遠程控制與縣級氣象信息網絡安全淺析

摘要:從遠程控制技術應用原理入手，分析網絡木馬病毒運行機制特點，結合縣級氣象信息網絡安全隱患現狀，提出相應措施加以防范。

關鍵詞:遠程控制;木馬病毒;網絡安全

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)21-5731-04

遠程控制技術，始于DOS時代，隨著信息網絡的高度發展，自由穿透的遠程操作及控制技術越來越引起人們的關注，具有廣泛的發展空間和應用空間。筆者曾運用遠程控制軟件技術(當然亦可用Windows自帶的遠程協助功能)實現單位管理層共享大院探測環境錄像監控資源，其實現過程的應用原理自然而然地讓人想起可以嚴重影響信息網絡安全的木馬病毒。

1 遠程控制與木馬病毒技術

遠程控制軟件可以為我們的氣象網絡管理做很多工作，以保證網絡和計算機操作系統的安全。這類程序的監聽功能，也是為了保證網絡的安全而設計的。為了達到遠程控制的目的，就必須將這些軟件隱蔽起來，例如遠程控制程序本身附著在某些Windows程序上，以增強駐留系統的可靠性。然而，正是由于這種功能，才使遠程控制變得可怕起來，也使遠程控制軟件、病毒和木馬程序之間的區別變得越來越模糊。

1.1 遠程控制軟件技術原理

遠程控制必須通過網絡才能進行，需要良好的硬件支持和關鍵的遠程控制軟件協助來實現，支持LAN、WAN、撥號方式、互聯網方式。有的還支持通過串口、并口、紅外端口;一般使用NETBEUI、NETBIOS、IPX/SPX、TCP/IP等協議。隨著網絡技術的發展，目前很多遠程控制軟件提供通過Web頁面以Java技術來控制遠程電腦，實現不同操作系統下的遠程控制。

遠程控制軟件一般分兩個部分:一部分是客戶端(或叫主控端)程序Client，另一部分是服務器端(或叫被控端)程序Server，在使用前需要將客戶端程序安裝到主控端電腦上，將服務器端程序安裝到被控端電腦上(應先知曉或設置好進入被控端電腦用戶賬戶、密碼)。它的控制的過程一般是先在主控端電腦上

執行客戶端程序，像一個普通的客戶一樣向被控端電腦中的服務器端程序發出信號，建立一個特殊的遠程服務，然后通過這個遠程服務，使用各種遠程控制功能發送遠程控制命令，控制被控端電腦中的各種應用程序運行。遠程控制軟件控制方式基于遠程服務，為控制和被控制雙方提供隧道。通過遠程控制軟件，我們可以進行很多方面的遠程控制。

1.2 木馬病毒技術原理、特征

1.2.1木馬

木馬就是遠程控制軟件的一種，也稱為后門軟件，以實現遠程控制被控端達到竊取密碼、文件操作、修改注冊表、系統操作等為目的。利用操作系統的漏洞或者使用者的疏忽來進入系統并在遠程控制下從系統內部攻擊系統。木馬亦屬于客戶/服務模式，分兩大部分，即客戶端和服務端。其原理是一臺主機提供服務(服務器)，另一臺主機接受服務(客戶機)，作為服務器的主機一般會打開一個默認的端口進行監聽。如果有客戶機向服務器的這一端口提出連接請求，服務器上的相應程序就會自動運行，來應答客戶機的請求。在木馬進行配置木馬→傳播木馬→運行木馬→信息泄露→建立連接→遠程控制的網絡入侵過程中，傳播木馬(涉及到傳播方式與偽裝方式)是重要的一步。

木馬傳播方式一是由控制端通過E-MAIL方式將木馬程序以附件形式從郵件中發出，收信人只要打開附件系統就會感染木馬;另一種是軟件下載，一些非正規網站以提供軟件下載為名義，將木馬捆綁在軟件安裝程序上，下載后，只要一運行這些程序，木馬則自動安裝。

木馬偽裝方式有:修改圖標、捆綁文件、出錯顯示、定制端口(以在1024~65535之間任選一個端口作為木馬端口而一般不選1024以下端口，定制端口給判斷所感染的木馬類型帶來了麻煩，)、自我銷毀、木馬更名等方式。其隱藏方式方法如下:任務欄里隱藏(在Visual Basic中，把form的Viseble屬性設置為False，ShowInTaskBar設為False)、任務管理器里隱藏(將木馬設為“系統服務”)、端口隱藏(使用1024到49151的注冊端口及49152到65535的動態和/或私有端口，極少用公認端口0~1023，且呈越來越大的趨勢，可提供端口修改功能的木馬更不易被發現)、加載方式隱藏(不斷進步的網站互動化促使多樣化木馬的傳播介質，導致木馬的快速進化)、木馬名字的隱藏(改為和系統文件名差不多的名字)、最新隱身技術[修改虛擬設備驅動程序(vxd)或修改動態鏈接庫(DLL)，變原有木馬監聽端口模式為替代系統功能的方法]。

