構(gòu)建信息系統(tǒng)縱深防御體系

童樺

（武漢船用電力推進(jìn)裝置研究所 湖北省武漢市 430064）

1 引言

縱深防御是一種分層防御措施，它迫使敵方必須突破多個(gè)防御層才能進(jìn)入，從而降低其成功的機(jī)率?？v深防御本質(zhì)是多層防護(hù)，建立縱深防御體系意味著每一個(gè)訪問流量都要經(jīng)過多層安全檢測(cè)，從一定程度上增加了安全檢測(cè)能力和被攻破的成本，降低了信息系統(tǒng)的安全風(fēng)險(xiǎn)。

2 縱深防御體系

針對(duì)信息系統(tǒng)的攻擊手法日益“精妙”，攻擊行為也越來越多。防御體系的設(shè)計(jì)應(yīng)用好“先發(fā)優(yōu)勢(shì)”，在信息系統(tǒng)各個(gè)方面的防御手段考慮縱深覆蓋，“排兵布陣”構(gòu)造縱深防御戰(zhàn)線，體系化地與進(jìn)攻者對(duì)抗?？v深防御的概念如圖1所示。

圖1：縱深防御概念圖

為了保護(hù)核心數(shù)據(jù)，我們需要在多個(gè)層面進(jìn)行控制和防御，一般來說包括物理安全防御、網(wǎng)絡(luò)安全防御、主機(jī)安全防御、應(yīng)用安全防御，以及對(duì)數(shù)據(jù)本身的保護(hù)。如果沒有縱深防御體系，就難以構(gòu)建真正的系統(tǒng)安全體系。

2.1 物理安全

物理安全主要是指在機(jī)房環(huán)境、網(wǎng)絡(luò)線路以及關(guān)鍵硬件設(shè)備等物理層次上的信息安全防護(hù)。保證物理層的安全，就需要保證通信線路的可靠性，設(shè)備運(yùn)行、更換、拆卸時(shí)的安全性以及應(yīng)對(duì)一系列自然災(zāi)害的能力。物理層安全是實(shí)現(xiàn)所有安全的基礎(chǔ)，不容輕視。

物理安全防御措施包括如下方面：

（1）通過監(jiān)控系統(tǒng)、定期巡檢、安防保衛(wèi)等措施保證對(duì)傳輸信息資料的通訊電纜或支持信息服務(wù)的線纜、硬件設(shè)備加以保護(hù)，使其避免自然損耗或被不法分子盜竊、破壞。

（2）遵循國(guó)家標(biāo)準(zhǔn)規(guī)定建設(shè)機(jī)房，確保計(jì)算機(jī)系統(tǒng)有良好的工作環(huán)境，從而保證穩(wěn)定可靠的運(yùn)行。

（3）妥善放置信息設(shè)備，配備電磁泄露防護(hù)裝置，如屏蔽雙絞線、線路傳導(dǎo)干擾器等，防止敏感信息通過電磁泄露。

（4）配備不間斷電源（UPS）、備用發(fā)電機(jī)等，保證重要信息設(shè)備的穩(wěn)定供電，降低信息設(shè)備的故障率。

（5）準(zhǔn)備關(guān)鍵基礎(chǔ)設(shè)備的備品備件，一旦出現(xiàn)設(shè)備硬件故障，可以及時(shí)替換故障設(shè)備，盡快恢復(fù)信息系統(tǒng)的正常運(yùn)行。

2.2 網(wǎng)絡(luò)安全

一個(gè)全面的網(wǎng)絡(luò)，安全解決方案需要綜合考慮網(wǎng)絡(luò)層的身份認(rèn)證、訪問控制、數(shù)據(jù)傳輸、遠(yuǎn)程接入入侵、網(wǎng)絡(luò)病毒等一系列安全因素。網(wǎng)絡(luò)層安全是實(shí)現(xiàn)數(shù)據(jù)和信息安全傳輸?shù)淖铌P(guān)鍵一環(huán)，也是需要我們?cè)谝?guī)劃時(shí)綜合考量的部分。

