網絡間諜案調查中，有關部門從政府某部門的內部電腦網絡發(fā)行了非法外聯的情況，并在許多內部電腦中檢測出了不少特制的木馬程序，檢測結果表明，所有入侵木馬的連接都指向境外的特定間諜機構。

　　案例

　　某政府網絡包括涉密網、內部網(業(yè)務網)、外部網(公開網站等)三個部分。其中，政務內網、外網承載著財政、審計等功能�？偟墓�(jié)點有數千臺，院內網段有40 多個。而涉密網中存儲著政務中的各種機要文件，如全省的核心經濟數據、省重要干部信息、中央下發(fā)的涉密工作文件等。

　　出于安全的考慮，該政務網絡中的涉密網與政務內、外網進行了物理隔離。兩個網絡的數據不能相互通信。而涉密網也與因特網隔離，保證了涉密數據不外泄。

　　然而在日常工作中，涉密網中的的某個職員想在因特網上進行數據查詢，考慮到去政務外網中查詢不太方便，該職員就在涉密網終端上通過連接政務外網網線的方式，訪問了因特網。該職員在因特網上瀏覽網頁時，訪問了某個論壇，而這個論壇正好被黑客攻擊了，網頁上被掛了利用“網頁木馬生成器”打包進去的灰鴿子變種病毒。黑客利用“自動下載程序技術”，讓該職員在未察覺的情況下被種植了木馬。

　　“灰鴿子”是反彈型木馬，能繞過天網等大多數防火墻的攔截，中木馬后，一旦中毒的電腦連接到Internet，遠程攻擊者就可以完全控制中馬后的電腦，可以輕易地復制、刪除、上傳、下載被控電腦上的文件。機密文件在該涉密網職員毫不知情的情況下被竊取，最終造成了重大泄密事件。

　　隨著政府上網工程的不斷開展，我國計算機及網絡泄密案件也在逐年增加。據報道，在上年的一起網絡間諜案調查中，有關部門從政府某部門的內部電腦網絡發(fā)行了非法外聯的情況，并在許多內部電腦中檢測出了不少特制的木馬程序，檢測結果表明，所有入侵木馬的連接都指向境外的特定間諜機構。專業(yè)部門進行檢測時，測出的木馬很多還正在下載、外傳資料，專業(yè)人員當即采取措施，制止了進一步的危害。

　　非法外聯的威脅

　　現在，一些安全性較高的內部網絡(如政府部門、軍事部門的網絡)常常與外部網絡(如Internet)實施物理隔離，以確保其網絡的安全性。物理隔離確保了外部網絡和內部網絡之間不存在任何可能的物理鏈路，因此這種安全手段對付外部攻擊是十分高效的。但是，假如這樣的網絡中有某個主機通過撥號或其他形式私自接入外部網絡，這種物理隔離就會被破壞。黑客極可能通過該主機進入內部網絡，進而通過嗅探、破解密碼等方式對內部的關鍵信息或敏感數據進行收集，或以該主機為“跳板”對內部網絡的其他主機進行攻擊。

　　一直以來，安全防御理念局限在常規(guī)的網關級別( 防火墻等)、網絡邊界( 漏洞掃描、安全審計、防病毒、IDS) 等方面的防御，重要的安全設施大致集中于機房、網絡入口處，在這些設備的嚴密監(jiān)控下，來自網絡外部的安全威脅大大減小。于是，來自網絡內部的安全威脅成了多數網絡管理人員真正需要面對的問題。

　　在實施物理隔離的工作中，工作量最大的部分來自客戶端的安全管理部分，對網絡的正常運轉威脅最大的也同樣是客戶端安全管理。我們知道，內網的客戶端構成了內網90%以上的組成，當之無愧地成為內網安全的重中之重。實踐證明，單純的物理隔離手段還不足以完全將內部網絡與外部網絡隔離開來，對內網客戶端機器使用、管理還存在眾多安全隱患，特別是非法外聯的隱患。

