信息安全防護(hù)方案探索

郭栩琪

（中國石油大連石化公司信息管理部，遼寧 大連 116032）

[關(guān)鍵字] 信息安全；解決方案；安全基線；WSUS；端口控制；網(wǎng)絡(luò)隔離

1 前言

截至2017年12月，我國網(wǎng)民規(guī)模達(dá)7.72億，普及率達(dá)到55.8%，超過全球平均水平（51.7%）4.1個(gè)百分點(diǎn)，超過亞洲平均水平（46.7%）9.1個(gè)百分點(diǎn)。全年共計(jì)新增網(wǎng)民4074萬人，增長率為5.6%，我國網(wǎng)民規(guī)模繼續(xù)保持平穩(wěn)增長[1]。雖然我國網(wǎng)民數(shù)量龐大，但是普遍“信息素養(yǎng)”較低，尤其缺乏信息安全意識(shí)，忽視個(gè)人主機(jī)及個(gè)人信息安全。

無論在局域網(wǎng)還是廣域網(wǎng)中，網(wǎng)絡(luò)的開放性、互聯(lián)性等特征使得各類終端安全極其容易受到侵害。網(wǎng)絡(luò)信息安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科[2]。它是為了保證系統(tǒng)連續(xù)可靠運(yùn)行，網(wǎng)絡(luò)服務(wù)不間斷，數(shù)據(jù)信息不泄露，從而采取的防止網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及存儲(chǔ)的數(shù)據(jù)遭受意外損害或人為的惡意修改、破壞及盜取的手段的統(tǒng)稱。

為應(yīng)對(duì)層出不窮的網(wǎng)絡(luò)攻擊方式，單一的防護(hù)措施已無法確保網(wǎng)絡(luò)信息的安全性。因此，我們應(yīng)該以制度為約束，以技術(shù)為手段，建立備份巡查機(jī)制，并通過硬件軟件多層面綜合各種防護(hù)策略，建立立體的網(wǎng)絡(luò)安全防護(hù)體系，減少被黑客攻擊的可能，全方位保障信息安全。

2 大規(guī)模信息安全事件帶來的思考

近些年，從熊貓燒香病毒到勒索病毒，從遠(yuǎn)程代碼攻擊到挖礦木馬來襲，網(wǎng)絡(luò)攻擊帶來的不僅是個(gè)人的經(jīng)濟(jì)損失，更有威脅國家安全的可能。以勒索病毒為例，2017年5月1日，勒索病毒“WannaCry”感染事件在全球爆發(fā)，該病毒屬于感染力極強(qiáng)的蠕蟲病毒，源自美國國家安全局網(wǎng)絡(luò)武器庫，并被不法分子利用成為黑客工具。此次病毒攻擊導(dǎo)致全球幾十萬臺(tái)的上網(wǎng)終端和服務(wù)器受到感染。在我國，感染區(qū)域主要為教育網(wǎng)用戶。

這種勒索軟件所利用的是微軟“視窗”操作系統(tǒng)445端口存在的漏洞，而早在3月份，微軟公司針對(duì)個(gè)人主機(jī)已發(fā)布了應(yīng)對(duì)“永恒之藍(lán)”的Windows Vista/7/8.1/1安全更新。那么為什么該病毒還會(huì)在5月份大規(guī)模爆發(fā)，引發(fā)全球性的信息安全事件呢？主要還是因?yàn)榇蟛糠值木W(wǎng)絡(luò)用戶沒有及時(shí)更新系統(tǒng)補(bǔ)丁的習(xí)慣，在思想上缺乏網(wǎng)絡(luò)安全防范意識(shí)。

我國當(dāng)下的網(wǎng)絡(luò)安全投入現(xiàn)狀是，投資比例僅占信息化建設(shè)經(jīng)費(fèi)整體比例的1%，相較于美國的15%和歐洲的10%，網(wǎng)絡(luò)安全的重視程度存在著巨大差距。

3 信息安全防護(hù)方案概述

為了降低系統(tǒng)被攻擊的可能性，保障信息安全，綜合各項(xiàng)技術(shù)手段，以內(nèi)網(wǎng)環(huán)境為前提，總結(jié)出以下方案用于提高網(wǎng)絡(luò)和終端的安全性。

