多措并舉強化單位辦公網絡安全

■ 山西 陳俊祺

編者按： 一般在小型單位中，其IT系統較為簡單，加之單位自身客觀條件限制，安全措施往往并不到位，因此，應隨時加強自身網絡安全建設，以防范網絡威脅的發生。

網管值班人員在例行的機房常規檢查中，發現兩臺業務服務器的關鍵服務異常關閉，經過仔細檢查確認該服務器被非法用戶遠程控制，不僅停了關鍵服務，破壞中間件，還從數據庫中刪除了部分關鍵數據。針對這一情況，網管部門立即召開緊急會議明確應急措施，經過一上午努力，系統恢復正常訪問，但丟失的數據直到一周后才恢復正常。綜合此次故障中的種種現象（數據庫數據被非法刪除、關鍵服務被中止和中間件部分文件丟失），大家一致認為：被黑客攻擊的可能性極大，但是由于技術設備的限制，未能有效地阻止黑客的攻擊，且缺乏事后相關日志的數據分析，難以拿出科學的證據。

事后，網管部門對這次事件進行了反思，發現這次事故的出現并不是偶然的，是因為我們先前對網絡安全重視不到位，網絡安全措施存在一定的缺陷。

之后，針對這些不足和缺陷，我們及時采取了多方面的安全措施，來保障業務應用系統的安全穩定運行。

加強入侵防御檢測措施

這是網絡安全防護的常規措施，強化配置入侵防御系統(IPS)，加強網絡邊界的安全防護，對入侵活動和攻擊性網絡異常行為進行預先判斷并主動攔截，避免其造成損失。

加強防火墻的配置與應用

在這次事件中，我們發現現有的硬件防火墻并沒有發揮到很好的防御效果，沒有將威脅防御在防火墻外。

經過與防火墻廠商的溝通，對防火墻做了以下兩點措施：將現有的防火墻系統版本升級，以便抵御最新的攻擊和入侵。對防火墻制定了更嚴格的策略和設置，將原來忽略的一些安全問題都進行了嚴格控制。

加強木馬檢測，嚴格控制移動存儲設備的使用

這次事件中，服務器被入侵，防火墻沒有起到很好的防御效果，很可能是在內部局域網中植入了木馬，而黑客也很可能通過木馬進入了服務器，對服務器進行了破壞活動。

經過認真分析，服務器通過網絡中木馬的可能性不大，因為服務器只是作為提供應用服務的設備，并不主動去連接網絡。那么另外一種可能就是通過移動存儲人為地感染了木馬。

為了避免再次出現類似的情況，我們制定了相關安全制度：要求單位內部所有電腦、服務器都安裝相關的“機關網絡終端安全管理系統”，可以查殺病毒木馬。嚴格控制個人移動存儲設備直接與服務器相連來傳輸數據，如果服務器確實有數據需要更新，相關的移動設備也必須進過掃描并確認沒有感染病毒和木馬后，才可以與服務器相連。

構筑安全的服務器環境

在構建安全網絡環境的同時，還必須構筑安全的服務器環境，這是服務器安全的最后一道屏障。

針對服務器采取了以下幾個措施：制定操作系統升級策略，確保操作系統及時打上最新補丁，不留任何系統漏洞；給系統裝了防病毒、防木馬安全軟件，確保出現問題及時查殺，關閉系統所有無關的服務和端口，避免黑客利用這類服務和端口對服務器進行攻擊；對部署在服務器上的中間件和其他應用程序也定期升級，修復系統漏洞，排除各種隱患。

加強準入措施

加強單位使用計算機的控制，嚴格控制外來計算機接入內網。本單位的計算機強制安裝了“機關網絡終端安全管理系統客戶端”強制性身份認證系統，否則內網不能訪問。

這樣就解決了非法用戶入網的問題。輔之以入網計算機與樓層交換機端口固定、VLAN固定、IP固定等手段，確認核實用戶身份。新入網計算機必須到網管部門辦理相關手續，在計算機上安裝“機關網絡終端安全管理客戶端”，在網管人員確認后，在“機關網絡終端安全管理系統”服務器端啟用該設備，方能激活入網。這樣不僅方便管理及溯源，而且解決了長期以來入網資產不清的問題，強化了網管部門“管”的力度。

通過以上措施，有效加強了單位的網絡安全，保障了服務器的穩定運行。在部署完以上所有措施后的一段時間內，服務器運行正常，并沒有再遭到攻擊，達到了預期效果。