從木馬進行網絡入侵的過程看，木馬具有隱藏性、自動運行性、網絡通訊、欺騙性特征。一個成功的木馬程序必須具備這四個特征，缺一不可。因此，我們可以利用其中的任何一個特征來防范木馬的入侵。一旦阻止了木馬的上述特征中的某一環的實現，就可以成功阻止木馬的入侵。

從木馬網絡入侵所具有的特征中亦可以看出:木馬與遠程控制軟件的最大區別就是木馬具有隱蔽性而遠程控制軟件沒有。

1.2.2計算機病毒

計算機病毒是能夠通過某種途徑潛伏在計算機存儲介質(或程序)里，當達到某種條件時即被激活的具有對計算機資源進行破壞作用的一種程序或指令集合。計算機病毒一般具有以下幾個特征:破壞性，凡是由軟件手段能觸及到計算機資源的地方均可能受到計算機病毒破壞;隱蔽性，病毒程序大多夾在正常程序中，難以被發現;潛伏性，病毒入侵后，一般不立即活動，需要等一段時間，條件成熟后再作用;傳染性，通過修改別的程序，并把自身的拷貝包括進去，從而達到擴散的目的。

從計算機病毒的定義及其特征中可以看出，木馬程序與病毒最基本的區別就在于病毒有很強的傳染性，而木馬程序沒有。

1.2.3木馬病毒

隨著病毒技術的發展，計算機病毒也在向木馬程序靠近，使病毒具有遠程控制的功能。木馬病毒，顧名思義，就是木馬與病毒技術的結合體，一種偽裝潛伏的網絡病毒，等待時機成熟，一經觸發即可威脅到數據、系統、網絡安全。:通過電子郵件附件發出、捆綁在其他的程序中是其傳染方式;修改注冊表、駐留內存、在系統中安裝后門程序、開機加載附帶木馬是其特性;而木馬病毒的破壞性則表現在:木馬病毒的發作要在用戶的機器里運行客戶端程序，一旦發作，就可設置后門，定時地發送該用戶的隱私到木馬程序指定的地址，一般同時內置可進入該用戶電腦的端口，并可任意控制此計算機，進行文件刪除、拷貝、改密碼等非法操作。

遠程控制軟件與木馬病毒都具有遠程控制的功能，前者為方便網絡維護與管理、給我們的氣象工作帶來便利的同時，木馬病毒程序卻作為少數害群之馬入侵網絡的工具，盜取重要信息，從中獲取利益，破壞被攻擊的計算機中的信息等，肆意威脅信息網絡的安全與穩定。只有熟悉遠程控制與木馬病毒的運行機制原理特征，才能使有益的技術為我所用，而對網絡安全則應防患于未然。

2 縣級氣象網絡安全隱患現狀

隨著我省氣象業務技術體制改革的縱深發展，省、市、縣氣象信息網絡互聯、氣象業務現代化、辦公自動化程度加快，更多的業務與辦公平臺依托Internet。俗語說，千里之堤，潰于蟻穴，做好技術水平相對薄弱的縣級氣象網絡安全工作更具重要意義。目前縣級氣象網絡安全易受惡意遠程控制、木馬病毒入侵進而遭致破壞的現狀隱患主要表現在以下幾點:

① 網絡安全管理松散，造成外來存儲介質隨意使用、外來人員隨意上網;上不正當網站，隨意利用Internet網絡上傳、下載軟件、圖片、視頻文件，安裝使用與氣象業務無關的聊天與游戲軟件、插件等，不及時清理上網信息;人為修改系統設置與破壞系統文件，隨意共享文件(夾)與硬盤等，直接為惡意遠程控制、木馬病毒的傳播、種植、感染提供便利，從而開啟網絡安全的大門。

② 縣級氣象局域網外電腦設置入網，直接或間接泄露本局網絡結構(含拓撲結構、組網技術、硬件技術重要參數、IP地址、網絡帳號與密碼);

③ 用戶帳戶管理混亂，密碼保護不嚴密;網絡密碼過于簡單，使用期限長;

④ 敞開不必要服務端口，打開不必要的網絡協議;

