摘要:本文从中南空管局的具体工作实际出发,从技术的角度简单地分析了办公网在病毒防范方面的一些作法。
关键词:病毒;木马;技术;管理;安全意识
中图分类号:TP391 文献标识码:A 文章编号:1009-3044(2018)19-0024-02
1 前言
民航中南空管局是一个计算机应用较为普及的部门,网络覆盖新机场、旧机场、区管三地,网络系统涉及生产、办公、对外服务,仅办公网就有用户1200多人,办公电脑538台,其中移动办公电脑89台。许多用户使用电脑处理文件,使用移动硬盘、优盘携带文件,使用电子邮件传递邮件。为了提高网络的稳定性,确保用户数据的安全性,我局在2005年采取了许多有力的措施,包括2005年建设了网络安全体系(一期),2006年组织建设域管理项目等,大大提高了空管信息网的安全性。
下面就中南空管局的办公网安全管理中的病毒防范部分做简单的分析。
2 需要解决的问题及问题分析
2005年以前,空管局办公网在使用过程中多次出现过客户端计算机数据被更改、数据丢失、客户端计算机变慢、网络速度变慢、出口中断等等问题,在对以上故障的处理过程中我们发现,客户端计算机数据被更改、数据丢失中,有大部分是因为用户设置了无密码或密码太简单的文件夹完全共享,有一部分原因是因为没有安装防病毒软件和及时安装系统补丁而造成的病毒感染,小部分是因为黑客入侵;在客户端计算机变慢的故障中,除去极小一部分是因为系统软硬件故障和用户操作不当,绝大部分是因为该计算机感染了病毒;而大规模的病毒爆发则会严重拖慢网络的速度,甚至导致出口中断;因为网络拓扑结构不优而产生的广播流也会占用部分的网络带宽;ISP故障以及通信线路的故障则经常导致出口中断;黑客入侵和DDOS/DOS攻击、ARP欺骗等各种攻击会导致网络的异常以及客户端数据泄密、被更改甚至被删除。以上种种都严重影响网络的正常使用,是造成网络异常的安全隐患。下表是我局处理的一些办公网方面的不安全事件的情况如下:
显然,病毒感染(含木马)是当时空管局办公网最大的威胁,而未打系统补丁、打开来历不明的邮件、上一些不良网站是造成病毒感染的最主要原因。
3 对策
显然,要杜绝病毒是不可能的,但我们必须设法减小病毒感染发生,为此,我局技术、管理、培训多管齐下,力求减少病毒感染的发生。
3.1 管理方面
制定相应的管理措施,加强安全管理。我们先后制定了办公网的入网登记制度,对新入网的计算机进行登记审查,确定符合相关的安全规范才能加入办公网;制定了安全普查制度,定期对网内的计算机进行安全漏洞的检查和修补;制定了密码管理制度,定期对相关系统的密码进行更换。这些从非技术的角度出发,规范管理,提高网络的安全性。
3.2 技术方面
1) 统一的网络和IP规划
我们对办公网进行整体规划,以地域和单位相结合的方式统一划分vlan,并在办公网核心交换机上部署ACL,限制不同子网之间的互相访问,减少病毒等在不同子网之间传播;统一规划IP地址,在网内建立DHCP服务器进行统一的IP地址發放和管理,规范客户端的管理。
2) 建立整体的网络防病毒体系
在办公网内部建立一套由系统中心、服务器、客户端组成的三层防毒体系,实现客户端防病毒软件的统一配置和集中管理。该体系能实现各客户端的自动病毒代码更新,整体的病毒日志管理,同时还具有分级管理的功能,能针对不同部门制定不同的防毒策略,通过下发策略实现客户端的定期查毒、预约查毒等,有效的阻断了病毒在办公网内部的传播蔓延。
3) 部署入侵检测设备,提高服务器安全性
在办公网,我们尽可能地将服务器划分在一个子网上(并将其部署在同一个交换机上),对于进入办公网和办公网服务器区的信息,采用基于网络的入侵检测产品对入侵行为进行检测,对于不能或不便划分和部署在同一个子网和同一个交换机上的服务器,采取部署基于主机入侵检测的产品或基于主机的防火墙产品来进行入侵检测和安全防护,提高服务器的安全性。
