消防信息內網安全現狀與防范對策分析

◆倪斌 李懷義 李文棣 童話

（應急管理部消防救援局昆明訓練總隊 云南 650000）

1 引言

隨著信息技術的發展和網絡應用的普及，消防系統構建了政務辦公網、指揮調度網兩大業務信息網絡，采用內網方式運行，在網絡內部署了獨立的信息管理系統和數據庫。

近年來，網絡入侵事件也時有發生。主要方式有黑客攻擊、病毒擴散、木馬植入、后門軟件監控等，利用系統漏洞、未屏蔽端口等可乘之機偽裝入侵到內部網絡中，盜取內網的重要信息，損壞重要數據和文檔，給系統造成難以挽回的損失。2017年5月就爆發過一次大規模的勒索軟件病毒事件，我國大量行業內網發生大規模感染，包括醫療、電力、能源、銀行、交通、企業等多個系統均遭受不同程度的影響。該勒索軟件是一個名稱為“WannaCry”的木馬，利用445 端口的SMB 漏洞MS17-010 傳播擴散，造成損失最大的不是暴露在開放區域的互聯網用戶，而是防護級別更高的基于物理隔離保護下的行業內網終端，造成各行各業的數據損失難以估計。

2 消防系統內網安全威脅類型

我們利用威脅分析系統對消防系統某單位的內網數據出口網絡安全威脅情況進行了一段時間的檢測及分析。在1 個月的時間內，共發現記錄了4.87 億次攻擊或異常行為。其中最多的行為是嘗試獲取用戶權限，發生了4.82 億次，其次是有280 萬次密碼暴力破解的行為被記錄。根據信息分析，*.*.*.0/24 網段和IP 為*.*.*.204205206的設備異常行為較多，需做重點排查和深度檢測。根據檢測分析，內網網絡安全威脅主要有惡意樣本投遞、漏洞攻擊、Web 應用攻擊、密碼暴力破解、情報外聯、蠕毒木馬活動等幾類攻擊威脅類型。

圖1 內網網絡安全威脅情況監測統計圖

3 內網系統威脅分析及對策思考

3.1 惡意樣本投遞

3.1.1 統計分析

在統計期間內，共發現惡意文件下載行為有1761 個，其中有13 1 個高危，1629 個危急。識別的文件惡意病毒類型主要有MALWAR E::HackTool.Win32.RemOxec.、AIHENE::Trojan.Swizzor.Gen.1、MAL WARE::Trojan.GenericKD.31716701 等5 類病毒。

3.1.2 惡意樣本投遞處置對策

（1）在內部重要主機如服務器、數據庫存儲上安裝終端安全保護軟件。

（2）檢查被攻擊的服務器是否運行正常，對服務系統進行全盤殺毒，查殺結束后重啟設備，并檢查重啟后是否有其他新的文件或進程生成。

（3）檢測內部是否有其他存在異常行為的主機，如：內存突然飆升，CPU 一直保持峰值等，對不正常主機進行排查。

3.2 漏洞攻擊

3.2.1 統計分析

系統漏洞攻擊就是指攻擊者利用已知的系統安全漏洞或者系統已經暴露出來的弱點對主機進行針對性攻擊。依據攻擊載荷和攻擊過程分析，共涉及有154 萬余次攻擊，涉及的攻擊主要有3 類，SMBGhost scan（CVE-2020-0796）攻擊76 萬次，OS-WINDOWS Microsoft Windows Color Management Module buffer overflow attempt攻擊75 萬次，MS17-010 漏洞攻擊2 萬次。

3.2.2 漏洞攻擊處置對策

（1）根據被攻擊IP 統計，檢查相關主機的進程及日志，并驗證相關漏洞攻擊是否成功，立即下線進行安全修復；

（2）增強企員工安全意識。對不明郵件附件和不明站點謹慎點擊訪問；

（3）定期及時更新系統安全補丁，并定期做安全巡檢。

（4）對內部攻擊源進行追溯，以確認攻擊行為發生原因。

（5）對內部被攻擊者進行安全查驗。

3.3 Web 應用攻擊

3.3.1 統計分析

在統計時段內，發現31，022 次Web 應用攻擊。常見Web 應用攻擊類型有：Web 明文口令泄露，CVE 漏洞攻擊，信息泄露，特洛伊木馬通信，疑似正常SQL 語句，潛在隱私策略違反，WebShell 檢測等。受到Web 應用攻擊可能導致數據被竊取、更改、刪除，甚至執行系統命令等，以及進一步導致產生網站被嵌入惡意代碼、被植入后門程序等危害。在分析中，發現傳輸載荷里明文傳輸了一些用戶名和密碼。這可能導致劫持后直接獲取到相關系統賬戶權限，造成權限外泄。