⑤ 系統IP存在被盜用或泄露的安全隱患;

⑥ 任由系統漏洞存在，殺毒軟件及防火墻不及時升級;

⑦ 盲目使用系統優化軟件;

⑧ 數據備份不及時。

3 結合縣級氣象信息網絡安全隱患提出防范措施

3.1 從工作、管理制度入手

建立健全氣象信息網絡安全工作、管理制度，從行為上約束外來存儲介質使用、外來人員上網、上不正當網站、隨意利用Internet、vpn網絡上傳、下載軟件、圖片、視頻文件，做到及時清理上網信息，嚴禁安裝使用與氣象業務無關的聊天與游戲等其它軟件、人為修改系統設置與破壞系統文件、隨意共享文件(夾)與硬盤、嚴禁局內人員泄露網絡結構或局外計算機入網等。從源頭上杜絕或減少發生惡意遠程控制端隱性配置、木馬的傳播與病毒感染的可能性。

3.2 技術防范措施

3.2.1 重命名和禁用默認的帳戶，使用復雜的密碼

剛安裝好Windows的系統會自動建立兩個賬戶:Administrator(擁有最高權限)和Guest，這樣的賬戶設置若有黑客或者遭遇其他惡意破壞可嚴重危害系統的安全。應在安全模式下把Administrator賬戶的名稱改掉，然后建立一個幾乎沒有任何權限的假Administrator賬戶，用以迷惑入侵者。

創建強密碼(含帳戶、軟件、登陸網站等密碼)的要領是:①密碼要足夠長(8≤X≤16)，忌:使用全部或部分登錄名;②包括大小寫字母、數字和符號，忌:使用任何語言中的實際詞;③第六位必須至少有一個符號字符，忌:使用數字代替類似的字母來構成單詞;④至少使用四個不同的字符，忌:使用連續字母或數字;⑤使用隨機數和字母，忌:使用鍵盤中的鄰近鍵。密碼的管理應注意三項:秘密;不在網上使用“記住我的密碼”功能;至少每六個月更改一次密碼。

3.2.2 為系統漏洞打上補丁，及時升級應用軟件

快速的系統、軟件升級周期，會造成問題系統、軟件的出現，出現操作系統和應用程序存在新的攻擊漏洞而留下隱患。開啟系統自動更新，或從update.microsoft.com網站，或利用瑞星的殺毒、防火墻和上網助手中的系統漏洞掃描下載安裝。及時升級氣象業務等軟件至最新版本。

3.2.3 關閉氣象業務用機系統不必要的端口(服務)、協議，終止非法進程

網絡技術中邏輯端口(一般是指TCP/IP或UDP協議中的端口，下同)即服務，一個服務對應一個或多個端口，一個系統開了哪些端口，就可確定提供了哪些服務。一臺機器由65536個端口，一般用戶不會注意而木馬就很注意目標計算機的端口。在xp系統中，有90多個服務，默認開啟了30多個服務，而事實上只需要其中幾個就夠用了。

① 關閉不必要的端口(服務)

可利用“netstat -a -n”命令查看端口連接狀態;利用專用軟件、防火墻配置IP規則、系統控制面板上 “管理工具”中的“本地安全策略”“服務”板塊均可實現開啟與關閉端口。

為了提高氣象信息網絡中系統的安全性，應該封閉這些端口，主要有:TCP 135、139、445、593、1025端口和 UDP 123、135、137、138、445、1900等端口，一些流行病毒的后門端口如 TCP 2513、2745、3127、6129端口等，以及遠程服務訪問端口3389。前面提到，木馬病毒使用的端口號呈越來越大的趨勢，在系統無特別要求情況下，可參照詳細地有關“端口-服務”分配表把大部分注冊端口和私有端口一并關閉掉;宜設置為“禁用”或根據需要設為“手動”的服務有:Alerter 、ClipBook 、clipbook、Human Interface Device Access、Indexing Service 、Messenger、Network DDE 、Network DDE DSDM、NetMeeting Remote Desktop Sharing、Protected Storage、Remote Registry、Remote Desktop Help Session Manager、Remote Procedure Call (RPC) Locator (“恢復”設置皆為“不操作”)、 Routing and Remote Access、 Security Accounts Manager、Shell Hardware Detection、Server、SSDP Discover Service 、Telnet、TCP/IP NetBIOS Helper 、Terminal Services。

② 關閉不必要的協議

對于服務器和主機來說，一般只安裝TCP/IP協議就夠了。如NETBIOS協議是為實現共享而開的，有很多安全缺陷的根源，可根據需要對其進行關閉。在上面提到的關閉137、138、139、445端口即可實現其關閉，也可在“本地連接”的“屬性”的“常規”中選擇后“卸載”。

