信创终端违规外联案例分析及防控措施
在2022年经历俄乌冲突、美国半导体制裁等一系列事件催化,IT基础设施的科技自立自强重要程度空前提升,而透视“20大”报告对于相关领域的表述,以“完善科技创新体系,坚持创新在我国现代化建设全局中的核心地位,健全新型举国体制,强化国家战略科技力量,提升国家创新体系整体效能,形成具有全球竞争力的开放创新生态”为典型代表,我们认为国产化已经成为信息技术产业发展的主旋律。
现在全国各级政府、公检法、金融、电力及各企事业等单位已经逐步将windows电脑替换成信创终端。为最大程度上保障网络安全,这些单位都建有物理隔离专用内部通信网络,虽然在保密法第48条规定了12种严重的违规行为,其中第8种“将涉密计算机、涉密存储设备接入互联网及其他公共信息网络的”,对违规外联行为予以了明确的禁止,但是专网内的信创终端规外联行为仍屡屡发生,其背后的原因引人深思。
典型案例
案例1:2021年9月,有关部门在工作中发现,某市属单位工作人员刘某使用的专网笔记本电脑发生违规外联。经查,刘某因工作需要,将涉密笔记本带入单位会议室使用,由于会议室中网线标识不清,着急开会的刘某误将专网笔记本接入互联网,触发违规外联报警。案件发生后,刘某及有关责任人员均被严肃处理。
案例2:2021年4月,有关部门在工作中发现,某县级单位1台专网终端多次发生违规外联。经查,该终端为办公室工作人员赵某使用,赵某在使用过程中,某软件多次发生故障,遂按照该软件的提示,连接手机热点,多次尝试连接互联网进行自动修复,造成违规行为发生。案件发生后,赵某及有关责任人员均被通报批评。
案例3:2022年3月,有关部门在工作中发现,某省直单位1台专网终端多次发生违规外联。经查,王某的信创终端因机械故障需要维修,外部的运维工程师李某将这台终端带到外部维修,修好后造成多次违规连接互联网。案件发生后,王某和李某均被处理。
原因分析
1.跨网访问现象严重
案例1中暴露的问题在于专网与互联网设备混用。由于工作需要,很多办公室都同时安装了专用网与互联网。两种网络接口同处一室,极易发生混乱,因网线及网口标识不清或其他原因导致用户在办公时将专网信创终端网线接入互联网,给网络安全与信息安全带来了一定的安全隐患;
2.私搭乱建无线热点
案例2的当事人是通过联接手机无线热点将信创终端联网的。国产化终端通过手机无线热点功能,利用手机移动网络联接互联网造成违规外联;
3.外部单位运维缺少必要管控
案例3的原因则是由于终端维修、安装软件、系统维护升级等运维工作经常是由外部单位的人员来完成的。或者不了解违规外联的规定或者为了方便工作,在运维过程中有意、无意的连接互联网;
4.违规外联行为缺少有效的约束手段
以上案例的背后,都反应出了违规外联行为缺少有效的约束手段。用户通过多种方式取得互联网访问条件,导致互联网与专网交叉使用频繁,专网的网络安全难以保障。同时这种违规外联操作的行为,使用管理制度难以约束,产生的不必要后果,只能通过基层检查的方式获取,无法实现“事前控制”。
对策建议
在保密法律法规不断深入人心的今天,违规外联这种低级错误仍然屡犯不止,实属不应该。笔者认为,有关单位需从提高保密意识与采取技术措施两方面加强管理。
对相关人员,加强案例教育和技术普及。当前,随着物联网、移动互联等不断发展,新设备、新技术、新概念频出,信息技术无处不在,应是所有人掌握的基本技能。因此,教育培训应注重技术培训,掌握原理才能举一反三。
在技术上部署支持信创终端的违规外联管理系统,通过此系统阻断信创终端以任何方式与外网的通讯,从根本上杜绝违规外联事件的发生。
关于内控王违规外联管控系统
内控王违规外联系统是针对国产化终端的一种低成本、易实施、好管理、高可靠的一体化解决方案,从以下几个方面精准把控违规外联风险,为单位专网安全保驾护航。
- 驱动过滤引擎让违规外联无处可逃
网卡驱动层面对所有数据包进行监控,发现并拦截通过任何方式与外网通讯的数据包,在数据包被发送之前进行阻断,杜绝违规外联事件的发生。
- 实时监测 审计追溯
一旦出现违规外联行为,在阻断外联数据包的同时终端将外联详情上报至服务器并记录日志,外联日志可查询、导出、打印,便于日后溯源。
- 明确的终端告警
在产生违规外联的终端桌面弹出告警提示。对无意外联的用户起到提醒作用,对有意外联的用户起到威慑效果。
- 灵活的模式选择
提供阻断、告警、告警并阻断等模式设置,可以根据需求给信创终端灵活的设置不同策略。
方案优势
- 内控王违规外联管控系统从终端层面实现“内外隔离”,可以发现并阻断用户以任何形式跨网访问至互联网行为,包括双网卡、单互联网、USB式网卡等媒介、连接WIFI热点、访问代理服务器等的违规外联现象,彻底杜绝“一机两用”情况。
- 实现了对专网和其他网络间的违规外联监测,并可实时记录违规外联行为,通过日志回溯等能力规范专网管理。
- 高兼容性。硬件支持cpu包括:海光、飞腾、龙芯、申威与兆芯芯片,系统支持银河麒麟、统信UOS等主流操作系统。
信创终端违规外联案例分析及防控措施相关推荐
- 税务计算机违规外联整改报告,县地税局开展税务业务专网及其终端“违规外联”检查...