（1）邊界防御是網(wǎng)絡(luò)安全的重要的原則之一。所謂的邊界防御，我們可以理解為小區(qū)門禁、閘道或門衛(wèi)，這都是為了保護(hù)小區(qū)安全而建立的通道，只有擁有合理身份的人員才能進(jìn)入小區(qū)，享受小區(qū)提供的資源。在網(wǎng)絡(luò)世界，防火墻就是進(jìn)出網(wǎng)絡(luò)的門禁，它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口。

在國(guó)際標(biāo)準(zhǔn)化組織ISO 的開放系統(tǒng)互聯(lián)參考模型（OSI）中，網(wǎng)絡(luò)互聯(lián)模型分為7 層，如圖2 所示。

圖2：OSI 參考模型

一般來說，防火墻工作在如圖示的網(wǎng)絡(luò)層、傳輸層，防火墻的訪問控制策略依據(jù)策略規(guī)則中的源地址、目的地址、源端口、目的端口及規(guī)則中的協(xié)議類型來制定，并通過策略的允許、禁止執(zhí)行來確定信息流的出入。它能有效控制網(wǎng)絡(luò)之間的活動(dòng)，保證內(nèi)部網(wǎng)絡(luò)的安全。為了滿足訪問控制的細(xì)粒度，防火墻的訪問控制策略應(yīng)遵循最小授權(quán)原則，僅開啟正常訪問必需的源地址、目的地址、源端口、目的端口及協(xié)議，這也勢(shì)必要求網(wǎng)絡(luò)運(yùn)維人員找到信息安全和日常工作的平衡點(diǎn)，即：既能滿足訪問控制的最小授權(quán)，又不致影響業(yè)務(wù)工作，從而提升信息系統(tǒng)的安全性。除了在防火墻上設(shè)置基本的訪問控制策略，還需要配置如下安全策略：

會(huì)話監(jiān)控策略：在防火墻配置會(huì)話監(jiān)控策略，當(dāng)會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后，防火墻自動(dòng)將會(huì)話丟棄，訪問來源必須重新建立會(huì)話才能繼續(xù)訪問資源；

會(huì)話限制策略：對(duì)于互聯(lián)網(wǎng)邊界，從維護(hù)系統(tǒng)可用性的角度必須限制會(huì)話數(shù)，來保障連接的有效性，防火墻可對(duì)保護(hù)的會(huì)話連接采取會(huì)話限制策略，當(dāng)內(nèi)網(wǎng)主機(jī)或服務(wù)器接受的連接數(shù)接近或達(dá)到閥值時(shí)，防火墻自動(dòng)阻斷其他的訪問連接請(qǐng)求，避免主機(jī)或其他服務(wù)器接到過多的訪問而崩潰；

管理員身份認(rèn)證策略：修改當(dāng)前防火墻的配置，啟用證書認(rèn)證方式，以滿足網(wǎng)絡(luò)設(shè)備對(duì)雙因素身份認(rèn)證的需求；

應(yīng)用系統(tǒng)身份認(rèn)證策略：配置防火墻用戶認(rèn)證功能，對(duì)保護(hù)的應(yīng)用系統(tǒng)可采取身份認(rèn)證的方式（包括用戶名/口令方式、S/KEY 方式等），實(shí)現(xiàn)基于用戶的訪問控制；此外，防火墻還能夠和第三方認(rèn)證技術(shù)結(jié)合起來（包括RADIUS、TACAS、AD、數(shù)字證書），實(shí)現(xiàn)網(wǎng)絡(luò)層面的身份認(rèn)證，進(jìn)一步提升系統(tǒng)的安全性；

日志審計(jì)策略：防火墻詳細(xì)記錄了轉(zhuǎn)發(fā)的訪問數(shù)據(jù)包，可提供給網(wǎng)絡(luò)管理人員進(jìn)行分析。但是，防火墻本地的存儲(chǔ)容量有限，應(yīng)當(dāng)將防火墻記錄日志統(tǒng)一導(dǎo)入到集中的日志管理服務(wù)器。

