綜合防御技術在企業(yè)網(wǎng)絡中應用

殷松軍

（大慶油田礦區(qū)服務事業(yè)部信息中心，黑龍江 大慶 163000）

1 大慶油田礦區(qū)服務事業(yè)部網(wǎng)絡現(xiàn)狀及課題背景

大慶油田礦區(qū)服務事業(yè)部成立于2007 年。目前，事業(yè)部有11 家成員單位，各成員單位均有獨立的局域網(wǎng)出口。由于事業(yè)部單位多、戰(zhàn)線長等原因網(wǎng)絡上存在著一定的管理死角。事業(yè)部要求各成員單位根據(jù)自身責任歸屬負責相應內容防護。依托此次活動徹底將事業(yè)部存在的網(wǎng)絡安全隱患消滅在萌芽狀態(tài)中。

結合中石油《護網(wǎng)2018 行動安全防護指南》，我們梳理了事業(yè)部存在的問題：（1）通過不合規(guī)方式私開、私接互聯(lián)出口，并與局域網(wǎng)混用；（2）私開手機WIFI 熱點，利用無線網(wǎng)卡聯(lián)入互聯(lián)網(wǎng)；（3）對于雙網(wǎng)混用機器，私設二級代理；（4）個人使用老版本操作系統(tǒng)安裝機器，造成機器存在高危漏洞；（5）部分應用系統(tǒng)年頭過長，已無外協(xié)單位或第三方已不提供漏洞補丁；（6）個別單位網(wǎng)絡設備超期服役，無法升級；（7）對于移動設備或長期不服役機器管理不嚴格。

通過對以上問題的分析不難發(fā)現(xiàn)，這些隱患無疑對事業(yè)部網(wǎng)絡安全提出嚴重預警。無論哪一方面出現(xiàn)問題，都會為入侵者提供便利的條件，使得企業(yè)的信息安全如同虛設。一旦入侵者控制了設備，那將會大量植入木馬、后門程序，通過一些特定的端口大肆傳播，使得大量機器成為“肉雞”。此時再發(fā)生諸如DDOS 一類的攻擊，那么企業(yè)的網(wǎng)絡將會受到嚴重的考驗。到那時企業(yè)的損失將會不可估量，所以此次演習的目的不言而喻。同時也給我們敲響了信息安全的警鐘，在信息安全的道路上馬虎不得。

2 防御的常用手法

網(wǎng)絡攻擊分為主動攻擊與被動攻擊，此次演練攻擊方為主動攻擊，由于活動要求主要重點在于防御，所以簡單介紹目前的防御方法：（1）防火墻技術；（2）入侵檢測系統(tǒng)；（3）安全掃描系統(tǒng)；（4）訪問控制技術；（5）網(wǎng)絡安全管理。

3 各類防御技術在企業(yè)網(wǎng)絡安全中的綜合應用

（1）WIRESHARK 在網(wǎng)絡攻防中的設置。此次演練重在防御，那么在防御過程中能夠及時的發(fā)現(xiàn)對本網(wǎng)絡的掃描和入侵就及其重要。入侵網(wǎng)絡，首先是進行掃描行為，比如掃描端口，就是為了發(fā)現(xiàn)開放的端口，并進一步找出開放端口可攻破的漏洞。因此，預防黑客攻擊的第一步，就是及時檢測出掃描行為。我們知道一般的掃描行為是以ARP 廣播包的方式去探測網(wǎng)絡中有哪些主機是處于開機狀態(tài)。因此，必然會出現(xiàn)遠遠多于正常狀態(tài)下的ARP 廣播包。掃描行為是掃描一個網(wǎng)段中所有的IP 地址，因此就會向該網(wǎng)段中所有的IP 地址發(fā)送ARP 廣播包，包括沒有主機使用的IP 地址。當檢測到某一個IP 所對應的主機是開機狀態(tài)后，就會進一步對該主機進行端口探測，以獲知該主機哪些端口是開放的、哪些端口有漏洞存在。因此我們在網(wǎng)絡的核心交換機上接入一臺機器，利用WIRESHARK 進行實時監(jiān)測。通過對WIRESHARK 的參數(shù)設定，成功的發(fā)現(xiàn)幾次對全網(wǎng)的掃描。其實在內網(wǎng)探測中WIRESHARK 還可以查看哪些機器開了哪些端口。

