關于鐵路辦公網網絡安全的思考與實踐

2019-01-13 08:41:35任燕春

魅力中國 2019年36期

任燕春

（呼鐵局包頭電務段，內蒙古包頭 014040）

一、預防感染病毒的端口設置

2017年國內多所院校和企業出現ONION勒索軟件感染情況，磁盤文件會被病毒加密為.onion后綴，只有支付高額贖金才能解密恢復文件，對學習資料和個人數據造成嚴重損失。勒索病毒利用Windows操作系統445端口存在的漏洞進行傳播，并具有自我復制、主動傳播的特性。為了防止感染病毒，應該對這些存在潛在感染病毒風險的135/137/138/139/445/端口進行關閉。

端口簡介：

135端口：135端口就是RPC通信中的橋梁，該端口被攻擊者采用了一種DCOM技術，可以直接對其他工作站的DCOM程序進行遠程控制。DCOM技術與對方計算機進行通信時，會自動調用目標主機中的RPC服務，而RPC服務將自動詢問目標主機中的135端口，并且獲取當前有哪些端口可以被用來通信。

137端口：137端口的主要作用是在局域網中提供計算機的名字或IP地址查詢服務，一般安裝了NetBIOS協議后，該端口會自動處于開放狀態。要是非法入侵者知道目標主機的IP地址，并向該地址的137端口發送一個連接請求時，就可能獲得目標主機的相關名稱信息。例如目標主機的計算機名稱，注冊該目標主機的用戶信息，目標主機本次開機、關機時間等。

138端口：138端口都屬于UDP端口，主要作用就是提供NetBIOS環境下的計算機名瀏覽功能。非法入侵者要是與目標主機的138端口建立連接請求的話，就能輕松獲得目標主機所處的局域網網絡名稱以及目標主機的計算機名稱。有了計算機名稱，其對應的IP地址也就能輕松獲得。如此一來，就為黑客進一步攻擊系統帶來了便利。

139端口：139端口是一種TCP端口，主要作用是通過網上鄰居訪問局域網中的共享文件或共享打印機。黑客要是與目標主機的139端口建立連接的話，就很有可能瀏覽到指定網段內所有工作站中的全部共享信息，甚至可以對目標主機中的共享文件夾進行各種編輯、刪除等操作，倘若攻擊者還知道目標主機的IP地址和登錄帳號的話，還能輕而易舉地查看到目標主機中的隱藏共享信息。

445端口：是一種TCP端口，功能與139端口幾乎一致，也是提供局域網中文件或打印機共享服務。區別就是該端口是基于CIFS協議（通用因特網文件系統協議）工作的，而139端口是基于SMB協議（服務器協議族）對外提供共享服務，所以要關閉文件共享，那么需要同時關閉139和445端口。

二、嚴禁一機雙網的IP安全策略

鐵路單位明令規定辦公電腦嚴禁一機雙網，但是如果對計算機本地不進行IP安全策略系統設置的話，辦公電腦在理論上仍然存在上互聯網的風險。上互聯網主要有兩種方式，一種是改接寬帶網線上網，另一種是外接USB無線網卡上網。

接寬帶上網行為，可通過設置本地IP安全策略，僅容許通過本機唯一分配的IP地址訪問單位局域網，除此之外的上網行為一律禁止。IP安全策略是一個給予通訊分析的策略，它將通訊內容與設定好的規則進行比較以判斷通訊是否與預期相吻合，然后決定是允許還是拒絕通訊的傳輸，它彌補了傳統TCP/IP設計上的"隨意信任"重大安全漏洞，可以實現更仔細更精確的TCP/IP安全，也就是說，當我們配置好IP安全策略后，就相當于擁有了一個免費但功能完善的個人防火墻。

外接USB無線網卡上網行為，無線上網相關的WLANSVC和WWAN AutoConfig服務默認是開啟的，可通過關閉上述服務來禁止無線網卡上網行為。WLANSVC 服務提供配置、發現、連接、斷開與 IEEE 802.11 標準定義的無線局域網（WLAN）的連接所需的邏輯。它還包含將計算機變成軟件訪問點的邏輯，以便其他設備或計算機可以使用支持它的 WLAN 適配器無線連接到計算機。停止或禁用 WLANSVC 服務將使得計算機上的所有 WLAN 適配器無法訪問 Windows 網絡連接 UI。WWAN AutoConfig該服務管理移動寬帶（GSM 和 CDMA）數據卡/嵌入式模塊適配器和自動配置網絡的連接。單位辦公電腦如果不容許外接USB無線網卡上互聯網，強烈建議關閉上述兩項服務，進一步防止單位辦公電腦接通互聯網。

三、確保網絡安全策略穩定運行

為了防止這些安全設置被用戶誤操作而發生改動，可將計算機管理員用戶加密禁止使用，日常辦公使用標準用戶即可，可防確保當前辦公網絡安全策略穩定運行。

管理員賬戶是具有最大權限的賬戶，管理員可以更改安全設置，安裝軟件和硬件，訪問計算機上的所有文件。管理員還可以對其他用戶帳戶進行更改。標準用戶帳戶允許用戶使用計算機的大多數功能，當您使用標準帳戶登錄到系統時，您可以執行管理員帳戶下的幾乎所有的操作，但是如果要執行影響該計算機其他用戶的操作（如更改安全設置），則系統可能要求您提供管理員帳戶的密碼。建議為每個計算機創建一個標準帳戶供日常辦公使用。使用標準用戶帳戶比使用管理員帳戶更安全。

結語：

綜上所述，端口封閉、IP安全策略、在一定程度上增強了網絡抵抗外來攻擊的能力，但若想更加安全地確保當前辦公網絡安全策略穩定運行，禁用管理員賬號改用標準賬號是防之有效的方法，也在很大程度上提高了計算機上網的的可靠性、安全性。