論企業局域網環境下的病毒防御

李冰

[摘? ? 要] 近年來新型計算機病毒層出不窮，嚴重危害國家各個領域的正常生產秩序和信息安全。本文結合日常網絡運維經驗，探討企業局域網環境下的病毒防御工作部署，并就可持續性病毒防御進行了分析和展望。

[關鍵詞] 計算機病毒;病毒防御;物理隔離;補丁修復

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2019. 05. 066

[中圖分類號] TP309? ? [文獻標識碼]? A? ? ? [文章編號]? 1673 - 0194（2019）05- 0170- 04

1? ? ? 引? ? 言

近年來互聯網行業發展迅猛，隨之而來的互聯網病毒也日益猖獗。2017年的“永恒之藍”病毒（WannaCry）致使全球150多個國家和地區受到重大財產損失，其中主要波及各大企事業單位和高校，財產損失嚴重，社會影響惡劣。在這次重大病毒入侵之時人人自危，所有組織及個人紛紛尋找解決措施，其中主要方法無外乎開啟防火墻，關閉相關漏洞端口，更新系統補丁等。但互聯網、手機APP的廣泛應用使得黑客的“制毒”途徑越來越多，成本越來越低，新型病毒種類層出不窮，一次殺毒成功并不能一勞永逸。且過于封閉的管理方式有可能影響正常生產或因更新某一補丁導致系統癱瘓，因此如何周密地部署好病毒防御工作又不影響正常生產秩序，是每個企業亟須解決的問題，本文將就該問題進行分析與探討。

2? ? ? 病毒入侵方式及破壞形式

病毒文件通過不斷自我復制、加密、掃描系統漏洞等方式，對本機和網絡中所有可感染的計算機進行攻擊，這其中輕者占用系統資源，影響系統正常運行，重者竊取他人硬盤數據甚至進行敲詐勒索等違法行為，社會影響惡劣。下面總結病毒的幾種常見傳播形式。

2.1? ?文件感染傳播

典型的感染性病毒PolyRansom將用戶所有文檔加密后彈出勒索信息，由于PE類文件（文件類型為EXE、DLL、SYS等）被感染后具有感染其他文件的能力，因此如果此類文件被用戶攜帶（移動存儲介質、網絡共享等）到其他電腦上后運行，就會致使其他電腦的文件也被全部感染加密。

2.2? ?網站掛馬傳播

網站掛馬是通過獲取到網站或者網站服務器的一定權限后，在網頁文件中插入惡意代碼。這些惡意代碼主要是利用包括IE在內的多種瀏覽器漏洞，用戶訪問被掛馬的頁面時，如果系統沒有更新惡意代碼中利用的漏洞補丁，則會執行惡意代碼。

2.3? ?利用系統漏洞傳播

2017年5月爆發的WannaCry利用Windows系統139、445端口漏洞進行傳播。利用系統漏洞傳播的特點是被動式中毒，即用戶在沒有訪問惡意站點、沒有打開未知文件的情況下中毒。該類病毒會掃描同一網絡中存在漏洞的其他PC主機，只要主機沒有打上補丁，就會受到攻擊。

2.4? ?電子郵件附件傳播

偽裝成用戶需要查看的文檔是通過電子郵件附件進行病毒傳播的主要方式，如信用卡消費清單、工資明細等。當用戶打開后惡意代碼便會開始執行隱藏在郵件附件中的病毒程序。且這類偽裝病毒會批量發送給高校、企業等機構，這些機構中的電腦如存有重要文件，被惡意加密后支付贖金的可能性遠高于普通個人用戶，這也在某種程度上縱容了勒索病毒的傳播。

2.5? ?網絡共享文件傳播

部分木馬病毒、勒索病毒通過網絡共享空間、網盤、QQ群、論壇等網絡共享環境進行傳播，以分享的方式發送給特定人群誘騙下載安裝，從而實現后臺操縱用戶計算機竊取信息的目的。

2.6? ?軟件供應鏈傳播

病毒制作者通過劫持正常軟件的安裝、升級，在用戶進行正常軟件安裝、升級時增加誘導下載和安裝的程序達到病毒傳播的目的。這種傳播方式利用了用戶與軟件供應商之間的信任關系，成功繞開傳統殺毒軟件的監測，因此傳播方式更加隱蔽。

