摘 要：人民銀行作為我國的中央銀行對內部計算機網(wǎng)絡具有極高的保密性。內網(wǎng)非法外聯(lián)可能導致計算機系統(tǒng)的癱瘓和重要數(shù)據(jù)信息的泄密從而危及整個系統(tǒng)的安全。人民銀行在全轄范圍推廣實施內聯(lián)網(wǎng)非法外聯(lián)監(jiān)控系統(tǒng)以來，各級領導高度重視，系統(tǒng)內對全體員工進行了宣傳教育，對所有撥號上網(wǎng)的設備進行了清查，并對同時跨接內聯(lián)網(wǎng)、國際互聯(lián)網(wǎng)的非法外聯(lián)行為進行了實時監(jiān)控，有效阻斷了內網(wǎng)信息外泄、外網(wǎng)入侵內網(wǎng)的渠道。保證了辦公網(wǎng)、業(yè)務網(wǎng)、互聯(lián)網(wǎng)之間兩兩隔離，提高了人民銀行網(wǎng)絡的安全管理水平。

關鍵詞：人民銀行；非法外聯(lián)；危害；措施

中圖分類號：TP39

計算機網(wǎng)絡技術在央行業(yè)務系統(tǒng)及辦公自動化領域中的廣泛應用，極大地提高了工作效率，提升了服務水平。但隨之也帶來不少風險和隱患，尤其是近幾年來重要業(yè)務系統(tǒng)實現(xiàn)數(shù)據(jù)集中，對網(wǎng)絡的依賴程度越來越高，網(wǎng)絡的安全成為不可忽視的問題。人民銀行作為我國的中央銀行對內部計算機網(wǎng)絡具有極高的保密性。為保障人民銀行系統(tǒng)網(wǎng)絡安全，在人民銀行兩網(wǎng)部署了非法外聯(lián)監(jiān)控管理系統(tǒng)，實現(xiàn)了網(wǎng)絡非法外聯(lián)提前阻斷并報警提示，保證了辦公網(wǎng)、業(yè)務網(wǎng)、互聯(lián)網(wǎng)之間兩兩隔離，提高了人民銀行兩網(wǎng)的安全管理水平。

1 非法外聯(lián)的危害

計算機網(wǎng)絡系統(tǒng)的安全威脅主要有以下幾種類型：黑客入侵、來自內部的攻擊、計算機病毒侵入、秘密信息的泄露和修改網(wǎng)絡的關鍵數(shù)據(jù)等方面，這些都可以計算機信息泄密或網(wǎng)絡癱瘓。黑客攻擊等威脅主要原因在于網(wǎng)絡系統(tǒng)內部的安全的脆弱性；其次就是人員思想麻痹，沒有正視黑客入侵造成的嚴重后果，在網(wǎng)絡安全上投入的人力、物力和財力不足，沒有采取有效地安全策略和安全機制；另外缺乏先進的網(wǎng)絡安全技術、工具、手段和產品，也會導致網(wǎng)絡安全防范能力差。

隨著人民銀行系統(tǒng)對網(wǎng)絡安全的逐步重視，人民銀行在全國范圍內針對網(wǎng)絡安全分別部署了防火墻、入侵檢測、漏洞掃描和防病毒等系統(tǒng)，在一定程度上保證了網(wǎng)絡的安全，但是如果內部網(wǎng)絡計算機通過MODEM或其他方式（撥號、IE代理、網(wǎng)卡代理等）連接到互聯(lián)網(wǎng)，黑客就可以通過建立連接進行攻擊這臺機器，一旦這臺機器被黑客控制，就可以通過這臺機器訪問內網(wǎng)，竊取機密資料，甚至使整個網(wǎng)絡癱瘓。由于這種方式直接通過撥號鏈路進行，而不經(jīng)過防火墻，所以防火墻對于這種方式的攻擊無能為力；另外也可以通過這臺機器訪問其他機器，完全可以通過合法身份進行訪問，這種情況IDS也不會發(fā)現(xiàn)并報警；并且通過撥號上網(wǎng)是一種比較隱蔽、黑容易被人們忽略的行為。事實證明，這種行為存在較大的安全隱患。因此人民銀行在全國范圍部署非法外聯(lián)監(jiān)控管理系統(tǒng)，提前阻斷網(wǎng)絡非法外聯(lián)，有效的保證了人民銀行系統(tǒng)網(wǎng)絡安全。

