信息安全防護方案探索

郭栩琪

（中國石油大連石化公司信息管理部，遼寧 大連 116032）

[關鍵字] 信息安全；解決方案；安全基線；WSUS；端口控制；網絡隔離

1 前言

截至2017年12月，我國網民規模達7.72億，普及率達到55.8%，超過全球平均水平（51.7%）4.1個百分點，超過亞洲平均水平（46.7%）9.1個百分點。全年共計新增網民4074萬人，增長率為5.6%，我國網民規模繼續保持平穩增長[1]。雖然我國網民數量龐大，但是普遍“信息素養”較低，尤其缺乏信息安全意識，忽視個人主機及個人信息安全。

無論在局域網還是廣域網中，網絡的開放性、互聯性等特征使得各類終端安全極其容易受到侵害。網絡信息安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科[2]。它是為了保證系統連續可靠運行，網絡服務不間斷，數據信息不泄露，從而采取的防止網絡系統的硬件、軟件及存儲的數據遭受意外損害或人為的惡意修改、破壞及盜取的手段的統稱。

為應對層出不窮的網絡攻擊方式，單一的防護措施已無法確保網絡信息的安全性。因此，我們應該以制度為約束，以技術為手段，建立備份巡查機制，并通過硬件軟件多層面綜合各種防護策略，建立立體的網絡安全防護體系，減少被黑客攻擊的可能，全方位保障信息安全。

2 大規模信息安全事件帶來的思考

近些年，從熊貓燒香病毒到勒索病毒，從遠程代碼攻擊到挖礦木馬來襲，網絡攻擊帶來的不僅是個人的經濟損失，更有威脅國家安全的可能。以勒索病毒為例，2017年5月1日，勒索病毒“WannaCry”感染事件在全球爆發，該病毒屬于感染力極強的蠕蟲病毒，源自美國國家安全局網絡武器庫，并被不法分子利用成為黑客工具。此次病毒攻擊導致全球幾十萬臺的上網終端和服務器受到感染。在我國，感染區域主要為教育網用戶。

這種勒索軟件所利用的是微軟“視窗”操作系統445端口存在的漏洞，而早在3月份，微軟公司針對個人主機已發布了應對“永恒之藍”的Windows Vista/7/8.1/1安全更新。那么為什么該病毒還會在5月份大規模爆發，引發全球性的信息安全事件呢？主要還是因為大部分的網絡用戶沒有及時更新系統補丁的習慣，在思想上缺乏網絡安全防范意識。

我國當下的網絡安全投入現狀是，投資比例僅占信息化建設經費整體比例的1%，相較于美國的15%和歐洲的10%，網絡安全的重視程度存在著巨大差距。

3 信息安全防護方案概述

為了降低系統被攻擊的可能性，保障信息安全，綜合各項技術手段，以內網環境為前提，總結出以下方案用于提高網絡和終端的安全性。

3.1 信息系統口令

計算機終端、服務器、應用系統、數據庫等都可設置用戶權限及密碼，而大多數網絡用戶對于信息系統密碼復雜度和保密性沒有足夠的重視，往往是多賬戶使用同一密碼，或者是為了方便記憶而使用低復雜度密碼，非常容易被黑客通過撞庫手段攻破。內網中的某一設備一旦被侵入就可能成為病毒源，導致內網設備大范圍被病毒感染。因此，應從制度和技術兩方面入手，對可改進的系統增設密碼復雜度及密碼更新審查模塊，對暫不可改進的系統，從制度上要求用戶提高密碼復雜度，提高短時間內被攻破的難度。

3.2 終端病毒防護軟件安裝

移動存儲設備的高頻使用和接入網絡的不確定性，使得服務器和計算機一定要安裝病毒防護軟件，依托先進技術建立“統一指揮、功能齊全、反應靈敏、運轉高效”的應急機制[3]，必要時可同國內安全公司合作共同制定應急方案，定制適用程度更高的病毒防護和終端安全檢測軟件。

做到對終端實時防護，定時查殺病毒，并制定工作計劃按期檢查系統安全等級，做到多等級不間斷巡防。

3.3 終端安全配置

終端（包括個人計算機和服務器）在入網前做到設備自身的安全配置加固，可降低被惡意攻擊的概率，安全配置項及其要求包括以下幾部分：

(1)對系統默認用戶名進行重命名，并關閉非必須使用的其他用戶；

(2)提高系統密碼復雜度及長度要求，并設定用戶必須定期更改密碼；

(3)用戶及用戶組權限按需分配；

(4)設定日志審計策略；

(5)系統服務最小化；

(6)謹慎使用遠程控制管理功能。

3.4 安裝漏洞補丁

漏洞指電子硬件、操作系統和軟件程序功能在設計制造過程中或者因配置不當所導致的可以被黑客攻擊利用的弱點。比如前文我們提到的勒索病毒利用的是操作系統445端口漏洞進行攻擊，再比如攻擊波病毒利用的是微軟的RPC漏洞進行傳播，震蕩波病毒利用Windows的LSASS中存在的一個緩沖區溢出漏洞進行攻擊。