3? ? ? 企業局域網病毒防御

近年來各大企業緊跟信息化技術發展的步伐，在利用信息化技術提高企業生產效率的同時，也將公司的各類重要數據資源存于計算機和網絡環境中。對于該類社會組織，應更加注重網絡安全、信息安全，在應對日常病毒防御和突發病毒攻擊時，做到反應迅速行為嚴謹。本文以某中型企業局域網環境為例，論述病毒防御部署。根據數據存儲和傳輸的關鍵節點，結合企業網絡拓撲結構，“穩準狠”地開展病毒防御工作。

3.1? ?網絡設備

由網絡拓撲圖可以看出，整個網絡中為保證網絡安全和網絡資源的合理分配，配備了防火墻、路由器、交換機等網絡設備。病毒入侵企業網絡時，網絡設備是其必經之路，因此也是企業信息安全的第一道圍墻。網絡設備的生產廠商眾多，其中配置命令不盡相同，但功能設置和協議應用基本相同，配置要包含三個方面。

（1）按照國家網絡安全等級保護要求，明確企業等保級別，并按照相應級別逐條實施各項要求。為規范信息安全等級保護管理，提高信息安全保障能力和水平，維護國家安全、社會穩定和公共利益，保障和促進信息化建設，四部委聯合下發了《信息安全等級保護管理辦法》。根據辦法規定，信息系統的安全保護分為五個等級，并根據不同等級從物理部分（周邊環境、門禁檢查、電源管理等）、支撐系統（操作系統、通信系統、數據庫系統等）、網絡部分（網絡拓撲結構、網絡設備管理、網絡攻擊監測等）、應用系統（系統應用權限劃分、數據備份與容災處理、訪問控制等）和管理制度（管理的組織機構和各級職責、權限劃分和責任追究制度等）五部分進行保護。從拓撲圖中可知，根據業務保密和安全等級，該企業將網絡環境劃分多個不同網絡區域，針對不同區域進行通信訪問限定，如對局域網、互聯網和DMZ區進行通訊規則定義。

（2）結合網絡拓撲結構和企業業務需求，配置網絡設備。該拓撲圖中顯示，核心交換機2管理的WEB服務器和FTP服務器處于DMZ區，以實現企業外用戶可訪問DMZ區內數據但不能直接訪問核心交換機1所管理的服務器和終端計算機。這需要在防火墻、兩臺核心交換機上分別設置準入準出規則。同時根據企業應用軟件需求，在網絡設備上配置開啟所需端口的命令，以保證正常通信，且關閉業務不涉及或含高漏洞風險的端口。如在應對“永恒之藍”勒索病毒時采取的方法為限制各級路由器、交換機等設備的139端口和445端口的進站出站訪問。

（3）遇到突發病毒攻擊時，采取計算機運維中先硬后軟的原則，優先采取物理隔離。病毒突然爆發時，短時間查明爆發原因和提出解決辦法的難度較大。且在不確定被傳染范圍和受損失程度時，為避免計算機間傳播造成的更大損失，要第一時間實施物理隔離。此時物理隔離需直接切斷局域網與Internet的網絡連接，可直接免受互聯網的影響;再切斷所有網絡設備和服務器、終端計算機的網絡連接，以降低局域網內部病毒大規模擴散的風險。在得出病毒具體情況和解決辦法后，再逐級啟用相關網絡設備。

3.2? ?服務器

服務器為企業提供高性能、高可靠性的數據處理和數據存儲服務，因此也是惡意病毒入侵的主要目標之一，服務器一旦中毒將對企業生產運營產生不可估計的影響和損失。做好服務器的病毒防御工作，要做到：

