綜合防御技術在企業網絡中應用

殷松軍

（大慶油田礦區服務事業部信息中心，黑龍江 大慶 163000）

1 大慶油田礦區服務事業部網絡現狀及課題背景

大慶油田礦區服務事業部成立于2007 年。目前，事業部有11 家成員單位，各成員單位均有獨立的局域網出口。由于事業部單位多、戰線長等原因網絡上存在著一定的管理死角。事業部要求各成員單位根據自身責任歸屬負責相應內容防護。依托此次活動徹底將事業部存在的網絡安全隱患消滅在萌芽狀態中。

結合中石油《護網2018 行動安全防護指南》，我們梳理了事業部存在的問題：（1）通過不合規方式私開、私接互聯出口，并與局域網混用；（2）私開手機WIFI 熱點，利用無線網卡聯入互聯網；（3）對于雙網混用機器，私設二級代理；（4）個人使用老版本操作系統安裝機器，造成機器存在高危漏洞；（5）部分應用系統年頭過長，已無外協單位或第三方已不提供漏洞補丁；（6）個別單位網絡設備超期服役，無法升級；（7）對于移動設備或長期不服役機器管理不嚴格。

通過對以上問題的分析不難發現，這些隱患無疑對事業部網絡安全提出嚴重預警。無論哪一方面出現問題，都會為入侵者提供便利的條件，使得企業的信息安全如同虛設。一旦入侵者控制了設備，那將會大量植入木馬、后門程序，通過一些特定的端口大肆傳播，使得大量機器成為“肉雞”。此時再發生諸如DDOS 一類的攻擊，那么企業的網絡將會受到嚴重的考驗。到那時企業的損失將會不可估量，所以此次演習的目的不言而喻。同時也給我們敲響了信息安全的警鐘，在信息安全的道路上馬虎不得。

2 防御的常用手法

網絡攻擊分為主動攻擊與被動攻擊，此次演練攻擊方為主動攻擊，由于活動要求主要重點在于防御，所以簡單介紹目前的防御方法：（1）防火墻技術；（2）入侵檢測系統；（3）安全掃描系統；（4）訪問控制技術；（5）網絡安全管理。

3 各類防御技術在企業網絡安全中的綜合應用

（1）WIRESHARK 在網絡攻防中的設置。此次演練重在防御，那么在防御過程中能夠及時的發現對本網絡的掃描和入侵就及其重要。入侵網絡，首先是進行掃描行為，比如掃描端口，就是為了發現開放的端口，并進一步找出開放端口可攻破的漏洞。因此，預防黑客攻擊的第一步，就是及時檢測出掃描行為。我們知道一般的掃描行為是以ARP 廣播包的方式去探測網絡中有哪些主機是處于開機狀態。因此，必然會出現遠遠多于正常狀態下的ARP 廣播包。掃描行為是掃描一個網段中所有的IP 地址，因此就會向該網段中所有的IP 地址發送ARP 廣播包，包括沒有主機使用的IP 地址。當檢測到某一個IP 所對應的主機是開機狀態后，就會進一步對該主機進行端口探測，以獲知該主機哪些端口是開放的、哪些端口有漏洞存在。因此我們在網絡的核心交換機上接入一臺機器，利用WIRESHARK 進行實時監測。通過對WIRESHARK 的參數設定，成功的發現幾次對全網的掃描。其實在內網探測中WIRESHARK 還可以查看哪些機器開了哪些端口。

（2）SCANPORT 在終端端口掃描中的應用。在企業辦公網中一般都會存在著大量高危端口。這些開放的端口往往就是潛在的危險，一旦這些開放的端口被入侵者利用，那就會成為他們的武器。所以在內網中找到這些機器十分必要。SCANPORT 就是這類比較容易上手的軟件。只要定義好端口號就可以對網段內的機器掃描。這樣就可以很容易的找到那些不符合安全基線的機器。

（3）對于無線網絡的追蹤。根據此次行動要求，要對互聯網出口要做好管理。對于局域網與非法互聯網并用的情況要堅持取締。工作中確實需要互聯網的則要做到局域網與互聯網物理隔離。對于企業來說通過正常渠道開通的互聯網出口比較好查，但對于那些隱性的出口查找起來比較麻煩。這些出口往往在定位上很難判斷。針對這種情況我們在一部移動設備上安裝了無線信號測試軟件WirelessMon，它能列出周邊所有的無線路由器、無線AP信號強度、信道等實時信息。通過在辦公樓道中移動就能準確的定位在哪個房間存在無線信號。解決了無線網絡定位的問題。

（4）內網計算機終端的管理。事業部共計入網有效計算機終端2000 多臺。對于如此龐大數量的終端沒有一個統一的管理是不行的。事業部要求各成員單位統一安裝中石油桌面安全管理系統，按照終端安全基線的標準對每臺計算機進行加固。同時制定了嚴格的管理辦法。

(5)網絡設備的防護。①加強了設備賬號的管理，并對交換機的訪問IP 做出訪問控制；②加強了密碼的強度，并對密碼加密；③更改交換機帶內管理方式，禁用TELNET方式；④禁用HTTP SERVER、CDP、TCP/UDP Small、BOOTP SERVER、用DNS 查詢、Finger 等服務；⑤按需要劃分交換機VLAN；⑥啟用NTP 服務并與地區NTP 服務器同步；⑦啟用日志服務，并在內網搭建KIWI—SYSLOG—SERVE，保存每天的日志；⑧備份交換機配置。

（6）服務器的防護。①加強了賬號的管理，刪除或禁用無關賬戶、更改默認管理賬號名；②加強密碼強度；③限定服務器認證授權，并設置訪問白名單；④啟用日志服務，并在內網搭建KIWI—SYSLOG—SERVE，保存每天的日志；⑤開啟服務器防火墻，做入站規則，安裝殺毒軟件；⑥關閉多余服務，定時更新服務器安全補丁；⑦更改3389 端口，關閉系統默認共享、自動運行及高危端口。

4 結語

網絡安全與否說到底在于人。人的因素是網絡安全的核心，技術做為一種防護手段在客觀上起到了不可忽視的作用。可在整個網絡安全體系中有些是技術防不了的。比如：社會工程學、未知的安全漏洞等等。針對此次自查中我們發現問題基本上都出在員工對網絡安全缺乏認知。正是因為如此，才使得企業在網絡安全方面的隱患與日俱增。實踐證明制度的制定和執行是提高員工網絡安全意識的有效途徑和手段。只有員工在主觀上提高了對網絡安全重要性的認識，才能有效的避免人為的錯誤。總之在網絡安全的道路上我們任重道遠。只有全員齊心才能營造出安全暢通的網絡辦公環境。