2 非法外聯(lián)形成的原因

2.1 安全意識淡薄，存在僥幸心理。部分人員對計算機內網(wǎng)外聯(lián)的危害性沒有引起足夠重視和認真對待，對信息安全保密工作缺乏認識，對其安全控制、有效監(jiān)管認識不足，安全意識淡薄。

2.2 網(wǎng)絡安全防護技術不完善，沒有形成立體的技術防護體系。網(wǎng)絡系統(tǒng)存在內在的安全的脆弱性，在網(wǎng)絡安全上所投入的人力、物力和財力不足，沒有采取有效的安全策略和安全機制，缺乏先進的安全技術、工具、手段和產品，導致網(wǎng)絡的安全防范能力差。

2.3 技術力量薄弱，安全防護知識匱乏。有些部門技術力量相對薄弱，業(yè)務素質和技術水平很難適應當前網(wǎng)絡發(fā)展要求，新知識和新技術掌握不多，隨意安裝不正規(guī)軟件，不按規(guī)定正確設置計算機ip地址和計算機名，不安裝防病毒軟件和非法外聯(lián)客戶端，隨意接入外部設備，如用計算機對3G手機或上網(wǎng)手機進行充電，筆記本接入內網(wǎng)等。

2.4 制度落實不嚴，責任分工不清，重應用，輕管理。許多安全管理措施不能落實到部門和個人，不能成為制約應用部門員工的行為準則，保密安全管理制度不完善，存在制度老化和新制度制訂不及時的現(xiàn)象，制度與管理脫節(jié)。

3 非法外聯(lián)應對措施

3.1 加強領導，落實安全責任，樹立正確的信息安全觀念。要充分認識防止非法外聯(lián)工作的必要性、重要性和緊迫性，努力學習計算機安全知識，貫徹落實計算機安全管理方面的規(guī)章制度，認真部署計算機安全防范工作，提高全行預防計算機犯罪能力，實行一把手負責制，把信息安全工作放在重要位置，按照“誰主管誰負責，誰運營誰負責”的原則，逐級落實信息安全責任制，樹立信息安全和保密安全觀念。

3.2 開展專題教育，增強安全意識。一方面對全行職工進行必要定期培訓和實踐鍛煉，增強計算機信息安全防范意識和法制觀念，盡快提高員工的業(yè)務素質、技術水平和防范能力，另一方面要加強計算機信息安全隊伍建設，采取靈活多樣的培訓、教育方式，積極推廣新知識、新技術、新方法，是每個工作人員掌握更多、更新的計算機安全技術和相關法律知識，普及理論知識、提高專業(yè)技能，使其充分了解內網(wǎng)外聯(lián)的危害，增強安全意識。

3.3 嚴格計算機入網(wǎng)管理，做好計算機殺毒、補丁分發(fā)、非法外聯(lián)客戶端的安裝升級工作。一是建立健全計算機入網(wǎng)管理制度，嚴格實行準入制度，計算機入網(wǎng)前必須清理各種非內網(wǎng)使用的軟件，規(guī)范計算機IP地址及計算機名，正確安裝客戶端軟件，嚴格規(guī)范計算機操作，杜絕在內網(wǎng)計算機上使用任何監(jiān)控、跟蹤軟件，防止不當操作產生監(jiān)控結果，杜絕筆記本接入內部網(wǎng)絡。二是在內網(wǎng)所有客戶端上安裝殺毒軟件（Symantec），并定期檢查病毒代碼的升級；三是利用LANDESK系統(tǒng)對客戶端及時統(tǒng)一掃描漏洞、分發(fā)補丁，并利用此系統(tǒng)對客戶端安全情況進行實時監(jiān)控，計算機管理員創(chuàng)建各種查詢自動發(fā)現(xiàn)客戶端安裝的軟件，對與業(yè)務工作無關的游戲、盜版軟件能做到及時發(fā)現(xiàn)、及時控制；四是利用IDS系統(tǒng)對安全事件源進行遠程阻斷，發(fā)現(xiàn)客戶端存在病毒、遭到攻擊等安全問題后，應立即對安全事件源進行實時、快速、精確定位，并遠程阻斷隔離；五是利用非法外聯(lián)監(jiān)控管理系統(tǒng)進行客戶端違規(guī)聯(lián)網(wǎng)檢測。內部網(wǎng)絡用戶如果通過雙網(wǎng)卡、無線網(wǎng)卡等設備進行在線違規(guī)上網(wǎng)，該系統(tǒng)按照不同的策略進行警告或分布式阻斷。

