關(guān)于鐵路辦公網(wǎng)網(wǎng)絡(luò)安全的思考與實(shí)踐

任燕春

（呼鐵局包頭電務(wù)段，內(nèi)蒙古 包頭 014040）

一、預(yù)防感染病毒的端口設(shè)置

2017年國(guó)內(nèi)多所院校和企業(yè)出現(xiàn)ONION勒索軟件感染情況，磁盤文件會(huì)被病毒加密為.onion后綴，只有支付高額贖金才能解密恢復(fù)文件，對(duì)學(xué)習(xí)資料和個(gè)人數(shù)據(jù)造成嚴(yán)重?fù)p失。勒索病毒利用Windows操作系統(tǒng)445端口存在的漏洞進(jìn)行傳播，并具有自我復(fù)制、主動(dòng)傳播的特性。為了防止感染病毒，應(yīng)該對(duì)這些存在潛在感染病毒風(fēng)險(xiǎn)的135/137/138/139/445/端口進(jìn)行關(guān)閉。

端口簡(jiǎn)介：

135端口：135端口就是RPC通信中的橋梁，該端口被攻擊者采用了一種DCOM技術(shù)，可以直接對(duì)其他工作站的DCOM程序進(jìn)行遠(yuǎn)程控制。DCOM技術(shù)與對(duì)方計(jì)算機(jī)進(jìn)行通信時(shí)，會(huì)自動(dòng)調(diào)用目標(biāo)主機(jī)中的RPC服務(wù)，而RPC服務(wù)將自動(dòng)詢問(wèn)目標(biāo)主機(jī)中的135端口，并且獲取當(dāng)前有哪些端口可以被用來(lái)通信。

137端口：137端口的主要作用是在局域網(wǎng)中提供計(jì)算機(jī)的名字或IP地址查詢服務(wù)，一般安裝了NetBIOS協(xié)議后，該端口會(huì)自動(dòng)處于開放狀態(tài)。要是非法入侵者知道目標(biāo)主機(jī)的IP地址，并向該地址的137端口發(fā)送一個(gè)連接請(qǐng)求時(shí)，就可能獲得目標(biāo)主機(jī)的相關(guān)名稱信息。例如目標(biāo)主機(jī)的計(jì)算機(jī)名稱，注冊(cè)該目標(biāo)主機(jī)的用戶信息，目標(biāo)主機(jī)本次開機(jī)、關(guān)機(jī)時(shí)間等。

138端口：138端口都屬于UDP端口，主要作用就是提供NetBIOS環(huán)境下的計(jì)算機(jī)名瀏覽功能。非法入侵者要是與目標(biāo)主機(jī)的138端口建立連接請(qǐng)求的話，就能輕松獲得目標(biāo)主機(jī)所處的局域網(wǎng)網(wǎng)絡(luò)名稱以及目標(biāo)主機(jī)的計(jì)算機(jī)名稱。有了計(jì)算機(jī)名稱，其對(duì)應(yīng)的IP地址也就能輕松獲得。如此一來(lái)，就為黑客進(jìn)一步攻擊系統(tǒng)帶來(lái)了便利。

139端口：139端口是一種TCP端口，主要作用是通過(guò)網(wǎng)上鄰居訪問(wèn)局域網(wǎng)中的共享文件或共享打印機(jī)。黑客要是與目標(biāo)主機(jī)的139端口建立連接的話，就很有可能瀏覽到指定網(wǎng)段內(nèi)所有工作站中的全部共享信息，甚至可以對(duì)目標(biāo)主機(jī)中的共享文件夾進(jìn)行各種編輯、刪除等操作，倘若攻擊者還知道目標(biāo)主機(jī)的IP地址和登錄帳號(hào)的話，還能輕而易舉地查看到目標(biāo)主機(jī)中的隱藏共享信息。

445端口：是一種TCP端口，功能與139端口幾乎一致，也是提供局域網(wǎng)中文件或打印機(jī)共享服務(wù)。區(qū)別就是該端口是基于CIFS協(xié)議（通用因特網(wǎng)文件系統(tǒng)協(xié)議）工作的，而139端口是基于SMB協(xié)議（服務(wù)器協(xié)議族）對(duì)外提供共享服務(wù)，所以要關(guān)閉文件共享，那么需要同時(shí)關(guān)閉139和445端口。

二、嚴(yán)禁一機(jī)雙網(wǎng)的IP安全策略

鐵路單位明令規(guī)定辦公電腦嚴(yán)禁一機(jī)雙網(wǎng)，但是如果對(duì)計(jì)算機(jī)本地不進(jìn)行IP安全策略系統(tǒng)設(shè)置的話，辦公電腦在理論上仍然存在上互聯(lián)網(wǎng)的風(fēng)險(xiǎn)。上互聯(lián)網(wǎng)主要有兩種方式，一種是改接寬帶網(wǎng)線上網(wǎng)，另一種是外接USB無(wú)線網(wǎng)卡上網(wǎng)。

