本文從邊界、主機(jī)、管理等幾個(gè)層面，分別分析了針對(duì)木馬防護(hù)常見(jiàn)的安全問(wèn)題，并提出了具體的解決方案。

方案背景

當(dāng)前，一些具有較高安全性的內(nèi)部網(wǎng)絡(luò)（如政府部門、軍事部門的網(wǎng)絡(luò)）常常采用和外部網(wǎng)絡(luò)（如Internet）實(shí)施物理隔離的方法來(lái)確保其網(wǎng)絡(luò)的安全性。物理隔離確保了外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間不存在任何可能的物理鏈路，切斷了信息外泄的通道。但事實(shí)恰恰相反，由于管理制度的不健全或缺乏有效的終端監(jiān)控技術(shù)，內(nèi)部網(wǎng)絡(luò)中個(gè)別用戶利用電話撥號(hào)、即插即用的互聯(lián)網(wǎng)接入設(shè)備，外連互聯(lián)網(wǎng)進(jìn)行私人操作，物理隔離環(huán)境被破壞。另外，終端內(nèi)外網(wǎng)混用情況較為普遍，導(dǎo)致內(nèi)部網(wǎng)絡(luò)出現(xiàn)隱蔽通道，被黑客或病毒利用后，將導(dǎo)致泄密或影響信息系統(tǒng)性能。這些行為可定義為——“非法外聯(lián)”。

安全需求

終端作為信息系統(tǒng)的基本組成部分，具備分布廣，數(shù)量巨大等特性，信息系統(tǒng)設(shè)備中有85%以上由其組成，由于終端操作的隨意性，難以利用技術(shù)措施實(shí)行管控，終端安全保護(hù)能力成為安全短板，因此終端成為惡意攻擊的對(duì)象，病毒傳播、信息失竊的源頭之一。在內(nèi)部網(wǎng)絡(luò)（如政府部門、軍事部門的網(wǎng)絡(luò)），一旦物理隔離環(huán)境被打破，將導(dǎo)致安全事件的發(fā)生，后果不堪設(shè)想。

“非法外聯(lián)”使原本封閉系統(tǒng)環(huán)境與外部網(wǎng)絡(luò)出現(xiàn)隱蔽通道，內(nèi)部網(wǎng)絡(luò)將面臨病毒、木馬、非授權(quán)訪問(wèn)、數(shù)據(jù)竊聽(tīng)、暴力破解等多種安全威脅，導(dǎo)致網(wǎng)絡(luò)結(jié)構(gòu)、服務(wù)器部署、安全防護(hù)措施等信息被泄露，甚至進(jìn)行跨安全域、跨網(wǎng)絡(luò)破壞。

綜上所述，降低“非法外聯(lián)”風(fēng)險(xiǎn)需從多角度進(jìn)行防護(hù)，形成層次化、有縱深的防御能力。首先應(yīng)確保終端系統(tǒng)配置安全性，對(duì)木馬與病毒抵御能力，提高終端安全強(qiáng)度；其次采取實(shí)時(shí)監(jiān)控、智能阻斷或隔離等措施，消除“非法外聯(lián)”途徑。

設(shè)計(jì)思路

“非法外聯(lián)”主要表現(xiàn)為內(nèi)網(wǎng)終端交叉使用內(nèi)外網(wǎng)線；內(nèi)網(wǎng)終端使用撥號(hào)、無(wú)線網(wǎng)卡、雙網(wǎng)卡等方式接入外網(wǎng)；便攜電腦內(nèi)外網(wǎng)混用。這些人為有意或無(wú)意行為，將使外部黑客攻擊、病毒與木馬攻擊繞過(guò)當(dāng)前安全保護(hù)屏障，即使有部分安全措施發(fā)現(xiàn)“非法外聯(lián)”網(wǎng)管員也無(wú)法及時(shí)阻斷，無(wú)法挽回信息泄露、病毒入侵造成的損失。

