【關(guān)鍵詞】信息 終端 違規(guī) 管理

 

引言

 

最近國(guó)網(wǎng)公司對(duì)《國(guó)家電網(wǎng)公司安全事故調(diào)查規(guī)程》進(jìn)行了修訂，首次將信息安全納入了大安全考核體系，江蘇省電力公司在2012年安全工作會(huì)上提出的公司安全目標(biāo)中更是明確要求“不發(fā)生五級(jí)信息系統(tǒng)事件”，這對(duì)信息安全工作提出了更新、更高的要求。

 

違規(guī)外聯(lián)事件作為信息安全工作中的一項(xiàng)重要指標(biāo)一直都備受各單位重視。近兩年揚(yáng)州供電公司先后幾次發(fā)生信息內(nèi)網(wǎng)設(shè)備違規(guī)外聯(lián)事件，被上級(jí)部門通報(bào)，嚴(yán)重影響公司信息安全同業(yè)對(duì)標(biāo)排名。

 

違規(guī)外聯(lián)行為發(fā)生后，如何有效的即時(shí)報(bào)警以及實(shí)時(shí)切斷非法計(jì)算機(jī)同內(nèi)網(wǎng)的連接？在日常工作中發(fā)現(xiàn)有部分違規(guī)外聯(lián)終端的使用人對(duì)違規(guī)行為矢口抵賴，在檢查人員到場(chǎng)前已經(jīng)通過(guò)常規(guī)渠道將外網(wǎng)訪問(wèn)記錄清除，這給取證工作帶來(lái)了不便。產(chǎn)生違規(guī)外聯(lián)的主要原因？怎樣才能有效的減少電力信息網(wǎng)違規(guī)外聯(lián)？

 

1 違規(guī)外聯(lián)行為監(jiān)控及阻止

 

揚(yáng)州供電公司通過(guò)推廣桌面終端管理系統(tǒng)， 在終端接入管理中，對(duì)違規(guī)外聯(lián)行為監(jiān)控、阻止。系統(tǒng)提供實(shí)時(shí)監(jiān)控的強(qiáng)大功能，即時(shí)報(bào)警以及實(shí)時(shí)切斷非法計(jì)算機(jī)同內(nèi)網(wǎng)的連接。

 

1.1 桌面終端管理系統(tǒng)工作原理

 

桌面終端管理系統(tǒng)包括服務(wù)器端及客戶端。終端執(zhí)行客戶端注冊(cè)程序后，根據(jù)要求填入指定信息，系統(tǒng)自動(dòng)將所添加信息和系統(tǒng)自動(dòng)采集獲得的設(shè)備信息發(fā)送到服務(wù)器保存。該客戶端駐留程序駐留在系統(tǒng)內(nèi)部，以服務(wù)的方式實(shí)時(shí)運(yùn)行，一旦某個(gè)客戶端非法接入互聯(lián)網(wǎng)或設(shè)備違規(guī)，客戶端就向服務(wù)器發(fā)送報(bào)警數(shù)據(jù)，同時(shí)終端實(shí)時(shí)切斷連接。

 

1.2 客戶端安裝

 

運(yùn)行桌面終端管理系統(tǒng)客戶端安裝程序出現(xiàn)如圖1所示的界面，點(diǎn)擊”注冊(cè)”彈出如圖2所示的界面，完成注冊(cè)信息再次點(diǎn)擊“注冊(cè)”直至彈出注冊(cè)成功提示即完成客戶端安裝。

 

圖2

 

1.3 未注冊(cè)設(shè)備提示安裝

 

對(duì)于未安裝桌面終端注冊(cè)程序的客戶端，在其訪問(wèn)公司網(wǎng)站時(shí)通過(guò)在如下代碼：

 

中引用quest.asp（服務(wù)端程序自帶）頁(yè)面實(shí)現(xiàn)彈出注冊(cè)提示。若用戶不進(jìn)行注冊(cè)安裝，則在30分鐘內(nèi)會(huì)被啟用的阻斷策略自動(dòng)切斷同內(nèi)網(wǎng)的連接。

 

1.4 桌面終端系統(tǒng)應(yīng)用效果

 

在終端接入管理中，對(duì)違規(guī)外聯(lián)行為監(jiān)控、阻止非法連接提供實(shí)時(shí)監(jiān)控的強(qiáng)大功能，即時(shí)報(bào)警以及實(shí)時(shí)切斷非法計(jì)算機(jī)同內(nèi)網(wǎng)的連接。圖3 違規(guī)外聯(lián)

 

2010年12月某供電所員工把智能手機(jī)連接到信息內(nèi)網(wǎng)終端充電導(dǎo)致同時(shí)連接內(nèi)外網(wǎng)， 桌面終端管理系統(tǒng)立即阻止了違規(guī)外聯(lián)，上網(wǎng)起始時(shí)間、上網(wǎng)結(jié)束時(shí)間一樣的，并自動(dòng)違規(guī)外聯(lián)報(bào)警，如圖3所示。

 

2 違規(guī)外聯(lián)調(diào)查取證方法

 