　　“非法外聯”主要表現為內網客戶端機器內外網線交叉錯接;內網客戶端機器使用撥號、無線網卡、雙網卡等方式接入外網;方便攜帶的筆記本電腦按入內部網絡使用，事后又接入外部網絡使用。這些人為故意或無意的疏忽，在內網與外網間開出了新的連接通道，外部的黑客攻擊或者病毒就能夠繞過內、外網之間的防護屏障，順利侵入非法外聯的計算機，盜竊內網的敏感信息和機密數據，甚至利用該機作為跳板，攻擊、傳染內網的重要服務器，導致整個內網工作癱瘓。

　　木馬入侵靜悄悄

　　內部終端非法外聯到外部網絡后，常碰到各種安全威脅，如病毒、木馬、非授權訪問、數據竊聽、暴力破解等。其中木馬是目前威脅比較廣、威脅后果比較嚴重、常導致涉密信息泄漏的一種威脅。

　　木馬具有高度的隱蔽性，入侵后用戶毫無察覺，這也給黑客盜取用戶私人信息提供了“有利”條件。黑客往往通過郵件、IM工具以及網頁掛馬等方式將木馬植入用戶電腦，進而獲得用戶電腦的控制權，對用戶電腦內的私人信息為所欲為。

　　調查表明，木馬入侵的重要的途徑是涉密網絡終端不遵守保密管理辦法，例如非法接入到外部網絡，移動介質和非移動介質混用等情況，境外間諜部門專門設計了各種各樣的木馬，并且搜集了我國大量保密單位工作人員的個人網址或在許多站點網頁掛馬，只要這些人當中有非法連接到互聯網，擺渡木馬就有可能悄悄植入內部網絡終端，立刻感染內網，把保密資料傳輸到攻擊者指定地方，從而實現保密信息的竊取。

　　可以看出，在保密內網的安全建設中，非法外聯和木馬攻擊是兩大突出問題，需要在安全措施上提供完成全面的應對手段。

　　安全需求分析

　　泄密事件是由一系列事件構成的，包括內網非法外聯、木馬通過外部網絡進入內部網絡、木馬感染主機、泄密、發(fā)現泄密事件等階段。要防止泄密事件的發(fā)生，就要阻斷木馬傳播、主動預防、檢測和清除木馬，形成一個縱深的防御體系。

　　1、對邊界防護的需求

　　木馬都是由外部網絡傳入內部網絡的，必須在邊界處進行有效的控制，防止惡意行為的發(fā)生，實現拒敵于國門之外。針對邊界防護，需要考慮加強防護的方面有：

　　1)內網和外網間的邊界防護

　　在條件允許的情況下，實現保密內網與外網的物理隔離，從而將攻擊者、攻擊途徑徹底隔斷。即使在部分單位，內網、外網有交換數據的需求，也必須部署安全隔離和信息交換系統(tǒng)，從而實現單向信息交換，即只允許外網數據傳輸到內網，禁止內網信息流出到外網。

　　2)對核心內部服務器的邊界防護

　　內網中常包括核心服務器群、內網終端兩大部分，核心服務器保存著大部分保密信息。為避免內網終端非法外聯、竊密者非法獲取核心服務器上的保密數據，就要實現核心服務器與內網終端間的邊界防護。感染木馬時，核心服務器的邊界安全網關能夠阻止終端的越權訪問，并檢查是否含有木馬，然后進行清除。

　　但在實現網關的封堵、查殺木馬的同時，要防止對系統(tǒng)帶寬資源的嚴重損耗。

　　3)防止不安全的在線非法外聯

　　內網與外網的連接點必須做到可管、可控，必須有效監(jiān)控內網是否存在違規(guī)撥號行為、無線上網行為、搭線上網行為，避免內用戶采取私自撥號等方式的訪問互聯網而造成的安全風險。

