網(wǎng)絡間諜案調(diào)查中，有關部門從政府某部門的內(nèi)部電腦網(wǎng)絡發(fā)行了非法外聯(lián)的情況，并在許多內(nèi)部電腦中檢測出了不少特制的木馬程序，檢測結果表明，所有入侵木馬的連接都指向境外的特定間諜機構。

　　案例

　　某政府網(wǎng)絡包括涉密網(wǎng)、內(nèi)部網(wǎng)(業(yè)務網(wǎng))、外部網(wǎng)(公開網(wǎng)站等)三個部分。其中，政務內(nèi)網(wǎng)、外網(wǎng)承載著財政、審計等功能�？偟墓�(jié)點有數(shù)千臺，院內(nèi)網(wǎng)段有40 多個。而涉密網(wǎng)中存儲著政務中的各種機要文件，如全省的核心經(jīng)濟數(shù)據(jù)、省重要干部信息、中央下發(fā)的涉密工作文件等。

　　出于安全的考慮，該政務網(wǎng)絡中的涉密網(wǎng)與政務內(nèi)、外網(wǎng)進行了物理隔離。兩個網(wǎng)絡的數(shù)據(jù)不能相互通信。而涉密網(wǎng)也與因特網(wǎng)隔離，保證了涉密數(shù)據(jù)不外泄。

　　然而在日常工作中，涉密網(wǎng)中的的某個職員想在因特網(wǎng)上進行數(shù)據(jù)查詢，考慮到去政務外網(wǎng)中查詢不太方便，該職員就在涉密網(wǎng)終端上通過連接政務外網(wǎng)網(wǎng)線的方式，訪問了因特網(wǎng)。該職員在因特網(wǎng)上瀏覽網(wǎng)頁時，訪問了某個論壇，而這個論壇正好被黑客攻擊了，網(wǎng)頁上被掛了利用“網(wǎng)頁木馬生成器”打包進去的灰鴿子變種病毒。黑客利用“自動下載程序技術”，讓該職員在未察覺的情況下被種植了木馬。

　　“灰鴿子”是反彈型木馬，能繞過天網(wǎng)等大多數(shù)防火墻的攔截，中木馬后，一旦中毒的電腦連接到Internet，遠程攻擊者就可以完全控制中馬后的電腦，可以輕易地復制、刪除、上傳、下載被控電腦上的文件。機密文件在該涉密網(wǎng)職員毫不知情的情況下被竊取，最終造成了重大泄密事件。

　　隨著政府上網(wǎng)工程的不斷開展，我國計算機及網(wǎng)絡泄密案件也在逐年增加。據(jù)報道，在上年的一起網(wǎng)絡間諜案調(diào)查中，有關部門從政府某部門的內(nèi)部電腦網(wǎng)絡發(fā)行了非法外聯(lián)的情況，并在許多內(nèi)部電腦中檢測出了不少特制的木馬程序，檢測結果表明，所有入侵木馬的連接都指向境外的特定間諜機構。專業(yè)部門進行檢測時，測出的木馬很多還正在下載、外傳資料，專業(yè)人員當即采取措施，制止了進一步的危害。

　　非法外聯(lián)的威脅

　　現(xiàn)在，一些安全性較高的內(nèi)部網(wǎng)絡(如政府部門、軍事部門的網(wǎng)絡)常常與外部網(wǎng)絡(如Internet)實施物理隔離，以確保其網(wǎng)絡的安全性。物理隔離確保了外部網(wǎng)絡和內(nèi)部網(wǎng)絡之間不存在任何可能的物理鏈路，因此這種安全手段對付外部攻擊是十分高效的。但是，假如這樣的網(wǎng)絡中有某個主機通過撥號或其他形式私自接入外部網(wǎng)絡，這種物理隔離就會被破壞。黑客極可能通過該主機進入內(nèi)部網(wǎng)絡，進而通過嗅探、破解密碼等方式對內(nèi)部的關鍵信息或敏感數(shù)據(jù)進行收集，或以該主機為“跳板”對內(nèi)部網(wǎng)絡的其他主機進行攻擊。

　　一直以來，安全防御理念局限在常規(guī)的網(wǎng)關級別( 防火墻等)、網(wǎng)絡邊界( 漏洞掃描、安全審計、防病毒、IDS) 等方面的防御，重要的安全設施大致集中于機房、網(wǎng)絡入口處，在這些設備的嚴密監(jiān)控下，來自網(wǎng)絡外部的安全威脅大大減小。于是，來自網(wǎng)絡內(nèi)部的安全威脅成了多數(shù)網(wǎng)絡管理人員真正需要面對的問題。

　　在實施物理隔離的工作中，工作量最大的部分來自客戶端的安全管理部分，對網(wǎng)絡的正常運轉威脅最大的也同樣是客戶端安全管理。我們知道，內(nèi)網(wǎng)的客戶端構成了內(nèi)網(wǎng)90%以上的組成，當之無愧地成為內(nèi)網(wǎng)安全的重中之重。實踐證明，單純的物理隔離手段還不足以完全將內(nèi)部網(wǎng)絡與外部網(wǎng)絡隔離開來，對內(nèi)網(wǎng)客戶端機器使用、管理還存在眾多安全隱患，特別是非法外聯(lián)的隱患。