發(fā)生違規(guī)外聯(lián)后常規(guī)檢查方法是到涉案計(jì)算機(jī)上查詢?yōu)g覽器訪問(wèn)記錄、查看瀏覽器臨時(shí)文件等。如果計(jì)算機(jī)使用人在檢查前已經(jīng)刪除了相關(guān)記錄那么檢查人員將很難找到有力證據(jù)。

 

2.1 違規(guī)外聯(lián)常規(guī)調(diào)查取證方法

 

發(fā)生違規(guī)外聯(lián)后常規(guī)處理方法是查詢?yōu)g覽器的臨時(shí)文件、Cookie和歷史記錄，也可以查詢?yōu)g覽器地址欄的訪問(wèn)記錄，一般情況都能發(fā)現(xiàn)一些線索。

 

圖4 地址欄訪問(wèn)記錄查看

 

2.2 違規(guī)外聯(lián)隱藏文件調(diào)查取證方法

 

如果被檢查人在檢查之前已經(jīng)將上述痕跡都清除那么常規(guī)方法將很難奏效，經(jīng)過(guò)查詢相關(guān)資料得知windows系統(tǒng)中還有一個(gè)隱藏的“index.dat”文件，它記錄著通過(guò)瀏覽器訪問(wèn)過(guò)的網(wǎng)址、訪問(wèn)時(shí)間、歷史記錄等信息。實(shí)際上它是一個(gè)保存了cookie、歷史記錄和IE臨時(shí)文件中所記錄內(nèi)容的副本 ，即使你在IE中把這些內(nèi)容都清除了，但index.dat文件中的記錄還是存在。

 

系統(tǒng)為了保密是不會(huì)直接看到這些地方的index.dat文件的，就算在文件夾選項(xiàng)中設(shè)置成了讓系統(tǒng)顯示所有文件和不隱藏受操作系統(tǒng)保護(hù)的文件，也同樣看不到也搜索不到它們。但進(jìn)入IE的臨時(shí)文件夾“Temporary Internet Files”，在窗口地址欄的“Temporary Internet Files”后面手工加上“Content.IE5”，便能發(fā)現(xiàn)該文件夾下面居然還有別的文件和文件夾，index.dat文件就是其中之一。

 

圖5 index.dat文件查看

 

找到index.dat文件后通過(guò)常規(guī)渠道是無(wú)法查看該文件的，使用文本編輯器打開(kāi)該文件只能看到一堆亂碼：

 

圖7 index.dat文件查看軟件

 

經(jīng)過(guò)上述方法一般都能順利的取得需要的證據(jù)。

 

2.3 違規(guī)外聯(lián)調(diào)查取證效果

 

常規(guī)方法容易使用也容易被利用，通過(guò)查看隱藏的index.dat文件能夠在常規(guī)記錄被清除的情況下也能取得有力證據(jù)。

 

3 違規(guī)外聯(lián)事件分析

 

對(duì)近兩年的違規(guī)外聯(lián)事件進(jìn)行了認(rèn)真分析，找出產(chǎn)生違規(guī)外聯(lián)的主要原因，并提出明確的管理要求：

 

3.1 2.28客戶服務(wù)中心違規(guī)外聯(lián)事件分析

 

因打印地稅發(fā)票需要，公司財(cái)務(wù)部要求在文昌營(yíng)業(yè)廳必須安裝外網(wǎng)計(jì)算機(jī)，用于連接外網(wǎng)實(shí)時(shí)開(kāi)具業(yè)務(wù)發(fā)票。經(jīng)向公司相關(guān)部門申請(qǐng)， 2月28日，由網(wǎng)通公司來(lái)文昌營(yíng)業(yè)廳安裝外網(wǎng)。9：27分由網(wǎng)通人員進(jìn)行連接測(cè)試時(shí)，誤將外網(wǎng)網(wǎng)線插入內(nèi)網(wǎng)計(jì)算機(jī)，迅速發(fā)現(xiàn)后立即拔出，前后時(shí)間約幾秒鐘，但已造成內(nèi)網(wǎng)計(jì)算機(jī)外聯(lián)事實(shí)，通報(bào)的數(shù)據(jù)顯示從9：27開(kāi)始，至9：27結(jié)束。

 

分析： 誤將外網(wǎng)網(wǎng)線插入內(nèi)網(wǎng)計(jì)算機(jī)導(dǎo)致違規(guī)外聯(lián)

 

3.2 4.19配電工程公司違規(guī)外聯(lián)事件分析

 

4月19日下午四時(shí)左右，配電工程一社會(huì)化用工人員，因上網(wǎng)站尋找資料，借來(lái)上網(wǎng)卡用公司材供部電腦上網(wǎng)，電腦主人發(fā)現(xiàn)后及時(shí)制止，但已發(fā)生外聯(lián)行為。

 

分析： 內(nèi)網(wǎng)計(jì)算機(jī)用上網(wǎng)卡用上外網(wǎng)導(dǎo)致違規(guī)外聯(lián)

 

3.3 11.25寶應(yīng)供電公司違規(guī)外聯(lián)事件分析

 