（1）完善日常運維基礎工作，這包括：①安裝專業殺毒軟件。以趨勢科技防毒墻網絡版為例，其優勢在于在企業內部網絡環境下針對網關、群件、服務器和PC端分類管理，實行跨網段的病毒防護、內容過濾、文件隔離，并可自動更新病毒代碼、掃描引擎、程序補丁。值得一提的是，為減少網站木馬病毒的入侵，近年來部分瀏覽器開發商也陸續推出了網頁內識別和過濾含惡意代碼網頁的功能。②配置服務器系統操作安全基線。安全基線是企業系統安全的最低要求，其對服務和應用程序設置、操作系統組件的配置、權限和權利分配和管理規則等內容做出了要求。③定期備份和異地災備服務器內重要數據。為將企業損失降到最低需要做定期備份，以實現數據恢復的可選擇性。且為防止因系統故障、物理環境變化而導致的數據丟失，還應對重要數據做異地災備，確保數據存儲的安全性。這兩種方式同等重要。

（2）按需更新系統補丁和軟件升級補丁。首先，判斷補丁內容是否為當前系統所需，如一臺未安裝和應用flash插件的服務器就不需要安裝與flash相關的插件產品。其次，確定補丁內容和所影響范圍。同時要確定應用軟件補丁包的內容與系統運行環境要求，評估補丁安裝后在系統資源的占用率，以確定軟硬件系統的協同利用。

（3）嚴格限制服務器訪問和操作權限。包括用戶訪問權限、遠程控制權限及更細化的軟件安裝、數據庫管理等權限，以防病毒利用管理漏洞取得操作權限進行惡意破壞。如遠程桌面的默認端口號為3389，WORM_MORTO.SMA蠕蟲病毒會利用該端口漏洞將惡意代碼保存到注冊表中，實現隨意遠程操控計算機的目的，對于該類病毒需要更改遠程桌面的默認端口并增加遠程桌面用戶訪問權限限制。

（4）病毒防御工作開始前做好系統備份和數據庫異地備份。如圖一中所示，該企業中包含物理機服務器和VMWare服務器虛擬化產品（由ESXi服務器虛擬出若干虛擬服務器）。在物理機服務器上做補丁升級或其他病毒防御工作前，可利用Windows Server系統中自帶的Windows Server Backup功能或將物理機遷移至虛擬服務器中;在虛擬機服務器上做補丁升級或其他病毒防御工作前，可克隆該服務器或做相關備份，即復制一臺與該臺虛擬服務器各項配置完全一致的虛擬服務器。此操作可避免補丁升級或查殺病毒時對操作系統造成的意外影響，原虛擬機系統崩潰時可立即啟用克隆虛擬機。對于安裝了Oracle、SQL SERVER等數據庫產品的服務器，在病毒防御工作開始前需進行數據庫備份，并將備份文件存于其他安全的網絡空間上，這樣即便系統發生癱瘓，也可通過備份恢復數據庫。

3.3? ?終端計算機

終端計算機（以下簡稱為計算機）是各類病毒入侵的重災區，電子郵件病毒、系統漏洞病毒、文件感染病毒等都通過計算機實現快速感染和傳播的目的。計算機病毒防御，與服務器病毒防御相類似，要在日常運維基礎工作中安裝專業殺毒軟件、配置計算機安全基線、定期備份計算機內重要數據、按需安裝系統補丁和軟件補丁。此外，根據計算機應用的特點，需注意以下內容。

3.3.1? ?電子郵件防毒

據統計，在互聯網中每125封郵件中就有1封郵件含有惡意病毒。電子郵件中的病毒程序多偽裝成用戶所需的文檔、鏈接，因此就以下幾個關鍵內容提高病毒郵件識別意識十分必要。

