浅析3G网络对内网的影响及解决对策

随着3G(3G是Third Generation的简称,指第三代移动通信。)时代的来临,无线宽带服务的逐渐普及,为企业的信息化运作提供了高度灵活自由的网络接入,让办公人员在摆脱时间和空间束缚的同时,随时随地进行顺畅地信息传递,工作更加轻松有效,整体运作更加协调有力。但3G无线宽带服务在带来方便、快捷、高效的同时,也成为威胁企业内网安全的潜在“杀手”。

一、3G网络给内网带来的安全威胁

目前,我国的3G无线上网网络是中国移动的TD-SCDMA、中国电信的CDMA2000、中国联通的WCDMA。其无线上网卡分别为TD无线上网卡、CDMA2000无线上网卡、WCDMA无线上网卡。无线上网卡相当于有线的调制解调器,它可以在拥有无线电话信号覆盖的任何地方,利用SIM卡或UIM来连接到互联网实现无线移动上网。某些安全意识不强的员工借助3G上网卡从内网联接互联网,进行非法操作,造成内网的所有安全防范设备及安全策略的部署形同虚设,严重的威胁到内网的安全。3G网络这种随机性、隐蔽性、动态性就像一颗不定时的移动炸弹,给内网维护带来的安全问题不容小觑。

笔者结合工作实际,对3G网络可能带来的安全威胁进行评估,具体安全隐患如下:

(一)浏览未经策略保护的网页可能造成恶意程序、流氓软件、间谍软件的加载,造成企业内部核心机密的泄露,这种行为是不可控的,其危害性不言而喻。

(二)未经授权,不加限制的上网行为(如聊天、玩游戏、P2P下载或在线视频等),不仅消耗了大量的网络资源,干扰了企业正常业务的运转,还降低了员工的工作效率。甚至还可能引入难以忽视的安全隐患。

(三)没有安全防护的PC端一旦联入互联网,容易成为木马、蠕虫类病毒滋生的温床,变成黑客实施内网攻击的跳板。常见的攻击有SYN FOOD的DDOS攻击、ARP欺骗攻击、僵尸网络等,情节严重甚至可能造成整个内部网络的瘫痪。

不法分子借助3G无线上网卡进行非法外联,这样基于终端设备协议配置的PC端可能成为安全的短板,无法阻止内部数据的泄密和丢失。

(四)虽然企业内部网络都配备了防病毒网关、防火墙等安全防护产品及相应的安全访问策略,但它们只对外网病毒、网络攻击等可以预见的安全威胁具有抵御作用,而对于容易被忽视的从内网爆发的病毒、攻击及伪装在合法规则包中的恶意木马及未知风险却毫无防护能力,其带来的后果往往是毁灭性的。

针对上述可能产生的安全隐患,笔者认为要确保企业内部信息安全,必须从制度和技术两个层面进行防范,通过严格的制度约束机制和行之有效的技术手段,采取预防与监测相结合、实时处理和事后追责相结合的策略,把可能面临的安全威胁弱最大限度的弱化。

二、规范引导3G网络进内网

尽管3G网络可能给内网信息安全带来信任危机,但我们不能一棒子打死新技术给我们行业开展现代烟草农业、卷烟营销网建、专卖市场管控带来的便利性。如何行之有效的规范引导3G网络进内网,畅想3G应用成果是我们加强行业信息化建设的重中之重。

(一)行政手段保驾3G网络进内网

为规范引导3G网络进内网,保护内部网络系统的安全、促进计算机网络的应用和发展、保证网络的正常运行和授权用户的使用权益,必须通过行政手段制定相应的安全管理制度(如计算机使用管理条例、互联网使用管理条例等)。配备网络管理员,负责相应的网络安全和信息安全工作,落实各项管理制度和技术规范,并定期对公司员工进行有关信息安全和网络安全教育。

(二)技术手段护航3G网络进内网

USB-3G(或 PCI-Express 3G)无线上网卡的原理是借助于无线电话信号进行联网。如果能从源头上有效控制,就可以防微杜薪,解决与内网相抵触的问题。目前,解决此问题的技术主要有:

1.屏蔽3G信号。

通过安装3G信号屏蔽器(或设置金属栅栏、无线信号干扰器)来屏蔽无线信号,但此方案需行政许可并拨专款,花费大。同时会干扰正常的手机通讯,其实用性不强。

2.屏蔽3G无线上网卡。

该方案从BIOS中屏蔽无线上网卡,由于BIOS中设置WLAN/LAN互相切换,导致其中一个网卡起作用,可以通过设置屏蔽掉。同时可以通过设置屏蔽PCI-Express 3G 的PCI插槽。

3.屏蔽USB接口,阻断USB -3G无线上网卡。

通过修改注册表的方式,来屏蔽USB接口。(找到注册表项: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUsbStor 在右窗格中,双击“Start”。在“数值数据”框中,键入 3,单击“十六进制”(如果尚未选中),然后单击“确定”。)但该方法在阻断USB -3G无线上网卡的同时,也阻止了内网资源的有效共享。其现实意义性不强。

4.接管网络权限,禁止拨号连接。

在Windows 2000/XP/2003 Server/vista操作系统中,有三个动态链接库文件Netcfgx.dll(网络配置的控件)、Netshell.dll(网络连接管理Shell壳程序)和Netman.dll(网络连接管理相关文件)与网络功能有关。只要将这三个DLL链接库文件注销,就能屏蔽“网络连接”窗口,也就能禁止通过“本地连接属性”对话框修改IP地址。

在“开始/运行”中输入“Cmd”,确认后打开CMD窗口,在其中分别执行“Regsvr32 Netcfgx.dll /u”、“Regsvr32 Netshell.dll/u”、“Regsvr32 Netman.dll /u”命令,就可以将上述控件从系统中卸载。

然后,进行MAC+IP捆绑方式。先用PING命令:PING TARGET,这样在我们主机上面的ARP表的缓存中就会留下目标地址和MAC映射的记录,然后通过ARP A命令来查询ARP表,这样就得到了指定主机的MAC地址。最后用ARP -S IP 网卡MAC地址,命令把网关的IP地址和它的MAC地址映射起来就可以了。

最后,在交换机上用MAC-IP-PORT的绑定方法,将MAC、IP和交换机端口进行绑定。

通过上述设置,将PC端的网络权限进行接管,可以有效的抑制内网员工通过USB-3G上网卡进行拨号连接,同时也杜绝非法盗用IP的现象。该方案现实可行性强,对网络维护有积极的促进作用。

5.实行内网接入认证,禁止多网卡接入。

设置内网为默认网络,即使拨上3G网络也只能进内网。将内网所有客户端计算机名全部注册到服务器上,进行域管理。同时对内网主机进行实时监控,监测内网主机的连接情况。一旦内网主机连入外网,便自动报警,便于网络管理员及时发现异常情况并进行处理。

在3G给生活带来全新享受的同时,我们要从制度和技术上加以有效引导,实现3G与内网协调共处,优势互补。借助3G成果摆脱传统OA局限于局域网的桎梏,随时随地移动办公、移动营销、移动专卖,着实有力的提高了办公和执法的效率。

哎呀,环球小编暂时没收集到3G无线上网卡相关的品牌排行,可以看看右侧信息,有很多与《浅析3G网络对内网的影响及解决对策》相关的资讯