浅析3G网络对内网的影响及解决对策

随着3G（3G是Third Generation的简称，指第三代移动通信。）时代的来临，无线宽带服务的逐渐普及，为企业的信息化运作提供了高度灵活自由的网络接入，让办公人员在摆脱时间和空间束缚的同时，随时随地进行顺畅地信息传递，工作更加轻松有效，整体运作更加协调有力。但3G无线宽带服务在带来方便、快捷、高效的同时，也成为威胁企业内网安全的潜在“杀手”。

一、3G网络给内网带来的安全威胁

目前，我国的3G无线上网网络是中国移动的TD-SCDMA、中国电信的CDMA2000、中国联通的WCDMA。其无线上网卡分别为TD无线上网卡、CDMA2000无线上网卡、WCDMA无线上网卡。无线上网卡相当于有线的调制解调器，它可以在拥有无线电话信号覆盖的任何地方，利用SIM卡或UIM来连接到互联网实现无线移动上网。某些安全意识不强的员工借助3G上网卡从内网联接互联网，进行非法操作，造成内网的所有安全防范设备及安全策略的部署形同虚设，严重的威胁到内网的安全。3G网络这种随机性、隐蔽性、动态性就像一颗不定时的移动炸弹，给内网维护带来的安全问题不容小觑。

笔者结合工作实际，对3G网络可能带来的安全威胁进行评估，具体安全隐患如下：

（一）浏览未经策略保护的网页可能造成恶意程序、流氓软件、间谍软件的加载，造成企业内部核心机密的泄露，这种行为是不可控的，其危害性不言而喻。

（二）未经授权，不加限制的上网行为（如聊天、玩游戏、P2P下载或在线视频等），不仅消耗了大量的网络资源，干扰了企业正常业务的运转，还降低了员工的工作效率。甚至还可能引入难以忽视的安全隐患。

（三）没有安全防护的PC端一旦联入互联网，容易成为木马、蠕虫类病毒滋生的温床，变成黑客实施内网攻击的跳板。常见的攻击有SYN FOOD的DDOS攻击、ARP欺骗攻击、僵尸网络等，情节严重甚至可能造成整个内部网络的瘫痪。

不法分子借助3G无线上网卡进行非法外联，这样基于终端设备协议配置的PC端可能成为安全的短板，无法阻止内部数据的泄密和丢失。

（四）虽然企业内部网络都配备了防病毒网关、防火墙等安全防护产品及相应的安全访问策略，但它们只对外网病毒、网络攻击等可以预见的安全威胁具有抵御作用，而对于容易被忽视的从内网爆发的病毒、攻击及伪装在合法规则包中的恶意木马及未知风险却毫无防护能力，其带来的后果往往是毁灭性的。

针对上述可能产生的安全隐患，笔者认为要确保企业内部信息安全，必须从制度和技术两个层面进行防范，通过严格的制度约束机制和行之有效的技术手段，采取预防与监测相结合、实时处理和事后追责相结合的策略，把可能面临的安全威胁弱最大限度的弱化。

二、规范引导3G网络进内网

尽管3G网络可能给内网信息安全带来信任危机，但我们不能一棒子打死新技术给我们行业开展现代烟草农业、卷烟营销网建、专卖市场管控带来的便利性。如何行之有效的规范引导3G网络进内网，畅想3G应用成果是我们加强行业信息化建设的重中之重。

（一）行政手段保驾3G网络进内网

为规范引导3G网络进内网，保护内部网络系统的安全、促进计算机网络的应用和发展、保证网络的正常运行和授权用户的使用权益，必须通过行政手段制定相应的安全管理制度（如计算机使用管理条例、互联网使用管理条例等）。配备网络管理员，负责相应的网络安全和信息安全工作，落实各项管理制度和技术规范，并定期对公司员工进行有关信息安全和网络安全教育。

（二）技术手段护航3G网络进内网

USB-3G(或 PCI-Express 3G)无线上网卡的原理是借助于无线电话信号进行联网。如果能从源头上有效控制，就可以防微杜薪，解决与内网相抵触的问题。目前，解决此问题的技术主要有：

1.屏蔽3G信号。

通过安装3G信号屏蔽器（或设置金属栅栏、无线信号干扰器）来屏蔽无线信号，但此方案需行政许可并拨专款，花费大。同时会干扰正常的手机通讯，其实用性不强。

2.屏蔽3G无线上网卡。

该方案从BIOS中屏蔽无线上网卡，由于BIOS中设置WLAN/LAN互相切换，导致其中一个网卡起作用，可以通过设置屏蔽掉。同时可以通过设置屏蔽PCI-Express 3G 的PCI插槽。

3.屏蔽USB接口,阻断USB -3G无线上网卡。

通过修改注册表的方式，来屏蔽USB接口。（找到注册表项： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUsbStor 在右窗格中，双击“Start”。在“数值数据”框中，键入 3，单击“十六进制”（如果尚未选中），然后单击“确定”。）但该方法在阻断USB -3G无线上网卡的同时，也阻止了内网资源的有效共享。其现实意义性不强。

4.接管网络权限，禁止拨号连接。

在Windows 2000/XP/2003 Server/vista操作系统中，有三个动态链接库文件Netcfgx.dll（网络配置的控件）、Netshell.dll（网络连接管理Shell壳程序）和Netman.dll（网络连接管理相关文件）与网络功能有关。只要将这三个DLL链接库文件注销，就能屏蔽“网络连接”窗口，也就能禁止通过“本地连接属性”对话框修改IP地址。

在“开始/运行”中输入“Cmd”，确认后打开CMD窗口，在其中分别执行“Regsvr32 Netcfgx.dll /u”、“Regsvr32 Netshell.dll/u”、“Regsvr32 Netman.dll /u”命令，就可以将上述控件从系统中卸载。

然后，进行MAC+IP捆绑方式。先用PING命令：PING TARGET，这样在我们主机上面的ARP表的缓存中就会留下目标地址和MAC映射的记录，然后通过ARP A命令来查询ARP表，这样就得到了指定主机的MAC地址。最后用ARP -S IP 网卡MAC地址，命令把网关的IP地址和它的MAC地址映射起来就可以了。

最后，在交换机上用MAC-IP-PORT的绑定方法，将MAC、IP和交换机端口进行绑定。

通过上述设置，将PC端的网络权限进行接管，可以有效的抑制内网员工通过USB-3G上网卡进行拨号连接，同时也杜绝非法盗用IP的现象。该方案现实可行性强，对网络维护有积极的促进作用。

5.实行内网接入认证，禁止多网卡接入。

设置内网为默认网络，即使拨上3G网络也只能进内网。将内网所有客户端计算机名全部注册到服务器上，进行域管理。同时对内网主机进行实时监控，监测内网主机的连接情况。一旦内网主机连入外网，便自动报警，便于网络管理员及时发现异常情况并进行处理。

在3G给生活带来全新享受的同时，我们要从制度和技术上加以有效引导，实现3G与内网协调共处，优势互补。借助3G成果摆脱传统OA局限于局域网的桎梏，随时随地移动办公、移动营销、移动专卖，着实有力的提高了办公和执法的效率。

哎呀，环球小编暂时没收集到3G无线上网卡相关的品牌排行，可以看看右侧信息，有很多与《浅析3G网络对内网的影响及解决对策》相关的资讯