③ 終止非法進程

進程需要依靠服務才能運行，分系統進程和用戶進程。病毒和木馬可以以用戶進程的形式出現或獲得SYSTEM權限偽裝成系統進程出現。可利用瑞星防火墻的相關功能或調用“任務管理器”進行查看進程;也可通過系統的“管理工具”里面的“服務”查看目前的全部進程(這里重點要看服務中啟動選項為“自動”的那部分進程，檢查它們的名字、路徑以及登錄賬戶、服務屬性的“恢復”里面有沒有重啟計算機的選項)。一旦發現可疑的名字需要馬上禁止此進程的運行。

終止非法進程的兩種方法:一是先查看這個進程文件所在的路徑和名稱。重啟系統，按F8鍵進入安全模式，然后在安全模式下刪除這個程序;二是徹底刪除木馬、病毒程序進程可以用下面的辦法:打開注冊表編輯器，展開分支“HKEY_LOCAL_MACHINE//SYSTEM//Current//Control SetServices”，在右側窗格中顯示的就是本機安裝的服務項，如果要刪除某項服務，只要刪除注冊表中相關鍵值即可。

3.2.4 為共享資源設置訪問密碼、權限并隱藏共享

文件和打印等共享應該是一個非常有用的功能，但它也是引發黑客入侵的安全漏洞。沒有必要\"文件和打印共享\"時，應將其關閉。即便確實需要共享，也應該為共享資源設置訪問密碼，設置權限并隱藏。

隱藏共享:用鼠標右擊要隱藏的共享文件夾(或硬盤)，點中“共享”標簽項，在共享名中填入共享文件夾的名稱，然后在后面加上美元符“$”，如“共享文件夾$”，再填入密碼。訪問時，必須在地址欄中輸入“\\計算機名稱(或者是IP地址)\\共享文件夾$”，再回車填入密碼確認，才能訪問。若再在注冊表編輯器中依次打開“HKEY_LOCAL_MACHINE\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Network\\LanMan\\共享文件夾$”，將DWORD值“Flags”的鍵值由“192”改為“302”，重啟。就是在本機的資源瀏覽器中也無法看出該文件夾被共享了。

3.2.5 局域網內互訪設限三關(必要時反向設置即可)

①禁止建立空連接:操作系統默認利用ipc$通道可以建立空連接，即任何用戶都可以通過空連接連上服務器，枚舉帳號并猜測密碼。因此我們必須禁止建立空連接。操作:首先運行regedit，找到如下主鍵[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\LSA]把RestrictAnonymous(DWORD)的鍵值改為:00000001

②管理工具--本地安全策略--安全選項--帳戶:使用空白密碼的本地帳戶只允許進行控制臺登錄。系統默認值是:已啟用，改為“已停用”。

③ 控制面板--防火墻--例外--文件和打印機共享。利用系統默認:不選。

3.2.6 針對系統IP地址安全的解決方案

① 對“IP地址盜用”的解決，綁定MAC地址與IP地址的確存在很大的缺陷，無法有效地防止內部IP地址被盜用，應在業務用機中綁定交換機網關的IP地址和MAC地址、或在交換機上綁定用戶主機的IP地址和網卡的MAC地址，如此可最大限度的杜絕ARP欺騙攻擊的出現。

② 泄露系統IP地址，攻擊者可以向這個IP發動各種進攻，如DoS(拒絕服務)攻擊、Floop溢出攻擊等。可設置采取使用代理服務器IP的方法隱藏本機真實IP地址。

3.2.7 防火墻及殺毒軟件的配置(以瑞星為例)

3.2.7.1 防火墻配置

主要是訪問規則的配置。“規則設置”配置前應明確:“黑名單”和“白名單”中都設置了同一IP地址，“黑名單”優先;同樣的條件下，“拒絕”優先于“允許”; 操作性越高(方便)，安全性越低，如“可信區”;“IP規則”主要是讓用戶能夠手動設定以下綜合條件的規則:規則名稱、地址、協議、報警方式等，“訪問規則”是簡單地針對某個程序是否允許訪問網絡而已。“訪問規則”優先于“IP規則”;“端口開關”適合在某些特定情況下，簡單地開關本地與遠程的端口。