3.3.2 Web 應用攻擊處置對策

（1）驗證是否存在對應漏洞，查看主機異常端口請求、CPU 使用率是否正常；

（2）刪除啟動項異常進程，安裝木馬查殺等專業防護軟件；

（3）更新服務器補丁和各類中間件版本；

（4）進行漏掃掃描、專業人工滲透或代碼審計和漏洞修復工作。

3.4 密碼暴力破解

3.4.1 統計分析

在統計時段內，發現了2，810，938 條暴力破解行為記錄，且存在有疑似密碼爆破成功紀錄。根據溯源調取發現，大部分目標為使用TCP 協議的445 端口，也混雜有SSH 等其他爆破手段。暴力破解是指攻擊者通過組合所有可能性，例如登錄賬戶名、密碼等，嘗試所有的可能性破解用戶的賬戶名、密碼等敏感信息。攻擊者會經常使用自動化腳本組合出正確的用戶名和密碼。一旦破解成功，攻擊者將能使用合法賬號登錄系統獲取權限，危害極大。

3.4.2 密碼暴力破解處置對策

（1）可以采取限制用戶登錄失敗次數的方式，例如：用戶一小時內連續登錄失敗5 次，就鎖定該用戶，禁止繼續登錄。可以通過管理員手動解鎖或者幾小時后自動解鎖；

（2）增加驗證碼攔截器，驗證碼驗證成功后才能請求到登錄接口；

（3）增加密碼的強度，盡量使用復雜的密碼數字、字母或特殊字符組合的密碼；

（4）增加密碼定期修改功能，避免密碼長時間未修改而導致隱患。

（5）對高危設備進行安全狀況追溯，確保是否在被滲透后存在木馬后門或其他危害行為，清除木馬后門后，應加強防爆破的防護安全策略。

（6）對發起爆破的設備進行跟蹤，確保是否是被控行為或其他異常行為過程導致監測到爆破結果。

3.5 情報外聯

3.5.1 統計分析

通過采用威脅事件—APT 威脅—過濾APT 惡意樣本的篩查發現，在統計期間內，共有異常行為次數達36，263 次，追溯次數靠前的幾個目的IP 的第三方威脅記錄，發現均是外省的IDC 設備，且都有或多或少的威脅行為記錄。

建議進一步追溯調研事件排名較前的幾個源IP 的真實業務和真實行為，根據實際情況核實異常行為產生原因，以消除相應隱患。

3.5.2 情報外聯處置對策

需要進一步追溯調研事件排名較前的幾個源IP 的真實業務和真實行為，根據實際情況核實異常行為產生的原因，以消除相應隱患。

3.6 僵尸網絡

3.6.1 威脅分析

在僵尸主機中，發現內網主機有非法外聯行為，連接的目標設備IP 共有50 個，被識別為僵尸主機。同時去第三方威脅情報平臺查詢該目標IP，也已被多次標記識別為惡意主機，疑似有內網設備或系統被控。系統分析的過程主要按以下策略進行：（1）排除域名解析結果為空的所有數據（代表域名解析不成功）；（2）排除所有會話狀態“嘗試建立連接，未回復”的所有數據（代表TCP 連接不成功）；（3）排除所有HTTP 返回內容長度為空的所有的數據（代表服務端不響應）；（4）根據IOC 在第三方情報庫進行交叉驗證；（5）溯源僵尸主機與C2 通信行為查看payload。在真實流量環境中進行排除，最終篩選出疑似受威脅的IP 列表。

3.6.2 僵尸網絡處置對策

（1）對篩選出的IP 設備執行全盤病毒查殺；

（2）更新服務器補丁和各類中間件版本；

（3）進一步跟蹤分析告警IP 的行為，看病毒查殺后外聯是否有遞減，如無成效應格式化設備后進行重新部署。

4 結束語

在信息化應用的過程中，消防系統內網的安全性尤為重要，決定著辦公文件、內部資料、用戶權限等的安全健康運行。但是內網建設的標準不統一，保護等級參差不齊，在運行的過程中，面臨著較大的安全隱患。需要從以下三個方面加強建設：一是建立多層次的網絡安全防護體系，在內網中部署防火墻、審計系統、運行維護管理系統等安全保障設備，具備訪問控制、入侵防御、防病毒、帶寬管理、加密流量檢測、應用識別、流量探針、安全策略調優等能力，結合安全態勢感知、身份認證、應用和數據的授權訪問控制、安全審計機制，打造內網“縱深防御、主動防御、安全韌性”的安全保障體系。二是建立完善的內網管理制度和機制，對內網系統中的管理人員、維護人員、系統用戶的操作進行有效的規范和記錄。三是建立監測預警機制，通過對訪問項目過程中所產生的網絡流量進行深入的分析，對網絡監測中的文件、郵件、網頁等行為進行分析，結合大數據等方式，對各種高級病毒、特種木馬的威脅等進行有效的分析，并對內網空間中存在的威脅進行有效的挖掘，進而對內網中存在的安全隱患進行有效的預警，并建立相應的預警機制，以保障內網的安全。