硬件支持cpu包括:海光、飞腾、龙芯、申威与兆芯芯片,系统支持银河麒麟、统信UOS等主流操作系统。