但是，防火墻也有自身的不足，它不能識(shí)別惡意的網(wǎng)絡(luò)攻擊行為。這就意味著，只要網(wǎng)絡(luò)訪問源符合訪問策略規(guī)則，就可以對(duì)允許訪問的網(wǎng)絡(luò)資源產(chǎn)生攻擊。這時(shí)，邊界防御的另一工具——入侵防御系統(tǒng)IPS 或入侵檢測(cè)系統(tǒng)IDS 就派上用場(chǎng)了。入侵防御系統(tǒng)可對(duì)物理層以上的各層數(shù)據(jù)進(jìn)行檢查，一般采用串聯(lián)的方式部署于網(wǎng)絡(luò)邊界區(qū)域，用于檢測(cè)和實(shí)時(shí)阻斷從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的入侵行為，包括溢出攻擊、代碼執(zhí)行攻擊、木馬、蠕蟲、系統(tǒng)漏洞等各種網(wǎng)絡(luò)攻擊威脅，并對(duì)發(fā)現(xiàn)的安全威脅及時(shí)產(chǎn)生告警和阻斷。入侵檢測(cè)（Intrusion Detection）系統(tǒng)是對(duì)入侵行為的檢測(cè)。它通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵，因此被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)。針對(duì)端口掃描類、木馬后門、緩沖區(qū)溢出、IP 碎片攻擊等，入侵檢測(cè)系統(tǒng)可通過與防火墻的聯(lián)動(dòng)進(jìn)行阻斷。入侵檢測(cè)系統(tǒng)一般并聯(lián)在網(wǎng)絡(luò)中，以旁路監(jiān)聽的方式對(duì)網(wǎng)絡(luò)流量進(jìn)行檢測(cè)。因?yàn)镮PS 和IDS 部署方式的差異，導(dǎo)致單點(diǎn)故障對(duì)網(wǎng)絡(luò)的影響也就不一樣。IPS一旦故障，可能直接影響網(wǎng)絡(luò)的正常運(yùn)行。而IDS 故障，只會(huì)造成網(wǎng)絡(luò)內(nèi)危險(xiǎn)攻擊無法識(shí)別，而不會(huì)影響網(wǎng)絡(luò)性能。所以，在網(wǎng)絡(luò)縱深防御方案中，選擇IPS 還是IDS 或者兩者并存，需要企業(yè)依據(jù)自己的網(wǎng)絡(luò)規(guī)模及防護(hù)要求來確定。

為有效實(shí)現(xiàn)入侵防御，我們可以在入侵防御系統(tǒng)上，部署以下策略集：

阻斷策略：由于入侵防御系統(tǒng)串聯(lián)在保護(hù)區(qū)域的邊界上，系統(tǒng)在檢測(cè)到攻擊行為后，能夠主動(dòng)進(jìn)行阻斷，將攻擊來源阻斷在安全區(qū)域之外，有效保障各類業(yè)務(wù)應(yīng)用的正常開展，這里包括數(shù)據(jù)采集業(yè)務(wù)和信息發(fā)布業(yè)務(wù)；

防拒絕服務(wù)攻擊：入侵防御系統(tǒng)在防火墻進(jìn)行邊界防范的基礎(chǔ)上，工作在網(wǎng)絡(luò)的關(guān)鍵環(huán)節(jié)，能夠應(yīng)付各種SNA 類型和應(yīng)用層的強(qiáng)力攻擊行為,包括消耗目的端的各種資源如網(wǎng)絡(luò)帶寬、系統(tǒng)性能等攻擊，主要防范的攻擊類型有TCP Flood，UDP Flood，SYN Flood，Ping Abuse 等；

審計(jì)查詢策略：入侵防御系統(tǒng)能夠完整記錄多種應(yīng)用協(xié)議（HTTP、FTP、SMTP、POP3、TELNET 等）的內(nèi)容。記錄內(nèi)容包括，攻擊源IP、攻擊類型、攻擊目標(biāo)、攻擊時(shí)間等信息，并按照相應(yīng)的協(xié)議格式進(jìn)行回放，清楚再現(xiàn)入侵者的攻擊過程，重現(xiàn)內(nèi)部網(wǎng)絡(luò)資源濫用時(shí)泄漏的保密信息內(nèi)容。同時(shí)必須對(duì)重要安全事件提供多種報(bào)警機(jī)制；

網(wǎng)絡(luò)檢測(cè)策略：在檢測(cè)過程中入侵防御系統(tǒng)綜合運(yùn)用多種檢測(cè)手段，在檢測(cè)的各個(gè)部分使用合適的檢測(cè)方式，采取基于特征和基于行為的檢測(cè)，對(duì)數(shù)據(jù)包的特征進(jìn)行分析，有效發(fā)現(xiàn)網(wǎng)絡(luò)中異常的訪問行為和數(shù)據(jù)包；