最為常見并且容易被黑客利用的漏洞分別是數據庫漏洞及操作系統漏洞，所以定期從官網下載并安裝補丁包是最行之有效的預防手段。需要注意的是，在安裝補丁包之前，應對原系統進行備份，以防止補丁安裝失敗造成系統癱瘓導致業務中斷。

以Windows服務器操作系統為例，當有大批存在于內網的服務器需要運維的時候，逐一從外網下載補丁并進行安裝顯然極為低效，且不易于管理監督，這時就可以選擇建立獨立的 Windows Server Update Services（WSUS），根據內網各類設備需求，定期從外網下載Window s官網補丁包，然后切斷外網連接，將設備接入內網進行推送安裝，這樣既降低了內網設備下載外部文件時的中病毒風險，也提高了補丁安裝效率。另外，在WSUS設置部分，推薦設立至少兩個組，一個測試組，用于測試補丁包安裝效果，以不影響業務系統運行為前提；一個實操組，組內包括內網真實運行的各類服務器，經測試對內網設備系統無影響的補丁進行內部推送，以保證內網設備運行的可靠性。

3.5 IP地址管理和訪問控制管理

IP地址的規劃和利用在網絡安全防護工作中應予以足夠的重視。一方面，只有知道了IP地址，黑客才能進行有效攻擊，因此在攻擊初期黑客會通過網絡探測技術獲得目標IP地址，所以通過利用代理服務器，隱藏真實的IP地址可以有效減少有針對性的攻擊行為。另一方面，可以通過制定網絡訪問控制策略，保證網絡資源不被非法使用和訪問，在網絡層面設置VLAN隔離和基于IP地址的訪問控制列表，尤其是核心服務器，更應該對可登錄進行操作的IP地址進行集中管控。

3.6 服務最小化

盡可能關閉終端不用的服務，使得服務最小化。尤其是服務器，比如用于網頁訪問的RIS服務和共享打印服務，都有可能成為黑客攻擊的入口。

3.7 端口控制

不論是網絡中的設備終端還是提供網絡服務的交換機，端口的控制都應根據具體需求進行嚴格規劃，比如用于共享的445端口，在不需要使用時應予以關閉，再比如用于共享的3389端口，極易成為黑客侵入的入口，如果因業務需要無法關閉，建議將服務端口號自行更改為20000以上，確保設備不易被攻破。

3.8 網絡安全防護

網絡層面的安全設置是信息安全防護最基本的需求，在此，我們可以首先從內外網隔離和分級設置防火墻入手。

加強網絡隔離技術的研究，嚴格執行內部網絡和外部網絡的隔離，對確保網絡信息安全具有十分重要的現實意義[4]。在網絡建設中，應在物理層面將公司內部應用系統所使用的內部網絡和外部網絡實施隔離，并對內網重要設備實施外網使用限制措施，降低被侵入的概率。

網絡防火墻的使用可以按照設定的安全策略檢查網絡間傳輸的數據，并檢測網絡運行狀態。目前防火墻可分為包過濾型、地址轉換型、代理型、監測型等幾種類型。在布網過程中，可以分級使用不同類型的防火墻。在內外網銜接處，可以使用地址轉換型和代理型防火墻，地址轉換型防火墻會將內部IP地址轉換成臨時的外部IP，對外部網絡隱藏內網連接情況；代理型防火墻即代理服務器，位于客戶端與服務器之間，完全阻隔兩者間的數據交換，數據的上傳下載必須經過代理服務器。在內網和終端可以部署包過濾型和監測型防火墻，包過濾型防火墻可以通過網絡的分包傳輸技術，讀取數據包中的地址信息用于判斷其來源是否可靠，并將危險源數據包拒之門外；監測型防火墻對來自內外網的攻擊都具備較強的防范作用。

另外，建議使用網絡入侵檢測產品，用戶可自行定義其與防火墻的聯動功能，實現動態防御，對于SQL注入、暴力密碼破解、緩沖區溢出、掃描探測、DOS攻擊、蠕蟲病毒、木馬后門等各類黑客攻擊和惡意流量進行實時檢測及報警。

3.9 安全制度的設立

只有行為的規范才能決定安全策略的有效性，因此應該從制度上對信息安全等級和管理范圍進行劃分，制定有關責任人制度和終端操作規范，制定各類系統的維護制度和應急措施等。這樣才可以有效保障信息安全和設備平穩運行。

4 結束語

2017年《中華人民共和國網絡安全法》的正式實施，以及相關配套法規的陸續出臺，為此后開展的網絡安全工作提供了切實的法律保障。政府與企業共同打擊各類網絡安全問題，網民遭遇網絡安全問題的比例明顯下降。但是另一方面，勒索病毒的爆發使我們意識到，此次網絡安全事件的根源還是基礎操作系統出現的漏洞，微軟掌握了主動權[5]，假如微軟不提供補丁，任何用戶都沒有辦法。正如中國工程院院士倪光南所說“如果不是自主可控，就不可能安全”，目前，從網絡基礎設施到操作系統、CPU、GPU服務器軟件等大量互聯網基礎軟件和硬件大多是由國外設計、編碼、制造，其中的安全隱患自不用說。信息安全工作任重道遠，還有許多工作值得我們深入研究。