控制“非法外聯(lián)”必須從根源下手，對(duì)終端行為、訪問(wèn)信息特征進(jìn)行監(jiān)管，建立綜合的網(wǎng)絡(luò)和終端技術(shù)防護(hù)體系，采取“分層防護(hù)、縱深防御”的思路，基于多種設(shè)備建立自動(dòng)可控的“監(jiān)測(cè)、審計(jì)、預(yù)警、阻斷”安全機(jī)制，阻斷“非法外聯(lián)”終端對(duì)內(nèi)部網(wǎng)絡(luò)對(duì)威脅。

方案設(shè)計(jì)

Ø 終端防護(hù)

“非法外聯(lián)”使終端暴漏于不安全環(huán)境下，面對(duì)黑客入侵、病毒與木馬等安全威脅。如果終端系統(tǒng)或應(yīng)用存在軟件漏洞、未安裝或及時(shí)升級(jí)防病毒軟件等安全弱點(diǎn)，將輕而易舉的被攻擊或控制。終端的防護(hù)必須全面、及時(shí)，否則將導(dǎo)致直接的安全事件。

n 系統(tǒng)與應(yīng)用軟件補(bǔ)丁管理；

n 終端物理資源控制；

n 病毒與木馬的檢測(cè)和查殺能力保障；

n 移動(dòng)存儲(chǔ)介質(zhì)控制；

n 終端安全狀態(tài)審查；

n 行為審計(jì)。

Ø 網(wǎng)絡(luò)安全防護(hù)

在封閉環(huán)境下的內(nèi)部網(wǎng)絡(luò)（如政府部門、軍事部門的網(wǎng)絡(luò)）常常由多個(gè)具有不同安全保護(hù)需求的系統(tǒng)、設(shè)備或信息資源組成的安全域構(gòu)成，在安全域內(nèi)和邊界采取了相應(yīng)的安全保護(hù)。事實(shí)證明，多數(shù)的安全入侵或攻擊事件，往往具有顯著的商業(yè)或政治目的，或竊取其它組織機(jī)構(gòu)的重要信息或破壞其系統(tǒng)影響其業(yè)務(wù)活動(dòng)，僅有少數(shù)事件為惡作劇性質(zhì)。在內(nèi)部網(wǎng)絡(luò)環(huán)境下，“非法外聯(lián)”終端在外聯(lián)過(guò)程中極易被黑客控制、種植木馬或病毒，此類用戶絕非僅僅一次“非法外聯(lián)”，事后連入內(nèi)部網(wǎng)絡(luò)。這種情況導(dǎo)致了終端成為內(nèi)部網(wǎng)絡(luò)信息收集、破壞行為的風(fēng)險(xiǎn)點(diǎn)，甚至跨網(wǎng)段、跨安全域非法收集重要信息。必須在網(wǎng)絡(luò)內(nèi)建立監(jiān)控預(yù)警與訪問(wèn)控制機(jī)制。

n 入侵行為檢測(cè)預(yù)警；

n 病毒過(guò)濾；

n 終端對(duì)重要區(qū)域的訪問(wèn)控制，如服務(wù)器區(qū)域；

n 安全域邊界防護(hù)；

n 網(wǎng)絡(luò)可信接入；

Ø 系統(tǒng)安全管理設(shè)計(jì)

為防止泄密事件的發(fā)生，除了加強(qiáng)安全技術(shù)的管控外，也要加強(qiáng)安全管理。首先要引入第三方安全服務(wù)，定期查看關(guān)鍵計(jì)算機(jī)設(shè)備的狀態(tài)，發(fā)現(xiàn)與定位計(jì)算機(jī)中已經(jīng)感染的木馬，防止木馬的泄密等破壞行為發(fā)生；其次要建立應(yīng)急響應(yīng)機(jī)制，在泄密事件發(fā)生后定位與隔離涉及的主機(jī)，使安全事件能夠追查到責(zé)任人。

n 安全審計(jì)系統(tǒng)（TA-L）

n 安全管理平臺(tái)系統(tǒng)（TA）

部署措施

Ø 終端系統(tǒng)防護(hù)