異常報(bào)警策略：入侵防御系統(tǒng)可以通過報(bào)警類型的制定，明確哪類事件，通過什么樣的方式，進(jìn)行報(bào)警，及時(shí)告知網(wǎng)絡(luò)管理員；

在線升級(jí)策略：入侵防御系統(tǒng)內(nèi)置的檢測(cè)庫是決定系統(tǒng)檢測(cè)能力的關(guān)鍵因素，因此應(yīng)定期進(jìn)行在線升級(jí)，確保入侵檢測(cè)庫的完整性和有效性。

我們可以在入侵檢測(cè)系統(tǒng)上，部署以下策略集：

網(wǎng)絡(luò)行為檢測(cè)策略：綜合使用細(xì)粒度檢測(cè)技術(shù)、協(xié)議分析技術(shù)、誤用檢測(cè)技術(shù)、協(xié)議異常檢測(cè)等技術(shù)，對(duì)網(wǎng)絡(luò)內(nèi)部基于TCP/IP 的各種網(wǎng)絡(luò)行為進(jìn)行實(shí)時(shí)檢測(cè)，有效防止各種攻擊和欺騙；

蠕蟲檢測(cè)策略：實(shí)時(shí)跟蹤當(dāng)前最新的蠕蟲事件，針對(duì)當(dāng)前已經(jīng)發(fā)現(xiàn)的蠕蟲及時(shí)的提供相關(guān)的事件規(guī)則。存在漏洞但是還未發(fā)現(xiàn)相關(guān)蠕蟲事件的，通過分析其相關(guān)漏洞提供相關(guān)的入侵事件規(guī)則，最大限度地解決網(wǎng)絡(luò)蠕蟲發(fā)現(xiàn)滯后問題；

配置實(shí)時(shí)會(huì)話監(jiān)控策略：實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)當(dāng)前TCP 會(huì)話并根據(jù)需要進(jìn)行切斷、保存會(huì)話內(nèi)容；

實(shí)時(shí)系統(tǒng)監(jiān)控策略：部署的入侵檢測(cè)系統(tǒng)，開啟實(shí)時(shí)系統(tǒng)檢測(cè)策略，實(shí)時(shí)檢測(cè)并分析網(wǎng)絡(luò)應(yīng)用系統(tǒng)所接受的訪問數(shù)據(jù)包，對(duì)異常行為進(jìn)行報(bào)警；

網(wǎng)絡(luò)流量統(tǒng)計(jì)策略：對(duì)網(wǎng)絡(luò)引擎監(jiān)控的網(wǎng)段做流量統(tǒng)計(jì)功能，以圖形化和數(shù)字結(jié)合的方式顯示?？梢苑植煌囊?、不同的源、目的地址查看TCP 連接數(shù)目，網(wǎng)絡(luò)字節(jié)流量統(tǒng)計(jì)，網(wǎng)絡(luò)報(bào)文數(shù)據(jù)包數(shù)，會(huì)話連接數(shù)統(tǒng)計(jì)等多種統(tǒng)計(jì)信息。

（2）交換機(jī)作為網(wǎng)絡(luò)組成部分的網(wǎng)絡(luò)設(shè)備，也會(huì)成為攻擊者的目標(biāo)，也是影響網(wǎng)絡(luò)安全的重要因素。一旦管理員忽視了交換機(jī)的安全加固，那么交換機(jī)就可能成為攻擊者突破整個(gè)信息系統(tǒng)的安全缺口。以思科交換機(jī)為例，為了降低網(wǎng)絡(luò)設(shè)備帶來的風(fēng)險(xiǎn)，管理員需要對(duì)交換機(jī)采取如下的加固方案：

安全準(zhǔn)入加固：關(guān)閉所有不需要的物理空閑接口；實(shí)現(xiàn)端口綁定，防止MAC 地址欺騙；實(shí)現(xiàn)IP 源防護(hù)，防止IP地址欺騙；實(shí)現(xiàn)動(dòng)態(tài)ARP 防護(hù)，防止ARP 病毒；實(shí)現(xiàn)廣播風(fēng)暴抑制功能。

