淺析中南空管辦公網的病毒防范

林海彥

摘要：本文從中南空管局的具體工作實際出發(fā)，從技術的角度簡單地分析了辦公網在病毒防范方面的一些作法。

關鍵詞：病毒；木馬；技術；管理；安全意識

中圖分類號：TP391 文獻標識碼：A 文章編號：1009-3044（2018）19-0024-02

1 前言

民航中南空管局是一個計算機應用較為普及的部門，網絡覆蓋新機場、舊機場、區(qū)管三地，網絡系統(tǒng)涉及生產、辦公、對外服務，僅辦公網就有用戶1200多人，辦公電腦538臺，其中移動辦公電腦89臺。許多用戶使用電腦處理文件，使用移動硬盤、優(yōu)盤攜帶文件，使用電子郵件傳遞郵件。為了提高網絡的穩(wěn)定性，確保用戶數據的安全性，我局在2005年采取了許多有力的措施，包括2005年建設了網絡安全體系（一期），2006年組織建設域管理項目等，大大提高了空管信息網的安全性。

下面就中南空管局的辦公網安全管理中的病毒防范部分做簡單的分析。

2 需要解決的問題及問題分析

2005年以前，空管局辦公網在使用過程中多次出現過客戶端計算機數據被更改、數據丟失、客戶端計算機變慢、網絡速度變慢、出口中斷等等問題，在對以上故障的處理過程中我們發(fā)現，客戶端計算機數據被更改、數據丟失中，有大部分是因為用戶設置了無密碼或密碼太簡單的文件夾完全共享，有一部分原因是因為沒有安裝防病毒軟件和及時安裝系統(tǒng)補丁而造成的病毒感染，小部分是因為黑客入侵；在客戶端計算機變慢的故障中，除去極小一部分是因為系統(tǒng)軟硬件故障和用戶操作不當，絕大部分是因為該計算機感染了病毒；而大規(guī)模的病毒爆發(fā)則會嚴重拖慢網絡的速度，甚至導致出口中斷；因為網絡拓撲結構不優(yōu)而產生的廣播流也會占用部分的網絡帶寬；ISP故障以及通信線路的故障則經常導致出口中斷；黑客入侵和DDOS/DOS攻擊、ARP欺騙等各種攻擊會導致網絡的異常以及客戶端數據泄密、被更改甚至被刪除。以上種種都嚴重影響網絡的正常使用，是造成網絡異常的安全隱患。下表是我局處理的一些辦公網方面的不安全事件的情況如下：

顯然，病毒感染（含木馬）是當時空管局辦公網最大的威脅，而未打系統(tǒng)補丁、打開來歷不明的郵件、上一些不良網站是造成病毒感染的最主要原因。

3 對策

顯然，要杜絕病毒是不可能的，但我們必須設法減小病毒感染發(fā)生，為此，我局技術、管理、培訓多管齊下，力求減少病毒感染的發(fā)生。

3.1 管理方面

制定相應的管理措施，加強安全管理。我們先后制定了辦公網的入網登記制度，對新入網的計算機進行登記審查，確定符合相關的安全規(guī)范才能加入辦公網；制定了安全普查制度，定期對網內的計算機進行安全漏洞的檢查和修補；制定了密碼管理制度，定期對相關系統(tǒng)的密碼進行更換。這些從非技術的角度出發(fā)，規(guī)范管理，提高網絡的安全性。

3.2 技術方面

1） 統(tǒng)一的網絡和IP規(guī)劃

我們對辦公網進行整體規(guī)劃，以地域和單位相結合的方式統(tǒng)一劃分vlan，并在辦公網核心交換機上部署ACL，限制不同子網之間的互相訪問，減少病毒等在不同子網之間傳播；統(tǒng)一規(guī)劃IP地址，在網內建立DHCP服務器進行統(tǒng)一的IP地址發(fā)放和管理，規(guī)范客戶端的管理。

2） 建立整體的網絡防病毒體系

在辦公網內部建立一套由系統(tǒng)中心、服務器、客戶端組成的三層防毒體系，實現客戶端防病毒軟件的統(tǒng)一配置和集中管理。該體系能實現各客戶端的自動病毒代碼更新，整體的病毒日志管理，同時還具有分級管理的功能，能針對不同部門制定不同的防毒策略，通過下發(fā)策略實現客戶端的定期查毒、預約查毒等，有效的阻斷了病毒在辦公網內部的傳播蔓延。

3） 部署入侵檢測設備，提高服務器安全性

在辦公網，我們盡可能地將服務器劃分在一個子網上（并將其部署在同一個交換機上），對于進入辦公網和辦公網服務器區(qū)的信息，采用基于網絡的入侵檢測產品對入侵行為進行檢測，對于不能或不便劃分和部署在同一個子網和同一個交換機上的服務器，采取部署基于主機入侵檢測的產品或基于主機的防火墻產品來進行入侵檢測和安全防護，提高服務器的安全性。

4） 部署AD域和SMS，進行統(tǒng)一的身份認證、行為審計和補丁分發(fā)

