電力信息網終端違規外聯的管理研究

2014-07-29 22:35:37

大云網　點擊量：評論 (0)

【摘要】違規外聯事件是信息安全考核的一項重要指標。揚州供電公司通過研究，實現了違規外聯行為發生后即時報警以及實時切斷連接，并能有效的取證；對近兩年的違規外聯事件進行認真分析，找出產生違規外聯的主

【摘要】違規外聯事件是信息安全考核的一項重要指標。揚州供電公司通過研究，實現了違規外聯行為發生后即時報警以及實時切斷連接，并能有效的取證；對近兩年的違規外聯事件進行認真分析，找出產生違規外聯的主要原因，提出明確的管理要求，終端違規外聯管理取得一定的成效。

【關鍵詞】信息終端違規管理

引言

最近國網公司對《國家電網公司安全事故調查規程》進行了修訂，首次將信息安全納入了大安全考核體系，江蘇省電力公司在2012年安全工作會上提出的公司安全目標中更是明確要求“不發生五級信息系統事件”，這對信息安全工作提出了更新、更高的要求。

違規外聯事件作為信息安全工作中的一項重要指標一直都備受各單位重視。近兩年揚州供電公司先后幾次發生信息內網設備違規外聯事件，被上級部門通報，嚴重影響公司信息安全同業對標排名。

違規外聯行為發生后，如何有效的即時報警以及實時切斷非法計算機同內網的連接？在日常工作中發現有部分違規外聯終端的使用人對違規行為矢口抵賴，在檢查人員到場前已經通過常規渠道將外網訪問記錄清除，這給取證工作帶來了不便。產生違規外聯的主要原因？怎樣才能有效的減少電力信息網違規外聯？

1 違規外聯行為監控及阻止

揚州供電公司通過推廣桌面終端管理系統，在終端接入管理中，對違規外聯行為監控、阻止。系統提供實時監控的強大功能，即時報警以及實時切斷非法計算機同內網的連接。

1.1 桌面終端管理系統工作原理

桌面終端管理系統包括服務器端及客戶端。終端執行客戶端注冊程序后，根據要求填入指定信息，系統自動將所添加信息和系統自動采集獲得的設備信息發送到服務器保存。該客戶端駐留程序駐留在系統內部，以服務的方式實時運行，一旦某個客戶端非法接入互聯網或設備違規，客戶端就向服務器發送報警數據，同時終端實時切斷連接。

1.2 客戶端安裝

運行桌面終端管理系統客戶端安裝程序出現如圖1所示的界面，點擊”注冊”彈出如圖2所示的界面，完成注冊信息再次點擊“注冊”直至彈出注冊成功提示即完成客戶端安裝。

圖2

1.3 未注冊設備提示安裝

對于未安裝桌面終端注冊程序的客戶端，在其訪問公司網站時通過在如下代碼：

中引用quest.asp（服務端程序自帶）頁面實現彈出注冊提示。若用戶不進行注冊安裝，則在30分鐘內會被啟用的阻斷策略自動切斷同內網的連接。

1.4 桌面終端系統應用效果

在終端接入管理中，對違規外聯行為監控、阻止非法連接提供實時監控的強大功能，即時報警以及實時切斷非法計算機同內網的連接。圖3 違規外聯

2010年12月某供電所員工把智能手機連接到信息內網終端充電導致同時連接內外網，桌面終端管理系統立即阻止了違規外聯，上網起始時間、上網結束時間一樣的，并自動違規外聯報警，如圖3所示。

2 違規外聯調查取證方法

發生違規外聯后常規檢查方法是到涉案計算機上查詢瀏覽器訪問記錄、查看瀏覽器臨時文件等。如果計算機使用人在檢查前已經刪除了相關記錄那么檢查人員將很難找到有力證據。

2.1 違規外聯常規調查取證方法

發生違規外聯后常規處理方法是查詢瀏覽器的臨時文件、Cookie和歷史記錄，也可以查詢瀏覽器地址欄的訪問記錄，一般情況都能發現一些線索。

圖4 地址欄訪問記錄查看

2.2 違規外聯隱藏文件調查取證方法

如果被檢查人在檢查之前已經將上述痕跡都清除那么常規方法將很難奏效，經過查詢相關資料得知windows系統中還有一個隱藏的“index.dat”文件，它記錄著通過瀏覽器訪問過的網址、訪問時間、歷史記錄等信息。實際上它是一個保存了cookie、歷史記錄和IE臨時文件中所記錄內容的副本，即使你在IE中把這些內容都清除了，但index.dat文件中的記錄還是存在。