　　“非法外聯(lián)”主要表現(xiàn)為內(nèi)網(wǎng)客戶端機器內(nèi)外網(wǎng)線交叉錯接;內(nèi)網(wǎng)客戶端機器使用撥號、無線網(wǎng)卡、雙網(wǎng)卡等方式接入外網(wǎng);方便攜帶的筆記本電腦按入內(nèi)部網(wǎng)絡使用，事后又接入外部網(wǎng)絡使用。這些人為故意或無意的疏忽，在內(nèi)網(wǎng)與外網(wǎng)間開出了新的連接通道，外部的黑客攻擊或者病毒就能夠繞過內(nèi)、外網(wǎng)之間的防護屏障，順利侵入非法外聯(lián)的計算機，盜竊內(nèi)網(wǎng)的敏感信息和機密數(shù)據(jù)，甚至利用該機作為跳板，攻擊、傳染內(nèi)網(wǎng)的重要服務器，導致整個內(nèi)網(wǎng)工作癱瘓。

　　木馬入侵靜悄悄

　　內(nèi)部終端非法外聯(lián)到外部網(wǎng)絡后，常碰到各種安全威脅，如病毒、木馬、非授權訪問、數(shù)據(jù)竊聽、暴力破解等。其中木馬是目前威脅比較廣、威脅后果比較嚴重、常導致涉密信息泄漏的一種威脅。

　　木馬具有高度的隱蔽性，入侵后用戶毫無察覺，這也給黑客盜取用戶私人信息提供了“有利”條件。黑客往往通過郵件、IM工具以及網(wǎng)頁掛馬等方式將木馬植入用戶電腦，進而獲得用戶電腦的控制權，對用戶電腦內(nèi)的私人信息為所欲為。

　　調(diào)查表明，木馬入侵的重要的途徑是涉密網(wǎng)絡終端不遵守保密管理辦法，例如非法接入到外部網(wǎng)絡，移動介質(zhì)和非移動介質(zhì)混用等情況，境外間諜部門專門設計了各種各樣的木馬，并且搜集了我國大量保密單位工作人員的個人網(wǎng)址或在許多站點網(wǎng)頁掛馬，只要這些人當中有非法連接到互聯(lián)網(wǎng)，擺渡木馬就有可能悄悄植入內(nèi)部網(wǎng)絡終端，立刻感染內(nèi)網(wǎng)，把保密資料傳輸?shù)焦�擊者指定地方，從而實現(xiàn)保密信息的竊取。

　　可以看出，在保密內(nèi)網(wǎng)的安全建設中，非法外聯(lián)和木馬攻擊是兩大突出問題，需要在安全措施上提供完成全面的應對手段。

　　安全需求分析

　　泄密事件是由一系列事件構成的，包括內(nèi)網(wǎng)非法外聯(lián)、木馬通過外部網(wǎng)絡進入內(nèi)部網(wǎng)絡、木馬感染主機、泄密、發(fā)現(xiàn)泄密事件等階段。要防止泄密事件的發(fā)生，就要阻斷木馬傳播、主動預防、檢測和清除木馬，形成一個縱深的防御體系。

　　1、對邊界防護的需求

　　木馬都是由外部網(wǎng)絡傳入內(nèi)部網(wǎng)絡的，必須在邊界處進行有效的控制，防止惡意行為的發(fā)生，實現(xiàn)拒敵于國門之外。針對邊界防護，需要考慮加強防護的方面有：

　　1)內(nèi)網(wǎng)和外網(wǎng)間的邊界防護

　　在條件允許的情況下，實現(xiàn)保密內(nèi)網(wǎng)與外網(wǎng)的物理隔離，從而將攻擊者、攻擊途徑徹底隔斷。即使在部分單位，內(nèi)網(wǎng)、外網(wǎng)有交換數(shù)據(jù)的需求，也必須部署安全隔離和信息交換系統(tǒng)，從而實現(xiàn)單向信息交換，即只允許外網(wǎng)數(shù)據(jù)傳輸?shù)絻?nèi)網(wǎng)，禁止內(nèi)網(wǎng)信息流出到外網(wǎng)。

　　2)對核心內(nèi)部服務器的邊界防護

　　內(nèi)網(wǎng)中常包括核心服務器群、內(nèi)網(wǎng)終端兩大部分，核心服務器保存著大部分保密信息。為避免內(nèi)網(wǎng)終端非法外聯(lián)、竊密者非法獲取核心服務器上的保密數(shù)據(jù)，就要實現(xiàn)核心服務器與內(nèi)網(wǎng)終端間的邊界防護。感染木馬時，核心服務器的邊界安全網(wǎng)關能夠阻止終端的越權訪問，并檢查是否含有木馬，然后進行清除。

　　但在實現(xiàn)網(wǎng)關的封堵、查殺木馬的同時，要防止對系統(tǒng)帶寬資源的嚴重損耗。

　　3)防止不安全的在線非法外聯(lián)