協(xié)議安全加固：禁止CDP(Cisco Discovery Protocol)；禁止TCP、UDP Small 服務(wù)；禁止HTTP 服務(wù)，開啟HTTPs服務(wù)；禁止Finger 服務(wù)；禁止BOOTP 服務(wù)；禁止IP Source Routing 服務(wù)；禁止IP Directed Broadcast 服務(wù)；開啟TCPKeepalives 服務(wù)。

設(shè)備登錄加固：設(shè)置高強(qiáng)度登陸密碼，至少大于8 位，最好有數(shù)字、字母、符號(hào)結(jié)合；開啟全局密碼安全加密功能；通過ACL 限制登陸設(shè)備的源地址，只有管理主機(jī)的IP 地址可以登陸；開啟遠(yuǎn)程登錄協(xié)議限制，關(guān)閉其他協(xié)議如Telnet登陸，開啟SSH 登陸；SSH 登錄次數(shù)限制為3 次；采用多用戶分權(quán)管理。

其他安全加固：設(shè)置復(fù)雜的SNMP 密碼，并部署SNMP ACL 實(shí)現(xiàn)訪問控制加固；開啟時(shí)間同步服務(wù)，方便后續(xù)安全審計(jì)；開啟日志服務(wù)，定義日志記錄級(jí)別，并同步到日志服務(wù)器。

（3）目前計(jì)算機(jī)病毒可以滲透到信息社會(huì)的各個(gè)領(lǐng)域，給信息系統(tǒng)帶來了巨大的破壞和潛在的威脅。2020 年2 月，印度APT 組織對(duì)我國(guó)醫(yī)療機(jī)構(gòu)發(fā)起持續(xù)性威脅攻擊，黑客利用疫情題材制作誘餌文檔，采用魚叉式攻擊，定向投放到醫(yī)療機(jī)構(gòu)領(lǐng)域。此次攻擊是為了獲取最新前沿的醫(yī)療新技術(shù)和醫(yī)療數(shù)據(jù)、擾亂中國(guó)的穩(wěn)定、制造更多的恐怖。這些攻擊非常有效，中小企業(yè)更容易受到這種網(wǎng)絡(luò)攻擊，為了確保企業(yè)的網(wǎng)絡(luò)安全，合理有效的預(yù)防是計(jì)算機(jī)病毒防治最經(jīng)濟(jì)有效的。病毒防治的措施可以分為管理措施和技術(shù)措施：

1.對(duì)用戶進(jìn)行安全教育，了解我國(guó)相關(guān)反計(jì)算機(jī)病毒法律法規(guī)，不參與病毒的制作與傳播。

2.增強(qiáng)用戶安全意識(shí)：不隨意打開來歷不明的郵件附件，不隨意安裝免費(fèi)的破解版軟件，不隨意點(diǎn)擊鏈接等。

3.安裝正規(guī)殺毒軟件公司的正版殺毒軟件，并合理配置病毒查殺、處理策略，保證殺毒軟件始終處于開啟狀態(tài)。

4. 及時(shí)更新病毒庫，定期掃描系統(tǒng)、查殺病毒，保證能在第一時(shí)間發(fā)現(xiàn)新的病毒及惡意代碼。

（4）通過部署安全審計(jì)系統(tǒng)，來抓取網(wǎng)絡(luò)中的訪問數(shù)據(jù)包，并進(jìn)行詳細(xì)的記錄，可在事后進(jìn)行匯總和分析，從而使網(wǎng)絡(luò)管理人員能夠隨時(shí)了解網(wǎng)絡(luò)終端的訪問行為。它能以旁路、透明的方式實(shí)時(shí)高速的對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的電子郵件和傳輸信息等進(jìn)行數(shù)據(jù)截取和還原，并可根據(jù)用戶需求對(duì)通信內(nèi)容進(jìn)行審計(jì)，提供高速的敏感關(guān)鍵詞檢索和標(biāo)記功能，從而為防止內(nèi)部網(wǎng)絡(luò)敏感信息的泄漏以及非法信息的傳播，它能完整的記錄各種信息的起始地址和使用者，為調(diào)查取證提供第一手的資料。