近日,太和县地税局在全系统范围内开展税务专网及其终端"违规外联"检查工作.税务业务专网计算机直接连通互联网或通过其他网络访问互联网,专网设备未经安全防护及策略设置直接连通其他网络, ...
- 信创终端之Linux桌面系统:原生桌面 vs 定制魔改
一.Linux查看版本 查看Linux内核版本命令 1.cat /proc/version 2.uname -a 查看Linux发行版本 lsb_release -a cat /etc/issue 查 ...
- 国产信创终端IP地址冲突解决一例
1. 故障及其解决 故障现象:最新版本的内网信创终端(龙芯A40000+麒麟V10),root账户设置IP地址后能够正常上网了,但是在安全账户进行安全软件注册总是不成功,提示IP地址冲突,而实际上IP ...
- 审计溯源 | IP-guard终端操作审计,助力高效防控泄密风险
信息安全风险无孔不入,今年先后落地的<数据安全法>.<关键信息基础设施安全保护条例>.<个人信息保护法>再次强调了企业加强风险检测管理的重要性,以及要求企业建立健全 ...
- 信创终端访问群晖NAS服务器
局域网中经常需要共享文件,简单的就是在终端上开启文件共享(Windows7或者国产Linux桌面都支持),如果需要功能和可用性更好的可以配备专门的共享服务器,对于家庭用户.工作组和小型局域网最方便的是 ...
- 国资委79号文解读:国央企OA办公系统信创替代落地实践与标杆案例
2022年9月底,国资委下发了重要的国资发79号文件,全面指导并要求国央企落实信息化系统的信创国产化改造.其中,明确要求所有中央企业在2022年11月底前将安可替代总体方案报送国资委:自2023年1月 ...
- 自下而上,行业信创从能力替换到技术创新高速发展 | 爱分析报告
报告编委 张扬 爱分析联合创始人&首席分析师 孙文瑞 爱分析高级分析师 王命航 爱分析分析师 外部专家(按姓氏拼音排序) 李银松 拓尔思 产品总监 徐海涛 鼎茂科技 CoE 金融行业解决方案 ...
- 央企79号文助推信创,江民科技持续占据终端安全市场第一梯队
近期,党的二十大报告多次提到国家安全的主基调,重申发展信创产业,实现关键领域信息技术自主可控的重要性.9月底国家下发79号文,全面指导国资信创产业发展和进度,新增了2023年量化要求,要求全面完成综合 ...
- 麒麟信安携手河南IT联盟召开 《麒麟信安信创应用解决方案》线上分享会
在党政及金融.交通.能源等重要行业的信创应用步伐逐步加快的背景下,各行业均面临着不同程度的国产化落地难题.11月29日下午,麒麟信安与河南省信息协会IT产业分会(河南IT联盟)携手召开<麒麟信安 ...
- “一云多芯、三V一体” 麒麟信安云融合虚拟化方案助力信创轻松上云
"上云是常态,不上云是例外".国际上IT架构已从"计算机+网络"向"云+端"演进,云计算技术的蓬勃发展为整个IT行业带来了巨大变革.据专家观 ...
最新文章
- [Js-Spring]Spring与IoC(控制反转,Inversion of Control)
- oracle怎么小数中多余的零,关于小数中0的处理
- jQuery 使用 jQuery UI 部件工厂编写带状态的插件(翻译)
- DynamicList
- python怎么更新数据库_在Python的Django框架中更新数据库数据的方法
- [转载]另眼看待变量间多重共线性
- getElementByClassName()不兼容的解决办法
- incompatible jvm_JVM垃圾回收回收算法详解
- springboot + mybatis-plus + quaryz 数据库持久化任务调度
- DSO(Direct Sparse Odometry)
- 罗马音平假名中文可复制_200个中文常见姓氏的日语发音,再也不愁起日文名字啦!...
- 吉他效果器插件-IK Multimedia AmpliTube 5 MAX 5.0.3 macOS
- js截取视频第一帧_JS截取视频第一帧
- 《 极秀校园行Windows XP SP3装机专版 》 光盘介绍
- iOS安装包ipa文件安装及模拟app版本更新
- 量化涌现:信息论方法识别多变量数据中的因果涌现
- 如何批量修改云服务器BCC实例名称
- 前端学习之HTML入门
- FPGA入门学习记录(1)----自动售货机(VM_FSM)
- react+vite+ts关于路径别名的配置