　　內(nèi)網(wǎng)與外網(wǎng)的連接點必須做到可管、可控，必須有效監(jiān)控內(nèi)網(wǎng)是否存在違規(guī)撥號行為、無線上網(wǎng)行為、搭線上網(wǎng)行為，避免內(nèi)用戶采取私自撥號等方式的訪問互聯(lián)網(wǎng)而造成的安全風險。

　　4)防止離線非法外聯(lián)或不安全的接入行為

　　要限制終端設備，如PC機、筆記本，直接接入并訪問內(nèi)網(wǎng)區(qū)域，對于不符合安全條件的設備(比如沒有安裝防病毒軟件，操作系統(tǒng)沒有及時升級補丁，沒有獲得合法分配的IP地址或離線外聯(lián)過)，則必須禁止進入。

　　2、對主機安全的需求

　　內(nèi)網(wǎng)終端非法外聯(lián)后木馬入侵的目的都是最終的主機。主機的防護必須全面、及時。

　　1)木馬病毒的查殺和檢測能力的需求

　　由于內(nèi)部網(wǎng)絡中的計算機數(shù)量很多，要確保網(wǎng)絡中所有計算機都安裝防木馬軟件，并實施實施統(tǒng)一的防木馬策略。防木馬軟件至少應能掃描內(nèi)存、驅動器、目錄、文件和Lotus Notes數(shù)據(jù)庫和郵件系統(tǒng);具備良好的檢測和清除能力;支持網(wǎng)絡遠程自動安裝功能和自動升級功能。

　　2)系統(tǒng)自身安全防護的需求

　　木馬在主機中的隱藏、執(zhí)行和攻擊最后都是體現(xiàn)在操作系統(tǒng)層面。要確保操作系統(tǒng)及時升級，防止漏洞被木馬和病毒利用。在及時升級操作系統(tǒng)的基礎上，要實時對計算機進程、訪問端口的進行監(jiān)控，以及時發(fā)現(xiàn)異常與木馬;同時要有注冊表防護手段，保障木馬不能修改系統(tǒng)信息，從而使木馬不能隱藏與自動運行。

　　3)移動存儲介質(zhì)控制的需求

　　木馬傳播重要一個渠道是移動存儲介質(zhì)。主機系統(tǒng)要在移動介質(zhì)接入系統(tǒng)時立即截獲該事件，然后根據(jù)策略或者拒絕接入，或者立即對移動介質(zhì)進行掃描，以阻斷移動介質(zhì)病毒的自動運行與傳播。

　　4)安全審計的需求

　　系統(tǒng)的日志記錄了系統(tǒng)的工作情況，也反應了工作人員的操作行為。審計關鍵主機的訪問行為，可判斷內(nèi)部人員是否有違規(guī)的行為;同時，還可以實時發(fā)現(xiàn)木馬的行蹤，并找出深層次的安全威脅。

　　3、對安全管理的需求

　　為防止泄密事件的發(fā)生，除了加強安全技術的管控外，也要加強安全管理。首先，要引入第三方安全服務，定期查看關鍵計算機設備的狀態(tài)，以發(fā)現(xiàn)與解決計算機中的木馬;其次，要建立應急響應機制，使得在泄密事件發(fā)生后，能及時定位與隔離涉及的主機，使安全事件能夠追查到責任人。

　　對應措施設計

　　如何滿足這些安全需求?下面是對應的措施。

　　1、邊界防護的措施

　　1)防火墻技術

　　防火墻是實現(xiàn)內(nèi)網(wǎng)終端與內(nèi)網(wǎng)核心服務器隔離的基本手段。防火墻通常位于不同網(wǎng)絡或網(wǎng)絡安全域間的唯一連接處，根據(jù)組織的業(yè)務特點、管理制度所制定的安全策略，運用包過濾、代理網(wǎng)關、NAT轉換、IP+MAC地址綁定等技術，實現(xiàn)對出入核心服務器網(wǎng)絡的信息流進行全面的控制(允許通過、拒絕通過、過程監(jiān)測)，控制類別包括IP地址、TCP/UDP端口、協(xié)議、服務、連接狀態(tài)等網(wǎng)絡信息的各個方面，從而實現(xiàn)對不良網(wǎng)站的封堵。

　　但是，傳統(tǒng)單一的防火墻無法有效對抗更隱蔽的攻擊行為，如欺騙攻擊、木馬攻擊等，因此，有必要在這些邊界采取防護能力更強的技術。

　　2)防病毒網(wǎng)關技術

　　隨著網(wǎng)絡的飛速發(fā)展，單機版的防病毒軟件面臨著集中管理、智能更新等多方面的問題，無法對木馬、蠕蟲、郵件性病毒進行全網(wǎng)整體的防護，已經(jīng)不能滿足復雜應用環(huán)境，所以，構建整體病毒防護體系已成為必然。

標簽： 安全 防火墻 防火墻技術 服務器 互聯(lián)網(wǎng) 機房 漏洞 數(shù)據(jù)庫 通信 網(wǎng)絡 網(wǎng)絡安全 政務

版權申明：本站文章部分自網(wǎng)絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。