3.1 信息系統(tǒng)口令

計(jì)算機(jī)終端、服務(wù)器、應(yīng)用系統(tǒng)、數(shù)據(jù)庫等都可設(shè)置用戶權(quán)限及密碼，而大多數(shù)網(wǎng)絡(luò)用戶對(duì)于信息系統(tǒng)密碼復(fù)雜度和保密性沒有足夠的重視，往往是多賬戶使用同一密碼，或者是為了方便記憶而使用低復(fù)雜度密碼，非常容易被黑客通過撞庫手段攻破。內(nèi)網(wǎng)中的某一設(shè)備一旦被侵入就可能成為病毒源，導(dǎo)致內(nèi)網(wǎng)設(shè)備大范圍被病毒感染。因此，應(yīng)從制度和技術(shù)兩方面入手，對(duì)可改進(jìn)的系統(tǒng)增設(shè)密碼復(fù)雜度及密碼更新審查模塊，對(duì)暫不可改進(jìn)的系統(tǒng)，從制度上要求用戶提高密碼復(fù)雜度，提高短時(shí)間內(nèi)被攻破的難度。

3.2 終端病毒防護(hù)軟件安裝

移動(dòng)存儲(chǔ)設(shè)備的高頻使用和接入網(wǎng)絡(luò)的不確定性，使得服務(wù)器和計(jì)算機(jī)一定要安裝病毒防護(hù)軟件，依托先進(jìn)技術(shù)建立“統(tǒng)一指揮、功能齊全、反應(yīng)靈敏、運(yùn)轉(zhuǎn)高效”的應(yīng)急機(jī)制[3]，必要時(shí)可同國內(nèi)安全公司合作共同制定應(yīng)急方案，定制適用程度更高的病毒防護(hù)和終端安全檢測軟件。

做到對(duì)終端實(shí)時(shí)防護(hù)，定時(shí)查殺病毒，并制定工作計(jì)劃按期檢查系統(tǒng)安全等級(jí)，做到多等級(jí)不間斷巡防。

3.3 終端安全配置

終端（包括個(gè)人計(jì)算機(jī)和服務(wù)器）在入網(wǎng)前做到設(shè)備自身的安全配置加固，可降低被惡意攻擊的概率，安全配置項(xiàng)及其要求包括以下幾部分：

(1)對(duì)系統(tǒng)默認(rèn)用戶名進(jìn)行重命名，并關(guān)閉非必須使用的其他用戶；

(2)提高系統(tǒng)密碼復(fù)雜度及長度要求，并設(shè)定用戶必須定期更改密碼；

(3)用戶及用戶組權(quán)限按需分配；

(4)設(shè)定日志審計(jì)策略；

(5)系統(tǒng)服務(wù)最小化；

(6)謹(jǐn)慎使用遠(yuǎn)程控制管理功能。

3.4 安裝漏洞補(bǔ)丁

漏洞指電子硬件、操作系統(tǒng)和軟件程序功能在設(shè)計(jì)制造過程中或者因配置不當(dāng)所導(dǎo)致的可以被黑客攻擊利用的弱點(diǎn)。比如前文我們提到的勒索病毒利用的是操作系統(tǒng)445端口漏洞進(jìn)行攻擊，再比如攻擊波病毒利用的是微軟的RPC漏洞進(jìn)行傳播，震蕩波病毒利用Windows的LSASS中存在的一個(gè)緩沖區(qū)溢出漏洞進(jìn)行攻擊。

最為常見并且容易被黑客利用的漏洞分別是數(shù)據(jù)庫漏洞及操作系統(tǒng)漏洞，所以定期從官網(wǎng)下載并安裝補(bǔ)丁包是最行之有效的預(yù)防手段。需要注意的是，在安裝補(bǔ)丁包之前，應(yīng)對(duì)原系統(tǒng)進(jìn)行備份，以防止補(bǔ)丁安裝失敗造成系統(tǒng)癱瘓導(dǎo)致業(yè)務(wù)中斷。