接寬帶上網(wǎng)行為，可通過(guò)設(shè)置本地IP安全策略，僅容許通過(guò)本機(jī)唯一分配的IP地址訪問(wèn)單位局域網(wǎng)，除此之外的上網(wǎng)行為一律禁止。IP安全策略是一個(gè)給予通訊分析的策略，它將通訊內(nèi)容與設(shè)定好的規(guī)則進(jìn)行比較以判斷通訊是否與預(yù)期相吻合，然后決定是允許還是拒絕通訊的傳輸，它彌補(bǔ)了傳統(tǒng)TCP/IP設(shè)計(jì)上的"隨意信任"重大安全漏洞，可以實(shí)現(xiàn)更仔細(xì)更精確的TCP/IP安全，也就是說(shuō)，當(dāng)我們配置好IP安全策略后，就相當(dāng)于擁有了一個(gè)免費(fèi)但功能完善的個(gè)人防火墻。

外接USB無(wú)線網(wǎng)卡上網(wǎng)行為，無(wú)線上網(wǎng)相關(guān)的WLANSVC和WWAN AutoConfig服務(wù)默認(rèn)是開啟的，可通過(guò)關(guān)閉上述服務(wù)來(lái)禁止無(wú)線網(wǎng)卡上網(wǎng)行為。WLANSVC 服務(wù)提供配置、發(fā)現(xiàn)、連接、斷開與 IEEE 802.11 標(biāo)準(zhǔn)定義的無(wú)線局域網(wǎng)（WLAN）的連接所需的邏輯。它還包含將計(jì)算機(jī)變成軟件訪問(wèn)點(diǎn)的邏輯，以便其他設(shè)備或計(jì)算機(jī)可以使用支持它的 WLAN 適配器無(wú)線連接到計(jì)算機(jī)。停止或禁用 WLANSVC 服務(wù)將使得計(jì)算機(jī)上的所有 WLAN 適配器無(wú)法訪問(wèn) Windows 網(wǎng)絡(luò)連接 UI。WWAN AutoConfig該服務(wù)管理移動(dòng)寬帶（GSM 和 CDMA）數(shù)據(jù)卡/嵌入式模塊適配器和自動(dòng)配置網(wǎng)絡(luò)的連接。單位辦公電腦如果不容許外接USB無(wú)線網(wǎng)卡上互聯(lián)網(wǎng)，強(qiáng)烈建議關(guān)閉上述兩項(xiàng)服務(wù)，進(jìn)一步防止單位辦公電腦接通互聯(lián)網(wǎng)。

三、確保網(wǎng)絡(luò)安全策略穩(wěn)定運(yùn)行

為了防止這些安全設(shè)置被用戶誤操作而發(fā)生改動(dòng)，可將計(jì)算機(jī)管理員用戶加密禁止使用，日常辦公使用標(biāo)準(zhǔn)用戶即可，可防確保當(dāng)前辦公網(wǎng)絡(luò)安全策略穩(wěn)定運(yùn)行。

管理員賬戶是具有最大權(quán)限的賬戶，管理員可以更改安全設(shè)置，安裝軟件和硬件，訪問(wèn)計(jì)算機(jī)上的所有文件。管理員還可以對(duì)其他用戶帳戶進(jìn)行更改。標(biāo)準(zhǔn)用戶帳戶允許用戶使用計(jì)算機(jī)的大多數(shù)功能，當(dāng)您使用標(biāo)準(zhǔn)帳戶登錄到系統(tǒng)時(shí)，您可以執(zhí)行管理員帳戶下的幾乎所有的操作，但是如果要執(zhí)行影響該計(jì)算機(jī)其他用戶的操作（如更改安全設(shè)置），則系統(tǒng)可能要求您提供管理員帳戶的密碼。建議為每個(gè)計(jì)算機(jī)創(chuàng)建一個(gè)標(biāo)準(zhǔn)帳戶供日常辦公使用。使用標(biāo)準(zhǔn)用戶帳戶比使用管理員帳戶更安全。

結(jié)語(yǔ)：

綜上所述，端口封閉、IP安全策略、在一定程度上增強(qiáng)了網(wǎng)絡(luò)抵抗外來(lái)攻擊的能力，但若想更加安全地確保當(dāng)前辦公網(wǎng)絡(luò)安全策略穩(wěn)定運(yùn)行，禁用管理員賬號(hào)改用標(biāo)準(zhǔn)賬號(hào)是防之有效的方法，也在很大程度上提高了計(jì)算機(jī)上網(wǎng)的的可靠性、安全性。