11月25日上午11時(shí)左右，寶應(yīng)供電公司營(yíng)銷稽查班某員工用手機(jī)上百度查找“關(guān)于廉潔文化工作總結(jié)”撰寫格式，在檢查時(shí)手機(jī)電源不足發(fā)出信號(hào)，便急忙從柜子里拿出USB接口充電器進(jìn)行充電，當(dāng)時(shí)手機(jī)正在連接外網(wǎng)，第一次插入接口時(shí)，在查詢資料時(shí)將連接線，兩三分鐘后無(wú)意中拉斷開(kāi)，后又一次連接上繼續(xù)充電，在百度外網(wǎng)上繼續(xù)查找， 造成了“違規(guī)外聯(lián)”的現(xiàn)象的發(fā)生。

 

分析： 智能手機(jī)使用內(nèi)網(wǎng)計(jì)算機(jī)USB口充電導(dǎo)致違規(guī)外

 

3.4 8.16范水供電所違規(guī)外聯(lián)事件分析

 

8月12日下午，范水供電所從寶應(yīng)供電公司領(lǐng)到計(jì)算機(jī)1臺(tái)。恐因該主機(jī)在運(yùn)輸過(guò)程中受劇烈震動(dòng)等原因，主機(jī)無(wú)法正常使用。8月16日下午16點(diǎn)10分左右，抄表班某員工就將該主機(jī)拿到電腦維修部進(jìn)行重新安裝， 被維修人員誤接在外網(wǎng)達(dá)5分鐘左右的時(shí)間，當(dāng)發(fā)現(xiàn)此情況后就立即退出了外網(wǎng)，但未進(jìn)行上報(bào)處理就將計(jì)算機(jī)直接連接了內(nèi)網(wǎng)，發(fā)生了違規(guī)外連的情況

 

分析： 內(nèi)網(wǎng)計(jì)算機(jī)送外維修接入外網(wǎng)， 回來(lái)后不經(jīng)檢查直接聯(lián)入內(nèi)網(wǎng)導(dǎo)致違規(guī)外聯(lián)

 

3.5 分析近兩年公司違規(guī)外聯(lián)事件，產(chǎn)生的主要原因：

 

①使用移動(dòng)無(wú)線上網(wǎng)卡將個(gè)人內(nèi)網(wǎng)計(jì)算機(jī)連接互聯(lián)網(wǎng)

 

②智能手機(jī)充電會(huì)引發(fā)內(nèi)網(wǎng)計(jì)算機(jī)產(chǎn)生違規(guī)外聯(lián)記錄

 

③內(nèi)網(wǎng)計(jì)算機(jī)誤插外網(wǎng)網(wǎng)線會(huì)引發(fā)違規(guī)外聯(lián)記錄

 

④內(nèi)網(wǎng)計(jì)算機(jī)送外維修，回來(lái)后不經(jīng)檢查直接聯(lián)入內(nèi)網(wǎng)。

 

3.6 提出明確的管理要求：

 

①嚴(yán)格執(zhí)行內(nèi)、外網(wǎng)分開(kāi)制度，信息內(nèi)網(wǎng)、外網(wǎng)計(jì)算機(jī)不得交叉混用。

 

②禁止任何形式的違規(guī)外聯(lián)，內(nèi)網(wǎng)設(shè)備嚴(yán)禁采用任何手段和方式接入外網(wǎng)。

 

③加強(qiáng)公用信息設(shè)備（筆記本電腦）的管理。內(nèi)網(wǎng)注冊(cè)過(guò)的筆記本上不得再接入外網(wǎng)。

 

④任何部門、單位不得私自開(kāi)通互聯(lián)網(wǎng)，特殊需求，必須經(jīng)公司審批后報(bào)信通公司備案。

 

⑤開(kāi)通上網(wǎng)功能的手機(jī)不得使用內(nèi)網(wǎng)計(jì)算機(jī)USB口充電。

 

4 小結(jié)

 

為認(rèn)真貫徹國(guó)網(wǎng)公司關(guān)于“安全年”活動(dòng)的部署，切實(shí)加強(qiáng)電力信息網(wǎng)管理，杜絕終端違規(guī)外聯(lián)屢禁不止的現(xiàn)象，揚(yáng)州供電公司通過(guò)推廣桌面終端管理系統(tǒng)， 實(shí)現(xiàn)了違規(guī)外聯(lián)行為發(fā)生后即時(shí)報(bào)警以及實(shí)時(shí)切斷連接；提出了一整套的違規(guī)外聯(lián)的調(diào)查取證方法，對(duì)違規(guī)行為矢口抵賴并將外網(wǎng)訪問(wèn)記錄清除的從嚴(yán)處理；并對(duì)近兩年的違規(guī)外聯(lián)事件進(jìn)行了認(rèn)真分析，找出產(chǎn)生違規(guī)外聯(lián)的主要原因，提出明確的管理要求并通過(guò)開(kāi)會(huì)、安全培訓(xùn)、網(wǎng)站飄窗等進(jìn)行宣傳， 終端違規(guī)外聯(lián)管理取得一定的效果。