以Windows服務(wù)器操作系統(tǒng)為例，當(dāng)有大批存在于內(nèi)網(wǎng)的服務(wù)器需要運(yùn)維的時(shí)候，逐一從外網(wǎng)下載補(bǔ)丁并進(jìn)行安裝顯然極為低效，且不易于管理監(jiān)督，這時(shí)就可以選擇建立獨(dú)立的 Windows Server Update Services（WSUS），根據(jù)內(nèi)網(wǎng)各類設(shè)備需求，定期從外網(wǎng)下載Window s官網(wǎng)補(bǔ)丁包，然后切斷外網(wǎng)連接，將設(shè)備接入內(nèi)網(wǎng)進(jìn)行推送安裝，這樣既降低了內(nèi)網(wǎng)設(shè)備下載外部文件時(shí)的中病毒風(fēng)險(xiǎn)，也提高了補(bǔ)丁安裝效率。另外，在WSUS設(shè)置部分，推薦設(shè)立至少兩個(gè)組，一個(gè)測試組，用于測試補(bǔ)丁包安裝效果，以不影響業(yè)務(wù)系統(tǒng)運(yùn)行為前提；一個(gè)實(shí)操組，組內(nèi)包括內(nèi)網(wǎng)真實(shí)運(yùn)行的各類服務(wù)器，經(jīng)測試對(duì)內(nèi)網(wǎng)設(shè)備系統(tǒng)無影響的補(bǔ)丁進(jìn)行內(nèi)部推送，以保證內(nèi)網(wǎng)設(shè)備運(yùn)行的可靠性。

3.5 IP地址管理和訪問控制管理

IP地址的規(guī)劃和利用在網(wǎng)絡(luò)安全防護(hù)工作中應(yīng)予以足夠的重視。一方面，只有知道了IP地址，黑客才能進(jìn)行有效攻擊，因此在攻擊初期黑客會(huì)通過網(wǎng)絡(luò)探測技術(shù)獲得目標(biāo)IP地址，所以通過利用代理服務(wù)器，隱藏真實(shí)的IP地址可以有效減少有針對(duì)性的攻擊行為。另一方面，可以通過制定網(wǎng)絡(luò)訪問控制策略，保證網(wǎng)絡(luò)資源不被非法使用和訪問，在網(wǎng)絡(luò)層面設(shè)置VLAN隔離和基于IP地址的訪問控制列表，尤其是核心服務(wù)器，更應(yīng)該對(duì)可登錄進(jìn)行操作的IP地址進(jìn)行集中管控。

3.6 服務(wù)最小化

盡可能關(guān)閉終端不用的服務(wù)，使得服務(wù)最小化。尤其是服務(wù)器，比如用于網(wǎng)頁訪問的RIS服務(wù)和共享打印服務(wù)，都有可能成為黑客攻擊的入口。

3.7 端口控制

不論是網(wǎng)絡(luò)中的設(shè)備終端還是提供網(wǎng)絡(luò)服務(wù)的交換機(jī)，端口的控制都應(yīng)根據(jù)具體需求進(jìn)行嚴(yán)格規(guī)劃，比如用于共享的445端口，在不需要使用時(shí)應(yīng)予以關(guān)閉，再比如用于共享的3389端口，極易成為黑客侵入的入口，如果因業(yè)務(wù)需要無法關(guān)閉，建議將服務(wù)端口號(hào)自行更改為20000以上，確保設(shè)備不易被攻破。

3.8 網(wǎng)絡(luò)安全防護(hù)

網(wǎng)絡(luò)層面的安全設(shè)置是信息安全防護(hù)最基本的需求，在此，我們可以首先從內(nèi)外網(wǎng)隔離和分級(jí)設(shè)置防火墻入手。

加強(qiáng)網(wǎng)絡(luò)隔離技術(shù)的研究，嚴(yán)格執(zhí)行內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的隔離，對(duì)確保網(wǎng)絡(luò)信息安全具有十分重要的現(xiàn)實(shí)意義[4]。在網(wǎng)絡(luò)建設(shè)中，應(yīng)在物理層面將公司內(nèi)部應(yīng)用系統(tǒng)所使用的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)實(shí)施隔離，并對(duì)內(nèi)網(wǎng)重要設(shè)備實(shí)施外網(wǎng)使用限制措施，降低被侵入的概率。