n 統(tǒng)一部署終端防火墻和終端IDS，通過(guò)集中管理與日志收集系統(tǒng)，掌握網(wǎng)絡(luò)中威脅源，同時(shí)加強(qiáng)終端對(duì)入侵和攻擊行為的抵抗能力。

n 統(tǒng)一部署TopDesk，根據(jù)內(nèi)網(wǎng)管理制度統(tǒng)一制定下發(fā)終端管理策略，如終端系統(tǒng)補(bǔ)丁檢查與安裝、移動(dòng)存儲(chǔ)介質(zhì)控制、物理接口封閉或監(jiān)測(cè)、系統(tǒng)安全性評(píng)估、基線防護(hù)措施檢查等，提高系統(tǒng)安全強(qiáng)度，減少終端遠(yuǎn)程撥號(hào)、無(wú)線上網(wǎng)途徑，對(duì)違規(guī)上網(wǎng)行為進(jìn)行審計(jì)和預(yù)警。

n 統(tǒng)一部署終端病毒防護(hù)軟件，采取集中軟件更新、病毒庫(kù)更新、遠(yuǎn)程查殺和遠(yuǎn)程病毒診斷協(xié)助能力，匯總并分析終端病毒查殺日志，形成全網(wǎng)終端病毒防護(hù)系統(tǒng)，降低大規(guī)模病毒爆發(fā)事件的發(fā)生。

Ø 網(wǎng)絡(luò)安全防護(hù)

n TopDesk與交換機(jī)的互聯(lián)互通技術(shù)，實(shí)現(xiàn)縱向防御機(jī)制，借助對(duì)接入者身份驗(yàn)證、終端病毒防護(hù)軟件及病毒庫(kù)、系統(tǒng)及應(yīng)用補(bǔ)丁安裝情況進(jìn)行核查能力，實(shí)現(xiàn)網(wǎng)絡(luò)可信接入。在網(wǎng)絡(luò)運(yùn)行過(guò)程中，實(shí)時(shí)監(jiān)控終端安全狀態(tài)，隨時(shí)切斷不符合或違反TopDesk策略的終端與網(wǎng)絡(luò)的鏈接，實(shí)現(xiàn)狀態(tài)監(jiān)控、行為管控等能力，降低安全事件對(duì)網(wǎng)絡(luò)的影響。

n 存有上網(wǎng)記錄并連入內(nèi)網(wǎng)進(jìn)行操作的終端，采用TopDesk與802.1x或opt聯(lián)動(dòng)機(jī)制，通過(guò)防火墻或交換機(jī)限制終端網(wǎng)絡(luò)連接或訪問(wèn)能力，阻斷對(duì)重要區(qū)域的訪問(wèn)能力，如：杜絕訪問(wèn)服務(wù)器區(qū)域破壞業(yè)務(wù)系統(tǒng)。避免由于該設(shè)備而導(dǎo)致內(nèi)網(wǎng)遭到更大的破壞。

n 在不同安全域間部署防火墻，實(shí)現(xiàn)不同安全域間的邏輯隔離和雙向訪問(wèn)控制策略，根據(jù)策略明示允許通過(guò)、拒絕通過(guò)的細(xì)粒度可降低反向鏈接等攻擊行為；通過(guò)與入侵檢測(cè)、TopDesk等安全措施聯(lián)動(dòng)，提高防火墻對(duì)流量管理和隱式攻擊阻斷能力。

n 入侵檢測(cè)/入侵防御系統(tǒng)主要從網(wǎng)絡(luò)連接狀態(tài)、數(shù)據(jù)包協(xié)議、數(shù)據(jù)包有效負(fù)載內(nèi)容特征對(duì)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包進(jìn)行深入分析，通過(guò)對(duì)已知威脅過(guò)程或狀態(tài)的定義或?qū)戏〝?shù)據(jù)包狀態(tài)的定義，實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)流中潛在的威脅并進(jìn)行處置與預(yù)警。在當(dāng)前的安全技術(shù)背景下，可作為防火墻安全功能的合理補(bǔ)充，完善網(wǎng)絡(luò)邊界防護(hù)措施的基礎(chǔ)；另外，通過(guò)人工對(duì)事件記錄進(jìn)行分析可及時(shí)掌握受保護(hù)網(wǎng)絡(luò)潛在漏洞信息的，進(jìn)而擴(kuò)展了安全管理員/網(wǎng)絡(luò)管理員的風(fēng)險(xiǎn)的管控能力。