3.4 組織對計算機信息安全檢查，拆除外聯(lián)硬件，卸載驅動軟件。組織對聯(lián)網(wǎng)用機全面核查，嚴禁內聯(lián)網(wǎng)計算機一機雙卡；嚴禁在內聯(lián)網(wǎng)計算機安裝調制解、無線網(wǎng)卡（各種上網(wǎng)卡，包括3G上網(wǎng)卡）；嚴禁在內聯(lián)網(wǎng)計算機安裝與辦公無關的軟件；嚴禁在內聯(lián)網(wǎng)計算機進行網(wǎng)卡網(wǎng)關代理、IE代理設置；嚴禁原來上過互聯(lián)網(wǎng)的計算機，直接接入內聯(lián)網(wǎng)；嚴禁用手機連接內聯(lián)網(wǎng)計算機進行上網(wǎng)；拆除其多余網(wǎng)卡，正確安裝總行統(tǒng)一推廣的防病毒軟件及其他安全防護產品；杜絕央行內網(wǎng)外聯(lián)。

3.5 建立健全有效的內控制度，落實安全責任。建立健全有效的內控制度是防范計算機網(wǎng)絡安全風險的前提。一是制定和完善各項規(guī)章制度、標準和規(guī)范，為每臺計算機建立完備的檔案，確定惟一責任人，落實安全責任；二是對現(xiàn)有的計算機內控制度進行全面清理，進一步健全完善計算機內控制度，內控制度要涵蓋計算機的操作規(guī)程、硬件維護、軟件開發(fā)、網(wǎng)絡運行、數(shù)據(jù)備份、安全管理等各個方面。三是加大對非法外聯(lián)危害性的宣傳力度，增強全員安全保密意識。

3.6 定期監(jiān)測非法外聯(lián)監(jiān)控系統(tǒng)運行情況，發(fā)現(xiàn)報警信息及時解決。一是對內聯(lián)網(wǎng)計算機非法外聯(lián)客戶端安裝情況進行檢查，不留死角，不留安全漏洞，確保非法外鏈系統(tǒng)能對內聯(lián)網(wǎng)中所有計算機進行實時、全面的非法外聯(lián)監(jiān)控管理。二是定期查看監(jiān)控主機運行情況，及時發(fā)現(xiàn)并嚴格控制全行內聯(lián)網(wǎng)中所有計算機設備的各種非法外聯(lián)行為，實現(xiàn)全行網(wǎng)絡的統(tǒng)一管理，并能夠有效的進行控制管理，達到杜絕非法外聯(lián)行為的目的。

參考文獻：

[1]孫娜.非法外聯(lián)檢測技術的研究與實現(xiàn)[D].北京郵電大學，2006，2.

[2]牟春華.防止非法外聯(lián)，確保信息安全[J].華南金融電腦，2006，3.

作者簡介：崔景杰（1968.3.17-）男，籍貫：陜西宜川，工作單位：中國人民銀行石家莊中心支行，職務：主任科員，職稱：工程師，學歷：大學本科，研究方向：計算機信息安全。

作者單位：中國人民銀行石家莊中心支行科技處，石家莊 050000