财政信息系统安全就是要确保财政信息系统持续、稳定、可靠运行,同时确保财政信息的安全、可用,防止核心数据外泄、对外服务中断及由此引发的系统运行事故。因此,财政部门的内部网络均明确禁止私接无线WIFI设备。但由于财政系统用户的网络规模很大,少则几百、上千台终端,多则上万台甚至更多,大部分是典型的城域网或广域网结构,很多大的网络都是由若干相对独立的子网组成,若没有采取自上而下的统一监管,各子网的管理水平参差不齐,尤其在网络边界完整监管能力普遍缺位的情况下,木桶的短板效应就会显现,监管水平最弱的子网就会对整个网络带来安全风险。加之市面上推出的各种无线WIFI设备因价优且使用方便等因素已经迅速普及,一些财政系统工作人员由于对信息安全的认知和防护意识有限,更希望以无线WIFI的方式接入内部网络来快速获取必要资源。财政部门掌握着国家重要的财政收支数据,如果大量私接WIFI共享设备相当于将财政系统内网公开暴露在外,风险极高,必须加以防范。
对于这种私接WIFI对数据应用进行高风险访问而造成的安全漏洞究竟应该如何防范?目前来看,很多内部网络定级为等保2级或更高安全等级,针对违规内联会专门部署终端桌面管理系统,并对网络接入实行准入控制,要么基于交换机端口和MAC绑定实行准入控制,要么基于802.1X进行准入控制,但仍无法完全杜绝违规内联和私接WIFI问题。因为,首先终端桌面管理系统的部署率影响监管效果,要使部署率达到100%是很难的,总有部分终端通过各种方式逃避监管,还有部分终端因用户原因直接列入例外管理,并不部署桌面管理系统,而这些终端就可能是私接WIFI设备的潜在源头;其次,针对违规内联的控制,很多用户以为通过控制USB接口就能控制随身WIFI设备的接入,实际上很多终端桌面管理系统管控USB接口只对USB存储设备进行监管,对随身WIFI这种非存储设备的接入并不做管理;第三,无线AP等路由设备可以通过MAC克隆+NAT轻易突破交换机端口绑定的限制,基于802.1X的接入控制虽更为严格,但部署和维护都是一个难题。第四,网络的现有技术管理措施是否到位、是否可有效控制网络私接行为,仍然需要其他专业的检测手段进行配合和评估。因此,笔者认为应采用网络边界完整性检查与管理系统,采用网络扫描技术进行私接WIFI设备的快速检测、定位与阻断控制,既可以作为私接WIFI的专项检查工具,也可以作为常态化的管理工具。
此种方式可快速检测网络内部是否存在私自接入的无线AP,包括无线AP的SSID;可快速检测网络内部是否存在私自接入的随身WIFI设备,包括随身WIFI的类型;可快速检测网络内部是否存在BYOD设备(以NAT方式私自接入的路由设备及智能手机等)。同时,通过IP-MAC-Switch Port的快速定位技术,提供基于拓扑的网络可视化定位,直接定位到私接设备所连接的交换机端口,通过关闭交换机端口实现对违规私接行为的阻断控制。
此外,按照“三分技术,七分管理”的原则,建议加强管理制度建设,并以技术手段支撑、保障和促进管理制度落实执行和完善;建议加强网络准入控制管理,加强对接入终端的身份认证和控制,若条件成熟,可以全面实施基于802.1X的准入控制管理,有效控制网络私接;根据实际安全管理需要,加强终端桌面管理,强化桌面系统管控,有效防止非法外联、随身WIFI私接行为;采用必要的技术手段加强对违规私接WIFI设备进行定时检查和巡检,及时发现网络边界监管漏洞并进行修复。
责任编辑 刘永恒