信息安全防護方案探索

郭栩琪

（中國石油大連石化公司信息管理部，遼寧 大連 116032）

[關(guān)鍵字] 信息安全；解決方案；安全基線；WSUS；端口控制；網(wǎng)絡(luò)隔離

1 前言

截至2017年12月，我國網(wǎng)民規(guī)模達7.72億，普及率達到55.8%，超過全球平均水平（51.7%）4.1個百分點，超過亞洲平均水平（46.7%）9.1個百分點。全年共計新增網(wǎng)民4074萬人，增長率為5.6%，我國網(wǎng)民規(guī)模繼續(xù)保持平穩(wěn)增長[1]。雖然我國網(wǎng)民數(shù)量龐大，但是普遍“信息素養(yǎng)”較低，尤其缺乏信息安全意識，忽視個人主機及個人信息安全。

無論在局域網(wǎng)還是廣域網(wǎng)中，網(wǎng)絡(luò)的開放性、互聯(lián)性等特征使得各類終端安全極其容易受到侵害。網(wǎng)絡(luò)信息安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科[2]。它是為了保證系統(tǒng)連續(xù)可靠運行，網(wǎng)絡(luò)服務(wù)不間斷，數(shù)據(jù)信息不泄露，從而采取的防止網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及存儲的數(shù)據(jù)遭受意外損害或人為的惡意修改、破壞及盜取的手段的統(tǒng)稱。

為應(yīng)對層出不窮的網(wǎng)絡(luò)攻擊方式，單一的防護措施已無法確保網(wǎng)絡(luò)信息的安全性。因此，我們應(yīng)該以制度為約束，以技術(shù)為手段，建立備份巡查機制，并通過硬件軟件多層面綜合各種防護策略，建立立體的網(wǎng)絡(luò)安全防護體系，減少被黑客攻擊的可能，全方位保障信息安全。

2 大規(guī)模信息安全事件帶來的思考

近些年，從熊貓燒香病毒到勒索病毒，從遠程代碼攻擊到挖礦木馬來襲，網(wǎng)絡(luò)攻擊帶來的不僅是個人的經(jīng)濟損失，更有威脅國家安全的可能。以勒索病毒為例，2017年5月1日，勒索病毒“WannaCry”感染事件在全球爆發(fā)，該病毒屬于感染力極強的蠕蟲病毒，源自美國國家安全局網(wǎng)絡(luò)武器庫，并被不法分子利用成為黑客工具。此次病毒攻擊導(dǎo)致全球幾十萬臺的上網(wǎng)終端和服務(wù)器受到感染。在我國，感染區(qū)域主要為教育網(wǎng)用戶。

這種勒索軟件所利用的是微軟“視窗”操作系統(tǒng)445端口存在的漏洞，而早在3月份，微軟公司針對個人主機已發(fā)布了應(yīng)對“永恒之藍”的Windows Vista/7/8.1/1安全更新。那么為什么該病毒還會在5月份大規(guī)模爆發(fā)，引發(fā)全球性的信息安全事件呢？主要還是因為大部分的網(wǎng)絡(luò)用戶沒有及時更新系統(tǒng)補丁的習(xí)慣，在思想上缺乏網(wǎng)絡(luò)安全防范意識。

我國當(dāng)下的網(wǎng)絡(luò)安全投入現(xiàn)狀是，投資比例僅占信息化建設(shè)經(jīng)費整體比例的1%，相較于美國的15%和歐洲的10%，網(wǎng)絡(luò)安全的重視程度存在著巨大差距。

3 信息安全防護方案概述

為了降低系統(tǒng)被攻擊的可能性，保障信息安全，綜合各項技術(shù)手段，以內(nèi)網(wǎng)環(huán)境為前提，總結(jié)出以下方案用于提高網(wǎng)絡(luò)和終端的安全性。

3.1 信息系統(tǒng)口令

計算機終端、服務(wù)器、應(yīng)用系統(tǒng)、數(shù)據(jù)庫等都可設(shè)置用戶權(quán)限及密碼，而大多數(shù)網(wǎng)絡(luò)用戶對于信息系統(tǒng)密碼復(fù)雜度和保密性沒有足夠的重視，往往是多賬戶使用同一密碼，或者是為了方便記憶而使用低復(fù)雜度密碼，非常容易被黑客通過撞庫手段攻破。內(nèi)網(wǎng)中的某一設(shè)備一旦被侵入就可能成為病毒源，導(dǎo)致內(nèi)網(wǎng)設(shè)備大范圍被病毒感染。因此，應(yīng)從制度和技術(shù)兩方面入手，對可改進的系統(tǒng)增設(shè)密碼復(fù)雜度及密碼更新審查模塊，對暫不可改進的系統(tǒng)，從制度上要求用戶提高密碼復(fù)雜度，提高短時間內(nèi)被攻破的難度。