（2）SCANPORT 在終端端口掃描中的應用。在企業(yè)辦公網(wǎng)中一般都會存在著大量高危端口。這些開放的端口往往就是潛在的危險，一旦這些開放的端口被入侵者利用，那就會成為他們的武器。所以在內網(wǎng)中找到這些機器十分必要。SCANPORT 就是這類比較容易上手的軟件。只要定義好端口號就可以對網(wǎng)段內的機器掃描。這樣就可以很容易的找到那些不符合安全基線的機器。

（3）對于無線網(wǎng)絡的追蹤。根據(jù)此次行動要求，要對互聯(lián)網(wǎng)出口要做好管理。對于局域網(wǎng)與非法互聯(lián)網(wǎng)并用的情況要堅持取締。工作中確實需要互聯(lián)網(wǎng)的則要做到局域網(wǎng)與互聯(lián)網(wǎng)物理隔離。對于企業(yè)來說通過正常渠道開通的互聯(lián)網(wǎng)出口比較好查，但對于那些隱性的出口查找起來比較麻煩。這些出口往往在定位上很難判斷。針對這種情況我們在一部移動設備上安裝了無線信號測試軟件WirelessMon，它能列出周邊所有的無線路由器、無線AP信號強度、信道等實時信息。通過在辦公樓道中移動就能準確的定位在哪個房間存在無線信號。解決了無線網(wǎng)絡定位的問題。

（4）內網(wǎng)計算機終端的管理。事業(yè)部共計入網(wǎng)有效計算機終端2000 多臺。對于如此龐大數(shù)量的終端沒有一個統(tǒng)一的管理是不行的。事業(yè)部要求各成員單位統(tǒng)一安裝中石油桌面安全管理系統(tǒng)，按照終端安全基線的標準對每臺計算機進行加固。同時制定了嚴格的管理辦法。

(5)網(wǎng)絡設備的防護。①加強了設備賬號的管理，并對交換機的訪問IP 做出訪問控制；②加強了密碼的強度，并對密碼加密；③更改交換機帶內管理方式，禁用TELNET方式；④禁用HTTP SERVER、CDP、TCP/UDP Small、BOOTP SERVER、用DNS 查詢、Finger 等服務；⑤按需要劃分交換機VLAN；⑥啟用NTP 服務并與地區(qū)NTP 服務器同步；⑦啟用日志服務，并在內網(wǎng)搭建KIWI—SYSLOG—SERVE，保存每天的日志；⑧備份交換機配置。

（6）服務器的防護。①加強了賬號的管理，刪除或禁用無關賬戶、更改默認管理賬號名；②加強密碼強度；③限定服務器認證授權，并設置訪問白名單；④啟用日志服務，并在內網(wǎng)搭建KIWI—SYSLOG—SERVE，保存每天的日志；⑤開啟服務器防火墻，做入站規(guī)則，安裝殺毒軟件；⑥關閉多余服務，定時更新服務器安全補??；⑦更改3389 端口，關閉系統(tǒng)默認共享、自動運行及高危端口。

4 結語

網(wǎng)絡安全與否說到底在于人。人的因素是網(wǎng)絡安全的核心，技術做為一種防護手段在客觀上起到了不可忽視的作用?？稍谡麄€網(wǎng)絡安全體系中有些是技術防不了的。比如：社會工程學、未知的安全漏洞等等。針對此次自查中我們發(fā)現(xiàn)問題基本上都出在員工對網(wǎng)絡安全缺乏認知。正是因為如此，才使得企業(yè)在網(wǎng)絡安全方面的隱患與日俱增。實踐證明制度的制定和執(zhí)行是提高員工網(wǎng)絡安全意識的有效途徑和手段。只有員工在主觀上提高了對網(wǎng)絡安全重要性的認識，才能有效的避免人為的錯誤?？傊诰W(wǎng)絡安全的道路上我們任重道遠。只有全員齊心才能營造出安全暢通的網(wǎng)絡辦公環(huán)境。