網(wǎng)絡(luò)防火墻的使用可以按照設(shè)定的安全策略檢查網(wǎng)絡(luò)間傳輸?shù)臄?shù)據(jù)，并檢測網(wǎng)絡(luò)運(yùn)行狀態(tài)。目前防火墻可分為包過濾型、地址轉(zhuǎn)換型、代理型、監(jiān)測型等幾種類型。在布網(wǎng)過程中，可以分級(jí)使用不同類型的防火墻。在內(nèi)外網(wǎng)銜接處，可以使用地址轉(zhuǎn)換型和代理型防火墻，地址轉(zhuǎn)換型防火墻會(huì)將內(nèi)部IP地址轉(zhuǎn)換成臨時(shí)的外部IP，對(duì)外部網(wǎng)絡(luò)隱藏內(nèi)網(wǎng)連接情況；代理型防火墻即代理服務(wù)器，位于客戶端與服務(wù)器之間，完全阻隔兩者間的數(shù)據(jù)交換，數(shù)據(jù)的上傳下載必須經(jīng)過代理服務(wù)器。在內(nèi)網(wǎng)和終端可以部署包過濾型和監(jiān)測型防火墻，包過濾型防火墻可以通過網(wǎng)絡(luò)的分包傳輸技術(shù)，讀取數(shù)據(jù)包中的地址信息用于判斷其來源是否可靠，并將危險(xiǎn)源數(shù)據(jù)包拒之門外；監(jiān)測型防火墻對(duì)來自內(nèi)外網(wǎng)的攻擊都具備較強(qiáng)的防范作用。

另外，建議使用網(wǎng)絡(luò)入侵檢測產(chǎn)品，用戶可自行定義其與防火墻的聯(lián)動(dòng)功能，實(shí)現(xiàn)動(dòng)態(tài)防御，對(duì)于SQL注入、暴力密碼破解、緩沖區(qū)溢出、掃描探測、DOS攻擊、蠕蟲病毒、木馬后門等各類黑客攻擊和惡意流量進(jìn)行實(shí)時(shí)檢測及報(bào)警。

3.9 安全制度的設(shè)立

只有行為的規(guī)范才能決定安全策略的有效性，因此應(yīng)該從制度上對(duì)信息安全等級(jí)和管理范圍進(jìn)行劃分，制定有關(guān)責(zé)任人制度和終端操作規(guī)范，制定各類系統(tǒng)的維護(hù)制度和應(yīng)急措施等。這樣才可以有效保障信息安全和設(shè)備平穩(wěn)運(yùn)行。

4 結(jié)束語

2017年《中華人民共和國網(wǎng)絡(luò)安全法》的正式實(shí)施，以及相關(guān)配套法規(guī)的陸續(xù)出臺(tái)，為此后開展的網(wǎng)絡(luò)安全工作提供了切實(shí)的法律保障。政府與企業(yè)共同打擊各類網(wǎng)絡(luò)安全問題，網(wǎng)民遭遇網(wǎng)絡(luò)安全問題的比例明顯下降。但是另一方面，勒索病毒的爆發(fā)使我們意識(shí)到，此次網(wǎng)絡(luò)安全事件的根源還是基礎(chǔ)操作系統(tǒng)出現(xiàn)的漏洞，微軟掌握了主動(dòng)權(quán)[5]，假如微軟不提供補(bǔ)丁，任何用戶都沒有辦法。正如中國工程院院士倪光南所說“如果不是自主可控，就不可能安全”，目前，從網(wǎng)絡(luò)基礎(chǔ)設(shè)施到操作系統(tǒng)、CPU、GPU服務(wù)器軟件等大量互聯(lián)網(wǎng)基礎(chǔ)軟件和硬件大多是由國外設(shè)計(jì)、編碼、制造，其中的安全隱患自不用說。信息安全工作任重道遠(yuǎn)，還有許多工作值得我們深入研究。