2.3 主機(jī)安全

當(dāng)數(shù)據(jù)通過網(wǎng)絡(luò)層傳輸進(jìn)入主機(jī)后，安全的實(shí)現(xiàn)就集中在操作系統(tǒng)層。操作系統(tǒng)層安全是實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)和處理的關(guān)鍵節(jié)點(diǎn)，我們需要加固系統(tǒng)，防患于未然。針對(duì)各種操作系統(tǒng)的漏洞和缺陷，我們應(yīng)該考慮實(shí)現(xiàn)身份鑒別，發(fā)現(xiàn)并修復(fù)系統(tǒng)漏洞，控制主機(jī)的外設(shè)端口并及時(shí)審計(jì)用戶的各種操作行為。

（1）建立有效身份鑒別機(jī)制，確保用戶主體在對(duì)客體訪問時(shí)標(biāo)記的唯一性和復(fù)雜性：

1.設(shè)置BIOS 密碼，BIOS 密碼也稱為CMOS 密碼，是用戶進(jìn)入計(jì)算機(jī)的第一道防護(hù)屏障。在計(jì)算機(jī)啟動(dòng)過程中，當(dāng)屏幕下方出現(xiàn)提示：“Press DEL to enter SETUP”時(shí)按住Del 鍵便可進(jìn)入。進(jìn)入后，分別設(shè)置“SUPERVISOR PASSWORD”和“USER PASSWORD”，并且設(shè)置兩個(gè)不同的密碼，保證密碼滿足長(zhǎng)度和復(fù)雜度的要求。

2.設(shè)置操作系統(tǒng)用戶名和密碼，普通用戶使用user 權(quán)限用戶名登陸計(jì)算機(jī)，保證密碼滿足長(zhǎng)度和復(fù)雜度的要求并定期更換。用戶身份鑒別成功后，當(dāng)空閑操作時(shí)間超過規(guī)定值，應(yīng)當(dāng)重新進(jìn)行身份鑒別。

3. 部署PKI/CA 系統(tǒng)，建立基于用戶身份認(rèn)證的管理平臺(tái)。身份鑒別方式采用USB KEY加PIN碼、生理特征識(shí)別等。通過該平臺(tái)，集中管理和分配帳戶信息，建立分組管理機(jī)制，通過組策略實(shí)現(xiàn)不同級(jí)別的權(quán)限管理。同時(shí)，PKI/CA 作為信息安全基礎(chǔ)設(shè)施的重要組成部分，是目前同時(shí)解決身份認(rèn)證、訪問控制、信息保密和抗抵賴最好的辦法。

（2）定期檢查用戶，刪除無用、過期的帳戶，保證所有用戶均為有效且在用。系統(tǒng)應(yīng)禁用Guset 帳戶，Guest 帳戶默認(rèn)不開啟。應(yīng)更改默認(rèn)的管理員名稱administrator，并配置帳戶鎖定策略，防止暴力破解等問題。

（3）禁用某些服務(wù)，防止不必要的服務(wù)帶來的安全問題，以WIN7 為例，如:Adaptive Brightness、Bluetooth Service、Bluetooth Support Service、Fax、Net.Tcp Port Sharing Service等。

（4）關(guān)閉系統(tǒng)的默認(rèn)共享。默認(rèn)共享的方式非常危險(xiǎn)，極易被黑客利用。關(guān)閉系統(tǒng)默認(rèn)共享的方法很多，可以通過系統(tǒng)設(shè)置、修改注冊(cè)表、批處理文件或卸載“文件和打印機(jī)共享”等方法。需要說明的是，如果卸載“文件和打印機(jī)共享”，則右擊文件夾時(shí)，彈出的快捷菜單中“共享”一項(xiàng)沒有了，因?yàn)閷?duì)應(yīng)的功能服務(wù)已經(jīng)被卸載了。另外，采用域管理的計(jì)算機(jī)，IPC$不能取消默認(rèn)共享。