　　4)防止離線非法外聯或不安全的接入行為

　　要限制終端設備，如PC機、筆記本，直接接入并訪問內網區(qū)域，對于不符合安全條件的設備(比如沒有安裝防病毒軟件，操作系統(tǒng)沒有及時升級補丁，沒有獲得合法分配的IP地址或離線外聯過)，則必須禁止進入。

　　2、對主機安全的需求

　　內網終端非法外聯后木馬入侵的目的都是最終的主機。主機的防護必須全面、及時。

　　1)木馬病毒的查殺和檢測能力的需求

　　由于內部網絡中的計算機數量很多，要確保網絡中所有計算機都安裝防木馬軟件，并實施實施統(tǒng)一的防木馬策略。防木馬軟件至少應能掃描內存、驅動器、目錄、文件和Lotus Notes數據庫和郵件系統(tǒng);具備良好的檢測和清除能力;支持網絡遠程自動安裝功能和自動升級功能。

　　2)系統(tǒng)自身安全防護的需求

　　木馬在主機中的隱藏、執(zhí)行和攻擊最后都是體現在操作系統(tǒng)層面。要確保操作系統(tǒng)及時升級，防止漏洞被木馬和病毒利用。在及時升級操作系統(tǒng)的基礎上，要實時對計算機進程、訪問端口的進行監(jiān)控，以及時發(fā)現異常與木馬;同時要有注冊表防護手段，保障木馬不能修改系統(tǒng)信息，從而使木馬不能隱藏與自動運行。

　　3)移動存儲介質控制的需求

　　木馬傳播重要一個渠道是移動存儲介質。主機系統(tǒng)要在移動介質接入系統(tǒng)時立即截獲該事件，然后根據策略或者拒絕接入，或者立即對移動介質進行掃描，以阻斷移動介質病毒的自動運行與傳播。

　　4)安全審計的需求

　　系統(tǒng)的日志記錄了系統(tǒng)的工作情況，也反應了工作人員的操作行為。審計關鍵主機的訪問行為，可判斷內部人員是否有違規(guī)的行為;同時，還可以實時發(fā)現木馬的行蹤，并找出深層次的安全威脅。

　　3、對安全管理的需求

　　為防止泄密事件的發(fā)生，除了加強安全技術的管控外，也要加強安全管理。首先，要引入第三方安全服務，定期查看關鍵計算機設備的狀態(tài)，以發(fā)現與解決計算機中的木馬;其次，要建立應急響應機制，使得在泄密事件發(fā)生后，能及時定位與隔離涉及的主機，使安全事件能夠追查到責任人。

　　對應措施設計

　　如何滿足這些安全需求?下面是對應的措施。

　　1、邊界防護的措施

　　1)防火墻技術

　　防火墻是實現內網終端與內網核心服務器隔離的基本手段。防火墻通常位于不同網絡或網絡安全域間的唯一連接處，根據組織的業(yè)務特點、管理制度所制定的安全策略，運用包過濾、代理網關、NAT轉換、IP+MAC地址綁定等技術，實現對出入核心服務器網絡的信息流進行全面的控制(允許通過、拒絕通過、過程監(jiān)測)，控制類別包括IP地址、TCP/UDP端口、協議、服務、連接狀態(tài)等網絡信息的各個方面，從而實現對不良網站的封堵。

　　但是，傳統(tǒng)單一的防火墻無法有效對抗更隱蔽的攻擊行為，如欺騙攻擊、木馬攻擊等，因此，有必要在這些邊界采取防護能力更強的技術。

　　2)防病毒網關技術

　　隨著網絡的飛速發(fā)展，單機版的防病毒軟件面臨著集中管理、智能更新等多方面的問題，無法對木馬、蠕蟲、郵件性病毒進行全網整體的防護，已經不能滿足復雜應用環(huán)境，所以，構建整體病毒防護體系已成為必然。

標簽： 安全 防火墻 防火墻技術 服務器 互聯網 機房 漏洞 數據庫 通信 網絡 網絡安全 政務

版權申明：本站文章部分自網絡，如有侵權，請聯系：west999com@outlook.com
特別注意：本站所有轉載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯系。