我們在整改辦公網中，部署基于windows server 2003的Active Directory?目錄服務，對網絡內部的打印機、服務器和應用程序等資源進行統(tǒng)一管理，實現辦公網用戶的統(tǒng)一身份認證；為進一步提高安全性，我們還針對不同的用戶制定不同的措施，限定某些用戶只能在特定的計算機上登陸域，減少因用戶密碼被盜而導致的損失；我們還啟用了日志記錄和審計功能，對用戶的相關行為進行記錄審計，確保對相關行為有跡可查。我們還同時部署了SMS系統(tǒng)，實現對客戶端軟硬件資源的統(tǒng)一管理；通過結合活動目錄，實現對客戶端的統(tǒng)一軟件安裝管理和遠程系統(tǒng)維護；更重要的，它能實現對客戶端進行操作系統(tǒng)的漏洞掃描，并針對存在的漏洞自動進行補丁分發(fā)和安裝，該功能能快速發(fā)現并修復客戶端的操作系統(tǒng)補丁，有效減少因系統(tǒng)存在漏洞而遭受的病毒和黑客攻擊，提高辦公網的整體安全性。

5） 代理服務器，結合活動目錄，進行用戶上網行為的管理

基于辦公網用戶的上網需求，我們在辦公網出口處部署了Microsoft Internet Security and Acceleration（ISA）Server，對用戶上網行為進行限制和記錄。通過ISA服務器，我們制定策略，限制常用病毒和木馬端口進入內部網；通過端口、客戶端程序等限制BT下載；結合活動目錄，制定針對用戶和計算機的限制策略，只允許特定用戶或計算機訪問特定的端口，一定程度上增強內網的安全性。同時，通過對上網行為的監(jiān)控和記錄，可以提高內網的信息安全。

3.3 培訓方面

3.3.1 安全技術人員的培訓

無論系統(tǒng)本身提供了如何完善的安全保護，最終需要人來執(zhí)行，安全系統(tǒng)需要由人來計劃和管理，任何系統(tǒng)安全也不能完全由計算機安全設施獨立承擔。應有專門的技術人員從事系統(tǒng)安全建設和管理，研究技術的種類和今后的發(fā)展方向，使技術上保證不落后，并在建設和維護上為領導決策提供安全方面的參考。同時需要各級領導高度重視并積極支持有關系統(tǒng)安全方面的各項措施，對員工進行培訓，只有當全行員工對系統(tǒng)安全性有了深入了解后，才能真正理解和安全有關的各項規(guī)章制度的必要性，提高認真執(zhí)行的自覺性，從而降低網絡信息系統(tǒng)的安全風險。

3.3.2 增強用戶的安全意識、提高安全技能

病毒防范靠大家，任何一個用戶中毒都可能導致全網中斷，如05年初的ARP木馬就造成多起網絡服務中斷。提高全員的安全意識，共同起來防毒才能從根本上減小病毒對辦公網造成的危害。我們通過網站提醒的方式，建議大家做好以下工作：

1） 安裝諾頓企業(yè)版防病毒軟件并及時更新病毒代碼。安裝防病毒軟件后，開啟實時防護功能，及時更新病毒代碼并定期對本地硬盤進行完全掃描。

2） 安裝專業(yè)的防火墻，及時下載新的防護策略。防火墻能夠屏蔽不必要的服務，減少受到黑客攻擊的機率。

3） 及時安裝系統(tǒng)補丁。很多病毒和黑客都是通過系統(tǒng)漏洞進行攻擊，及時的安裝相應的系統(tǒng)補丁，將能很好地防范此類的攻擊。

4） 不要輕易打開電子郵件的附件?，F在的蠕蟲病毒能在通訊錄里面搜索郵件地址并自動發(fā)送帶病毒的郵件。

5） 盡量避免設置有可寫權限的共享?，F在的病毒能自動搜索局域網內部的所有共享，如果發(fā)現有可寫權限的，將自動進行感染。而且開啟可寫權限的共享也會帶來數據被修改刪除的威脅。

6） 不要輕易下載小網站的軟件和程序。小網站特別是小的個人網站因為技術、資金和精力的原因，不能確保其上面的軟件的安全性。

7） 在安裝使用新軟件之前先使用掃毒程序進行檢查，減少受感染的機會。主動檢查，可以過慮大部分的病毒和木馬。

8） 盡量避免在無防毒軟件的計算機上使用移動硬盤、優(yōu)盤等可移動儲存介質。一般人都以為不要使用別人的磁盤，即可防毒，但是不要隨便用別人的電腦也是非常重要的，否則有可能帶一大堆病毒回家。

9） 經常備份重要數據。經常備份重要的數據，才能在遭受黑客入侵或病毒感染后， 迅速恢復，將損失降到最小。

10） 為計算機管理賬號設置復雜的密碼。Windows 2000和Windows XP等系統(tǒng)為管理員賬號提供了強大的遠程管理功能，如默認的全盤完全共享，普通用戶一般不會用到，而有惡意的用戶則可以利用它進行攻擊，因此建議將其關閉；同時為管理員賬號設置包括字母、數字和符號的復雜密碼，確保管理員賬號的安全。

11） 發(fā)現異常情況時，立即截斷網絡連接，并及時報告管理員。如果發(fā)現計算機出現操作異?；蛲蝗蛔兟埩⒓辞袛嗑W絡連接，并使用防病毒軟件進行徹底檢查，無法解決的，及時報告管理員，請管理員協(xié)助處理。

4 結束語

中南空管局辦公網的病毒防范工作在大家的共同努力下，通過管理、技術、培訓等措施較好保障了信息的安全，但仍然存在許多問題。相信在上級部門的關心指導下，我們一定能把信息安全工作做得更好。