（5）系統(tǒng)漏洞也是威脅系統(tǒng)安全的風(fēng)險(xiǎn)。系統(tǒng)漏洞是指操作系統(tǒng)在邏輯設(shè)計(jì)上的缺陷或錯(cuò)誤，如被不法者利用，可通過植入木馬、病毒等方式來攻擊或控制整個(gè)電腦，竊取電腦中重要資料和信息。2017 年5 月，WannaCry 病毒席卷全球，一旦電腦中了WannaCry 病毒，則電腦所有文件被加密，要求支付高昂比特幣費(fèi)用才能拿到解密秘鑰。這是近十年來影響范圍最大的一次黑客攻擊事件，全球共有150 多個(gè)國(guó)家超過30 萬臺(tái)電腦被感染，波及政府、學(xué)校、醫(yī)院、航班、金融等行業(yè)。此病毒基于NSA 網(wǎng)絡(luò)軍火庫中的“永恒之藍(lán)”漏洞進(jìn)行傳播，基于445 共享端口，微軟漏洞編號(hào)為ms17-010。 Windows 默認(rèn)開放的135、137、138、139、445和3389 端口，很容易被攻擊工具利用，帶來攻擊風(fēng)險(xiǎn)。所以，我們?cè)诠ぷ髦懈鶕?jù)業(yè)務(wù)需求，仔細(xì)分析定位是否需要關(guān)閉某些不需要的高危端口。同時(shí)，為了防范針對(duì)系統(tǒng)漏洞的攻擊，最經(jīng)濟(jì)有效地方法就是給受漏洞影響的系統(tǒng)打上安全補(bǔ)丁。運(yùn)維人員也可以利用漏洞掃描系統(tǒng)對(duì)主機(jī)、服務(wù)器等進(jìn)行檢測(cè)，發(fā)現(xiàn)系統(tǒng)內(nèi)信息設(shè)備的系統(tǒng)漏洞和弱口令。運(yùn)維人員針對(duì)檢測(cè)出的系統(tǒng)漏洞進(jìn)行評(píng)估，對(duì)系統(tǒng)補(bǔ)丁進(jìn)行測(cè)試，確認(rèn)正常后更新系統(tǒng)補(bǔ)丁，并及時(shí)修改弱口令。運(yùn)維人員定期開展漏洞掃描，持續(xù)評(píng)估并消減漏洞以降低數(shù)據(jù)泄露或者被破壞的風(fēng)險(xiǎn)。

（6）禁止終端違規(guī)進(jìn)行“一機(jī)多用”和“非法外聯(lián)”。非法外聯(lián)是指用戶不僅可以直接通過有限的網(wǎng)絡(luò)實(shí)現(xiàn)與其他電腦或Internet 實(shí)現(xiàn)互聯(lián)，也可以通過多種無線連接方式，例如無線局域網(wǎng)、紅外線、藍(lán)牙等實(shí)現(xiàn)網(wǎng)絡(luò)和設(shè)備和互聯(lián)。還可以通過終端提供的豐富的外設(shè)接口，例如USB 接口、COM 口、LPT 口、Modem 等多種接口，實(shí)現(xiàn)終端與外設(shè)、終端與終端或終端與網(wǎng)絡(luò)的互聯(lián)。借助終端提供的多種外聯(lián)通道，越權(quán)進(jìn)行非法網(wǎng)絡(luò)和設(shè)備外聯(lián)，隨意外發(fā)內(nèi)部敏感資料，同時(shí)也為病毒、木馬攻擊內(nèi)網(wǎng)提供了理想的通道。采用安全軟件進(jìn)行主機(jī)安全加固并對(duì)用戶的操作行為進(jìn)行審計(jì)，如通過主機(jī)監(jiān)控與審計(jì)系統(tǒng)對(duì)計(jì)算機(jī)的端口與外設(shè)硬件進(jìn)行控制，系統(tǒng)采用硬件設(shè)備驅(qū)動(dòng)級(jí)別的禁用方式實(shí)現(xiàn)對(duì)USB設(shè)備、串口、并口、軟驅(qū)、光驅(qū)、紅外設(shè)備、藍(lán)牙設(shè)備、網(wǎng)絡(luò)設(shè)備、1394 接口、打印設(shè)備禁用。并可通過對(duì)終端行為的管理與綜合審計(jì)，實(shí)現(xiàn)對(duì)各種事件信息進(jìn)行統(tǒng)計(jì)分析和事后跟蹤、追查。

2.4 應(yīng)用和數(shù)據(jù)安全

應(yīng)用和數(shù)據(jù)安全對(duì)信息系統(tǒng)而言是核心部分，應(yīng)用安全主要圍繞著各種應(yīng)用程序與時(shí)俱進(jìn)展開，主要包含如下內(nèi)容：