系統為了保密是不會直接看到這些地方的index.dat文件的，就算在文件夾選項中設置成了讓系統顯示所有文件和不隱藏受操作系統保護的文件，也同樣看不到也搜索不到它們。但進入IE的臨時文件夾“Temporary Internet Files”，在窗口地址欄的“Temporary Internet Files”后面手工加上“Content.IE5”，便能發現該文件夾下面居然還有別的文件和文件夾，index.dat文件就是其中之一。

圖5 index.dat文件查看

找到index.dat文件后通過常規渠道是無法查看該文件的，使用文本編輯器打開該文件只能看到一堆亂碼：

圖7 index.dat文件查看軟件

經過上述方法一般都能順利的取得需要的證據。

2.3 違規外聯調查取證效果

常規方法容易使用也容易被利用，通過查看隱藏的index.dat文件能夠在常規記錄被清除的情況下也能取得有力證據。

3 違規外聯事件分析

對近兩年的違規外聯事件進行了認真分析，找出產生違規外聯的主要原因，并提出明確的管理要求：

3.1 2.28客戶服務中心違規外聯事件分析

因打印地稅發票需要，公司財務部要求在文昌營業廳必須安裝外網計算機，用于連接外網實時開具業務發票。經向公司相關部門申請， 2月28日，由網通公司來文昌營業廳安裝外網。9：27分由網通人員進行連接測試時，誤將外網網線插入內網計算機，迅速發現后立即拔出，前后時間約幾秒鐘，但已造成內網計算機外聯事實，通報的數據顯示從9：27開始，至9：27結束。

分析：誤將外網網線插入內網計算機導致違規外聯

3.2 4.19配電工程公司違規外聯事件分析

4月19日下午四時左右，配電工程一社會化用工人員，因上網站尋找資料，借來上網卡用公司材供部電腦上網，電腦主人發現后及時制止，但已發生外聯行為。

分析：內網計算機用上網卡用上外網導致違規外聯

3.3 11.25寶應供電公司違規外聯事件分析

11月25日上午11時左右，寶應供電公司營銷稽查班某員工用手機上百度查找“關于廉潔文化工作總結”撰寫格式，在檢查時手機電源不足發出信號，便急忙從柜子里拿出USB接口充電器進行充電，當時手機正在連接外網，第一次插入接口時，在查詢資料時將連接線，兩三分鐘后無意中拉斷開，后又一次連接上繼續充電，在百度外網上繼續查找，造成了“違規外聯”的現象的發生。

分析：智能手機使用內網計算機USB口充電導致違規外

3.4 8.16范水供電所違規外聯事件分析

8月12日下午，范水供電所從寶應供電公司領到計算機1臺。恐因該主機在運輸過程中受劇烈震動等原因，主機無法正常使用。8月16日下午16點10分左右，抄表班某員工就將該主機拿到電腦維修部進行重新安裝，被維修人員誤接在外網達5分鐘左右的時間，當發現此情況后就立即退出了外網，但未進行上報處理就將計算機直接連接了內網，發生了違規外連的情況

分析：內網計算機送外維修接入外網，回來后不經檢查直接聯入內網導致違規外聯

3.5 分析近兩年公司違規外聯事件，產生的主要原因：

①使用移動無線上網卡將個人內網計算機連接互聯網

②智能手機充電會引發內網計算機產生違規外聯記錄

③內網計算機誤插外網網線會引發違規外聯記錄

④內網計算機送外維修，回來后不經檢查直接聯入內網。

3.6 提出明確的管理要求：

①嚴格執行內、外網分開制度，信息內網、外網計算機不得交叉混用。

②禁止任何形式的違規外聯，內網設備嚴禁采用任何手段和方式接入外網。

③加強公用信息設備（筆記本電腦）的管理。內網注冊過的筆記本上不得再接入外網。

④任何部門、單位不得私自開通互聯網，特殊需求，必須經公司審批后報信通公司備案。

⑤開通上網功能的手機不得使用內網計算機USB口充電。

4 小結

為認真貫徹國網公司關于“安全年”活動的部署，切實加強電力信息網管理，杜絕終端違規外聯屢禁不止的現象，揚州供電公司通過推廣桌面終端管理系統，實現了違規外聯行為發生后即時報警以及實時切斷連接；提出了一整套的違規外聯的調查取證方法，對違規行為矢口抵賴并將外網訪問記錄清除的從嚴處理；并對近兩年的違規外聯事件進行了認真分析，找出產生違規外聯的主要原因，提出明確的管理要求并通過開會、安全培訓、網站飄窗等進行宣傳，終端違規外聯管理取得一定的效果。