①主題：根據個人工作內容，日常工作中所收到郵件皆與工作有關，主題含明確的工作內容。但病毒郵件會批量發送，主題名多具有迷惑性，誘導用戶查看郵件。這類主題多為“本月工資清單”“請您打開郵件”等。②郵件內容：正常的往來郵件內容通常字體大小、顏色統一，近年來有些病毒利用算法批量發送郵件，使得郵件稱呼、署名具有迷惑性，在郵件內容上顯示為多段落間字體大小不一，字體顏色多樣，中英文參雜，段落間文字排序不整齊等現象。同時，郵件內容中如出現網址鏈接也要提高警惕，避免打開含病毒網站。③發件人：發件人識別是識別病毒郵件的重要一環。發現疑似病毒郵件時可以通過發件人做出最終判斷。電子郵箱格式通常為“賬戶名@域名”，常規賬戶名申請時為方便記憶或提高辨識度，用戶名多包含個人姓名、職稱、單位名稱、詞組等，域名為企業或機構注冊的正規域名。病毒郵件的發件人特點則為賬戶名或域名為隨機字母組合，無命名規律或仿照正規域名，如123@s0hu.com就是仿照知名域名“sohu.com”來迷惑用戶。④附件：電子郵件附件為病毒郵件傳播的重要媒介，黑客將木馬等病毒程序寫入附件中，附件文件格式偽裝成普通文件，如.doc或.xls等，附件文件名也多采用類似于主題命名的方式，誘導用戶打開病毒附件。發現疑似病毒時，需將附件下載到本地硬盤后利用殺毒軟件進行甄別。

3.3.2? ?移動存儲介質病毒防御

移動存儲介質（以下簡稱為介質）包括U盤、移動硬盤和光盤等設備。其中可擦寫光盤存在染毒風險，已封盤光盤除非第一次刻錄時就將病毒代碼寫入其中，否則日常讀取數據并不會傳播病毒。為避免將介質中的病毒傳播到計算機中就要在計算機和介質兩方面采取病毒防護措施。

計算機中關閉介質自動讀取。在計算機“本地組策略編輯器”中，做相關配置，關閉自動播放，避免介質插入計算機后自動播放。

安裝殺毒軟件和U盤專殺工具，插入介質后，先運行殺毒工具，確定安全后再讀取其中數據。對于涉密的企事業單位，設置中間轉換機（即實現物理隔離、獨立運行的專用計算機），以實現涉密移動介質與內部涉密計算機或信息系統的交互。

3.3.3? ?病毒修復工具

發現計算機內數據被病毒破壞時，務必注意不可以在已被破壞的硬盤上再做讀寫操作，保護好病毒的“犯罪現場”，利用專業修復工具進行數據修復。其中，一部分病毒修復工具已集成在殺毒軟件中，可自動或人為的對文件進行修復。另有針對具體病毒開發的修復工具，在網絡中搜索下載。對于文件被刪除或改寫的需利用專業硬盤數據恢復工具，如EasyRecovery等，進行文件恢復。計算機如遭受攻擊可使用以上方式進行修復，但即便有修復工具，仍存在部分文件不能找回的可能性。

4? ? ? 可持續性病毒防御探索

隨著互聯網行業的興起和計算機應用領域的不斷拓展，病毒的破壞性升級，隱蔽性增強，病毒防御工作任重而道遠。由于病毒防御通常存在一定滯后，即有時病毒發生后才發現風險制定解決方案。這就要求企業做好可持續性病毒防御工作，這一點與消防安全工作有著很多共通之處。消防安全注重提高安全意識，易燃易爆品不得曝露在空氣中，同樣重要信息數據也不可隨意存儲在互聯網環境中，要做加密和權限訪問控制。國家高度重視消防安全知識的普及，同樣企業內部也要做好計算機病毒知識和防御方法的普及，例如有效識別出電子郵件病毒并及時刪除病毒郵件即可有效降低終端計算機感染和傳播病毒的風險。學習使用消防器械可以在危急時刻及時采取挽救措施，同樣學會使用各類殺毒工具和數據恢復工具也可挽救企業的經濟損失。可以說，無論單從企業的商業機密保護、生產數據安全，還是大到國家的網絡信息安全和長治久安，病毒防御工作都是一項時刻不能松懈，需要各級部門提高危機意識，提升業務水平，形成病毒的可持續性防御機制。

主要參考文獻

[1]騰訊電腦管家.騰訊安全2017年度互聯網安全報告[EB/OL].https：//guanjia.qq.com/news/n1/2258.html.

[2]宋安紅.計算機漏洞防范措施研究[J].農村經濟與科技，2011，22（6）：218-219.

[3]吳秋玫.從“WannaCry”勒索病毒看信息安全運維中的不足[J].電子技術與軟件工程，2017（19）：202-203.