n 在終端較為集中的安全域邊界部署，實(shí)時(shí)對(duì)數(shù)據(jù)流量進(jìn)行監(jiān)控，并殺滅安全域間傳播的病毒與木馬，有效遏制病毒的跨地域、跨網(wǎng)段的擴(kuò)散。

Ø 安全管理設(shè)計(jì)

n 安全審計(jì)是既是發(fā)現(xiàn)安全問(wèn)題的重要手段，也是對(duì)內(nèi)部人員行為管理的威懾手段。對(duì)沒(méi)計(jì)劃部署安全管理平臺(tái)的用戶一定要安裝安全審計(jì)系統(tǒng)，通過(guò)引入集中日志審計(jì)的技術(shù)手段，對(duì)網(wǎng)絡(luò)運(yùn)行日志、操作系統(tǒng)運(yùn)行日志、數(shù)據(jù)庫(kù)訪問(wèn)日志、業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行日志、安全設(shè)施運(yùn)行日志等進(jìn)行統(tǒng)一安全審計(jì)，及時(shí)自動(dòng)分析系統(tǒng)安全事件，實(shí)現(xiàn)系統(tǒng)安全運(yùn)行管理。

n 安全管理平臺(tái)將管理多種異構(gòu)的網(wǎng)絡(luò)、安全軟硬件，整合多種事件日志與安全日志，通過(guò)智能關(guān)聯(lián)分析，集中、可視化展現(xiàn)網(wǎng)絡(luò)當(dāng)前的運(yùn)行狀況，便于管理者掌控信息安全方向，使安全管理員、安全操作員以及安全專家根據(jù)經(jīng)驗(yàn)進(jìn)一步分析發(fā)現(xiàn)潛在的網(wǎng)絡(luò)威脅。完全體現(xiàn)了信息安全“三分技術(shù)、七分管理”的指導(dǎo)思想，是單位安全管理團(tuán)隊(duì)非常必要的技術(shù)支撐系統(tǒng)。

方案效果

針對(duì)一些安全性較高的內(nèi)部網(wǎng)絡(luò)（如政府部門、軍事部門的網(wǎng)絡(luò)），根據(jù)其管理特性與系統(tǒng)安全需求，本方案設(shè)計(jì)時(shí)融入全面的防護(hù)理念，突出安全防護(hù)重點(diǎn)，為目前出現(xiàn)或存有潛在非法外聯(lián)行為的用戶，解決如下問(wèn)題：

n 解決安全終端的可信接入，杜絕非法接入網(wǎng)絡(luò)。

n 解決終端系統(tǒng)漏洞引發(fā)的安全風(fēng)險(xiǎn)。

n 解決終端病毒、木馬程序滋生。

n 解決終端分布廣、難以集中監(jiān)控與策略執(zhí)行等管理問(wèn)題。

n 屏蔽終端物理接口，減少“非法外聯(lián)”途徑。

n 解決終端“非法外聯(lián)”后，重新接入內(nèi)部網(wǎng)絡(luò)，攻擊或竊取內(nèi)部重要信息。

n 解決在處理安全為時(shí)，人員與信息資源的浪費(fèi)。

n 解決異構(gòu)安全軟硬件產(chǎn)品間技術(shù)互聯(lián)互通問(wèn)題，通過(guò)聯(lián)動(dòng)強(qiáng)化了網(wǎng)絡(luò)間的訪問(wèn)控制。

n 避免網(wǎng)絡(luò)發(fā)生大規(guī)模病毒爆發(fā)。

n 解決安全域或網(wǎng)絡(luò)間合法用戶在內(nèi)部發(fā)起的攻擊。