（1）結(jié)合網(wǎng)絡(luò)層、系統(tǒng)層的保護(hù)，加大對(duì)應(yīng)用資源的保護(hù)力度，三者相互協(xié)調(diào)保護(hù)，一方面提供應(yīng)用系統(tǒng)外的安全保護(hù)能力，另一方面實(shí)現(xiàn)應(yīng)用系統(tǒng)內(nèi)部的安全保護(hù)，內(nèi)外結(jié)合。

（2）應(yīng)用系統(tǒng)開發(fā)人員在編寫程序時(shí)，需要考慮潛在的安全問題，提高軟件自身容錯(cuò)性，例如：一個(gè)典型的針對(duì)SMTP 服務(wù)器的拒絕服務(wù)攻擊，攻擊者可能向SMTP 服務(wù)器發(fā)送大量email，使得郵件服務(wù)器資源都被消耗殆盡，最終不能處理合法用戶的請(qǐng)求。那么開發(fā)人員就應(yīng)限制單個(gè)用戶的多重并發(fā)會(huì)話，對(duì)應(yīng)用程序的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制，對(duì)一個(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)進(jìn)行限制，從而降低針對(duì)SMTP 的拒絕服務(wù)攻擊的風(fēng)險(xiǎn)。

（3）對(duì)應(yīng)用系統(tǒng)的運(yùn)行進(jìn)行實(shí)時(shí)監(jiān)控，一旦出現(xiàn)異常，及時(shí)報(bào)警，使事件得到快速響應(yīng)和處理，并提交審計(jì)報(bào)告，為應(yīng)用系統(tǒng)持續(xù)健康穩(wěn)定運(yùn)行提供技術(shù)保障。

（4）通過加密機(jī)制，保證通信數(shù)據(jù)和存儲(chǔ)數(shù)據(jù)的機(jī)密性。

（5）對(duì)信息系統(tǒng)關(guān)鍵核心應(yīng)用、網(wǎng)絡(luò)設(shè)備通過雙機(jī)熱備技術(shù)保證應(yīng)用數(shù)據(jù)及鏈路的穩(wěn)定安全。在系統(tǒng)軟件及硬件的支持下，設(shè)備在發(fā)生故障能自動(dòng)啟動(dòng)備份系統(tǒng)，而且主備之間的切換能夠?qū)崟r(shí)熱倒換，即運(yùn)行中即使發(fā)生設(shè)備故障切換也不會(huì)對(duì)網(wǎng)絡(luò)業(yè)務(wù)造成影響。

（6）對(duì)信息系統(tǒng)的關(guān)鍵部件采取冗余措施，采用分布式體系結(jié)構(gòu)，對(duì)設(shè)備的關(guān)鍵部件，如主控引擎、交換轉(zhuǎn)發(fā)單元、電源系統(tǒng)、散熱系統(tǒng)等，進(jìn)行冗余部署，保證系統(tǒng)在工作中不會(huì)全部失效。

（7）充分估算需要備份的應(yīng)用系統(tǒng)數(shù)據(jù)總量，設(shè)計(jì)合理的備份調(diào)度周期，完善備份制度和策略，建立統(tǒng)一備份系統(tǒng)。

3 結(jié)束語

信息安全具有動(dòng)態(tài)性，安全風(fēng)險(xiǎn)不斷在變化，信息系統(tǒng)的安全并非單純的技術(shù)解決方案，企業(yè)對(duì)全網(wǎng)的管控同樣很重要。在管理層面，我們的安全工作主要體現(xiàn)在制定嚴(yán)格的安全管理制度，明確安全職責(zé)劃分以及人員角色的合理配置。這些工作都可以在很大程度上降低其他層次的安全隱患。當(dāng)今網(wǎng)絡(luò)安全事件已經(jīng)完全滲透到真實(shí)世界里，通過建設(shè)信息系統(tǒng)的安全體系，保證信息系統(tǒng)的安全，全面的防御與規(guī)劃，才能使我們的企業(yè)擁有符合實(shí)際需求的信息安全縱深防御體系，防患于未然，避免出現(xiàn)重大安全事故。