3.2 終端病毒防護軟件安裝

移動存儲設(shè)備的高頻使用和接入網(wǎng)絡(luò)的不確定性，使得服務(wù)器和計算機一定要安裝病毒防護軟件，依托先進技術(shù)建立“統(tǒng)一指揮、功能齊全、反應(yīng)靈敏、運轉(zhuǎn)高效”的應(yīng)急機制[3]，必要時可同國內(nèi)安全公司合作共同制定應(yīng)急方案，定制適用程度更高的病毒防護和終端安全檢測軟件。

做到對終端實時防護，定時查殺病毒，并制定工作計劃按期檢查系統(tǒng)安全等級，做到多等級不間斷巡防。

3.3 終端安全配置

終端（包括個人計算機和服務(wù)器）在入網(wǎng)前做到設(shè)備自身的安全配置加固，可降低被惡意攻擊的概率，安全配置項及其要求包括以下幾部分：

(1)對系統(tǒng)默認用戶名進行重命名，并關(guān)閉非必須使用的其他用戶；

(2)提高系統(tǒng)密碼復(fù)雜度及長度要求，并設(shè)定用戶必須定期更改密碼；

(3)用戶及用戶組權(quán)限按需分配；

(4)設(shè)定日志審計策略；

(5)系統(tǒng)服務(wù)最小化；

(6)謹慎使用遠程控制管理功能。

3.4 安裝漏洞補丁

漏洞指電子硬件、操作系統(tǒng)和軟件程序功能在設(shè)計制造過程中或者因配置不當(dāng)所導(dǎo)致的可以被黑客攻擊利用的弱點。比如前文我們提到的勒索病毒利用的是操作系統(tǒng)445端口漏洞進行攻擊，再比如攻擊波病毒利用的是微軟的RPC漏洞進行傳播，震蕩波病毒利用Windows的LSASS中存在的一個緩沖區(qū)溢出漏洞進行攻擊。

最為常見并且容易被黑客利用的漏洞分別是數(shù)據(jù)庫漏洞及操作系統(tǒng)漏洞，所以定期從官網(wǎng)下載并安裝補丁包是最行之有效的預(yù)防手段。需要注意的是，在安裝補丁包之前，應(yīng)對原系統(tǒng)進行備份，以防止補丁安裝失敗造成系統(tǒng)癱瘓導(dǎo)致業(yè)務(wù)中斷。

以Windows服務(wù)器操作系統(tǒng)為例，當(dāng)有大批存在于內(nèi)網(wǎng)的服務(wù)器需要運維的時候，逐一從外網(wǎng)下載補丁并進行安裝顯然極為低效，且不易于管理監(jiān)督，這時就可以選擇建立獨立的 Windows Server Update Services（WSUS），根據(jù)內(nèi)網(wǎng)各類設(shè)備需求，定期從外網(wǎng)下載Window s官網(wǎng)補丁包，然后切斷外網(wǎng)連接，將設(shè)備接入內(nèi)網(wǎng)進行推送安裝，這樣既降低了內(nèi)網(wǎng)設(shè)備下載外部文件時的中病毒風(fēng)險，也提高了補丁安裝效率。另外，在WSUS設(shè)置部分，推薦設(shè)立至少兩個組，一個測試組，用于測試補丁包安裝效果，以不影響業(yè)務(wù)系統(tǒng)運行為前提；一個實操組，組內(nèi)包括內(nèi)網(wǎng)真實運行的各類服務(wù)器，經(jīng)測試對內(nèi)網(wǎng)設(shè)備系統(tǒng)無影響的補丁進行內(nèi)部推送，以保證內(nèi)網(wǎng)設(shè)備運行的可靠性。

3.5 IP地址管理和訪問控制管理

IP地址的規(guī)劃和利用在網(wǎng)絡(luò)安全防護工作中應(yīng)予以足夠的重視。一方面，只有知道了IP地址，黑客才能進行有效攻擊，因此在攻擊初期黑客會通過網(wǎng)絡(luò)探測技術(shù)獲得目標(biāo)IP地址，所以通過利用代理服務(wù)器，隱藏真實的IP地址可以有效減少有針對性的攻擊行為。另一方面，可以通過制定網(wǎng)絡(luò)訪問控制策略，保證網(wǎng)絡(luò)資源不被非法使用和訪問，在網(wǎng)絡(luò)層面設(shè)置VLAN隔離和基于IP地址的訪問控制列表，尤其是核心服務(wù)器，更應(yīng)該對可登錄進行操作的IP地址進行集中管控。

3.6 服務(wù)最小化

盡可能關(guān)閉終端不用的服務(wù)，使得服務(wù)最小化。尤其是服務(wù)器，比如用于網(wǎng)頁訪問的RIS服務(wù)和共享打印服務(wù)，都有可能成為黑客攻擊的入口。