主要配置:①如前面為提高系統安全而提到需關閉的具有潛在危險的木馬、遠程控制端口、流行病毒的后門端口等均可以配置入“IP規則”，設“規則匹配成功后的動作”為“禁止”; ②根據需要利用“端口開關”配置來實現特定情況功能，如屏蔽21、23、25、80、443、3389、4000端口分別達到禁止FTP(上傳下載)、Telent(遠程登錄)、SMTP(郵件發送)、HTTP(網頁瀏覽)、HTTPS(提供加密和通過安全端口傳輸的另一種HTTP)、超級終端、QQ客戶端等;③ARP欺騙防御:根據本機IP與MAC地址、路由器地址進行設置;④實現系統登錄前啟動防火墻及避免他人對防火墻進行錯誤的設置:從設置-詳細設置-選項-高級，默認設置并勾選“設置管理員帳戶密碼”設定。

3.2.7.2 殺毒軟件的配置

瑞星殺毒2008版的設置含:“詳細設置”、“監控設置”、“防御設置”。 涉及到的安全級別均設為默認級別(“防御設置”除外)。

①“詳細設置”配置:有手動與快捷方式查殺、定制任務、嵌入式查殺、其它設置等項目設置。

發現病毒、殺毒失敗、隔離失敗、殺毒結束的處理方式均分別設為“清除病毒”、“詢問我”“清除病毒”“返回”;“查殺文件類型”設為“所有文件”，對于設定為嵌入式殺毒數據收發軟件的“查殺方式”應勾選“發送郵件時查殺病毒”、“ 接收郵件時查殺病毒”。特別地，“定制任務”設置如下:勾選定時查殺與開機查殺，定時查殺頻率為“每天一次”并設置時間，對象為“全部硬盤”;開機查殺對象設為“所有的驅動和服務”;在定時升級中勾選“靜默升級”并選擇頻率為“即時升級”。

②“監控設置”配置:文件、郵件、網頁監控設置。

發現病毒處理、查殺方式同上。特別地，文件監控、郵件監控根據需要分別可“設置排除目標”“設置端口”進行監控，并配有“高級設置”(除考慮文件修改時監控帶來麻煩外，其余全部勾選)

③“防御設置”配置:主要是“系統加固”配置

選擇自定義級別，在默認級別設置基礎上做如下配置:

“系統動作監控”勾選“掛全局鉤子”，觸發規則選“提示”;

“注冊表監控”中的“文件關聯”勾選“INI/文件默認打開方式”和“INI文件關聯”，觸發動作:提示;“系統配置”中勾選“瀏覽器輔助對象”、“引導執行”，觸發動作:拒絕;“IE配置”中的內容全部選中，觸發動作:拒絕;

“關鍵進程保護”中的“系統進程保護”勾選“EXPLORER*.EXE”，觸發動作:提示;

“系統文件保護”中的“系統關鍵目錄”前4項腳本全部選擇，觸發動作:提示;“系統文件”勾選“用戶策略腳本文件”和計算機組策略腳本文件”，觸發動作:拒絕，勾選“SYSTEM.INI文件”和“WIN.INI文件” 觸發動作:提示。

3.2.8 利用GHOST恢復、備份功能

因誤操作等因素使業務系統異常或崩潰時，利用GHOST恢復系統省時省力。為保證系統的完善、安全性，備份系統應注意:①備份前必須先殺毒及清除木馬程序;②整理目標盤，清除垃圾文件、程序;③為系統打好最新漏洞補丁，升級各大應用軟件系統、工具軟件、氣象業務軟件系統等至最新版本;④鏡像文件制作完畢后應利用“Check”功能對制作好的鏡像文件進行正確、完整性檢查;⑤在新安裝了軟件和硬件后，最好重新制作映像文件。

4 結束語

本文簡要地從遠程控制軟件技術應用原理入手，概述了木馬病毒機制特點及遠程控制與木馬病毒的異同點，結合縣級氣象信息網絡安全隱患，提出從氣象信息網絡工作與管理制度、網絡安全技術措施兩方面進行防范，以提高縣級氣象信息網絡運轉安全系數，最大限度地為建立在以INTERNET為依托平臺的各軌道業務的正常運行保駕護航。

參考文獻:

[1] 王達.計算機網絡遠程控制[M].北京:清華大學出版社，2003.

[2] 張友生，米安然.計算機病毒與木馬程序剖析[M].北京:北京科海電子出版社，2003.

[3] 張千里，陳光英.網絡安全新技術[M].北京:人民郵電出版社，2003.

[4] 易倍思工作室.玩轉注冊表無敵手[M].上海:上海科學技術出版社，2004.

[5] 譚俊杰，譚賢.電腦組裝、局域網組建、BIOS和注冊表應用[M].北京:人民郵電出版社，2004.