3.7 端口控制

不論是網(wǎng)絡(luò)中的設(shè)備終端還是提供網(wǎng)絡(luò)服務(wù)的交換機，端口的控制都應(yīng)根據(jù)具體需求進行嚴格規(guī)劃，比如用于共享的445端口，在不需要使用時應(yīng)予以關(guān)閉，再比如用于共享的3389端口，極易成為黑客侵入的入口，如果因業(yè)務(wù)需要無法關(guān)閉，建議將服務(wù)端口號自行更改為20000以上，確保設(shè)備不易被攻破。

3.8 網(wǎng)絡(luò)安全防護

網(wǎng)絡(luò)層面的安全設(shè)置是信息安全防護最基本的需求，在此，我們可以首先從內(nèi)外網(wǎng)隔離和分級設(shè)置防火墻入手。

加強網(wǎng)絡(luò)隔離技術(shù)的研究，嚴格執(zhí)行內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的隔離，對確保網(wǎng)絡(luò)信息安全具有十分重要的現(xiàn)實意義[4]。在網(wǎng)絡(luò)建設(shè)中，應(yīng)在物理層面將公司內(nèi)部應(yīng)用系統(tǒng)所使用的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)實施隔離，并對內(nèi)網(wǎng)重要設(shè)備實施外網(wǎng)使用限制措施，降低被侵入的概率。

網(wǎng)絡(luò)防火墻的使用可以按照設(shè)定的安全策略檢查網(wǎng)絡(luò)間傳輸?shù)臄?shù)據(jù)，并檢測網(wǎng)絡(luò)運行狀態(tài)。目前防火墻可分為包過濾型、地址轉(zhuǎn)換型、代理型、監(jiān)測型等幾種類型。在布網(wǎng)過程中，可以分級使用不同類型的防火墻。在內(nèi)外網(wǎng)銜接處，可以使用地址轉(zhuǎn)換型和代理型防火墻，地址轉(zhuǎn)換型防火墻會將內(nèi)部IP地址轉(zhuǎn)換成臨時的外部IP，對外部網(wǎng)絡(luò)隱藏內(nèi)網(wǎng)連接情況；代理型防火墻即代理服務(wù)器，位于客戶端與服務(wù)器之間，完全阻隔兩者間的數(shù)據(jù)交換，數(shù)據(jù)的上傳下載必須經(jīng)過代理服務(wù)器。在內(nèi)網(wǎng)和終端可以部署包過濾型和監(jiān)測型防火墻，包過濾型防火墻可以通過網(wǎng)絡(luò)的分包傳輸技術(shù)，讀取數(shù)據(jù)包中的地址信息用于判斷其來源是否可靠，并將危險源數(shù)據(jù)包拒之門外；監(jiān)測型防火墻對來自內(nèi)外網(wǎng)的攻擊都具備較強的防范作用。

另外，建議使用網(wǎng)絡(luò)入侵檢測產(chǎn)品，用戶可自行定義其與防火墻的聯(lián)動功能，實現(xiàn)動態(tài)防御，對于SQL注入、暴力密碼破解、緩沖區(qū)溢出、掃描探測、DOS攻擊、蠕蟲病毒、木馬后門等各類黑客攻擊和惡意流量進行實時檢測及報警。

3.9 安全制度的設(shè)立

只有行為的規(guī)范才能決定安全策略的有效性，因此應(yīng)該從制度上對信息安全等級和管理范圍進行劃分，制定有關(guān)責(zé)任人制度和終端操作規(guī)范，制定各類系統(tǒng)的維護制度和應(yīng)急措施等。這樣才可以有效保障信息安全和設(shè)備平穩(wěn)運行。

4 結(jié)束語

2017年《中華人民共和國網(wǎng)絡(luò)安全法》的正式實施，以及相關(guān)配套法規(guī)的陸續(xù)出臺，為此后開展的網(wǎng)絡(luò)安全工作提供了切實的法律保障。政府與企業(yè)共同打擊各類網(wǎng)絡(luò)安全問題，網(wǎng)民遭遇網(wǎng)絡(luò)安全問題的比例明顯下降。但是另一方面，勒索病毒的爆發(fā)使我們意識到，此次網(wǎng)絡(luò)安全事件的根源還是基礎(chǔ)操作系統(tǒng)出現(xiàn)的漏洞，微軟掌握了主動權(quán)[5]，假如微軟不提供補丁，任何用戶都沒有辦法。正如中國工程院院士倪光南所說“如果不是自主可控，就不可能安全”，目前，從網(wǎng)絡(luò)基礎(chǔ)設(shè)施到操作系統(tǒng)、CPU、GPU服務(wù)器軟件等大量互聯(lián)網(wǎng)基礎(chǔ)軟件和硬件大多是由國外設(shè)計、編碼、制造，其中的安全隱患自不用說。信息安全工作任重道遠，還有許多工作值得我們深入研究。