4) 部署AD域和SMS,进行统一的身份认证、行为审计和补丁分发
我们在整改办公网中,部署基于windows server 2003的Active Directory®目录服务,对网络内部的打印机、服务器和应用程序等资源进行统一管理,实现办公网用户的统一身份认证;为进一步提高安全性,我们还针对不同的用户制定不同的措施,限定某些用户只能在特定的计算机上登陆域,减少因用户密码被盗而导致的损失;我们还启用了日志记录和审计功能,对用户的相关行为进行记录审计,确保对相关行为有迹可查。我们还同时部署了SMS系统,实现对客户端软硬件资源的统一管理;通过结合活动目录,实现对客户端的统一软件安装管理和远程系统维护;更重要的,它能实现对客户端进行操作系统的漏洞扫描,并针对存在的漏洞自动进行补丁分发和安装,该功能能快速发现并修复客户端的操作系统补丁,有效减少因系统存在漏洞而遭受的病毒和黑客攻击,提高办公网的整体安全性。
5) 代理服务器,结合活动目录,进行用户上网行为的管理
基于办公网用户的上网需求,我们在办公网出口处部署了Microsoft Internet Security and Acceleration(ISA)Server,对用户上网行为进行限制和记录。通过ISA服务器,我们制定策略,限制常用病毒和木马端口进入内部网;通过端口、客户端程序等限制BT下载;结合活动目录,制定针对用户和计算机的限制策略,只允许特定用户或计算机访问特定的端口,一定程度上增强内网的安全性。同时,通过对上网行为的监控和记录,可以提高内网的信息安全。
3.3 培训方面
3.3.1 安全技术人员的培训
无论系统本身提供了如何完善的安全保护,最终需要人来执行,安全系统需要由人来计划和管理,任何系统安全也不能完全由计算机安全设施独立承担。应有专门的技术人员从事系统安全建设和管理,研究技术的种类和今后的发展方向,使技术上保证不落后,并在建设和维护上为领导决策提供安全方面的参考。同时需要各级领导高度重视并积极支持有关系统安全方面的各项措施,对员工进行培训,只有当全行员工对系统安全性有了深入了解后,才能真正理解和安全有关的各项规章制度的必要性,提高认真执行的自觉性,从而降低网络信息系统的安全风险。
3.3.2 增强用户的安全意识、提高安全技能
病毒防范靠大家,任何一个用户中毒都可能导致全网中断,如05年初的ARP木马就造成多起网络服务中断。提高全员的安全意识,共同起来防毒才能从根本上减小病毒对办公网造成的危害。我们通过网站提醒的方式,建议大家做好以下工作:
1) 安装诺顿企业版防病毒软件并及时更新病毒代码。安装防病毒软件后,开启实时防护功能,及时更新病毒代码并定期对本地硬盘进行完全扫描。
2) 安装专业的防火墙,及时下载新的防护策略。防火墙能够屏蔽不必要的服务,减少受到黑客攻击的机率。
3) 及时安装系统补丁。很多病毒和黑客都是通过系统漏洞进行攻击,及时的安装相应的系统补丁,将能很好地防范此类的攻击。
4) 不要轻易打开电子邮件的附件。现在的蠕虫病毒能在通讯录里面搜索邮件地址并自动发送帶病毒的邮件。
5) 尽量避免设置有可写权限的共享。现在的病毒能自动搜索局域网内部的所有共享,如果发现有可写权限的,将自动进行感染。而且开启可写权限的共享也会带来数据被修改删除的威胁。
6) 不要轻易下载小网站的软件和程序。小网站特别是小的个人网站因为技术、资金和精力的原因,不能确保其上面的软件的安全性。
7) 在安装使用新软件之前先使用扫毒程序进行检查,减少受感染的机会。主动检查,可以过虑大部分的病毒和木马。
8) 尽量避免在无防毒软件的计算机上使用移动硬盘、优盘等可移动储存介质。一般人都以为不要使用别人的磁盘,即可防毒,但是不要随便用别人的电脑也是非常重要的,否则有可能带一大堆病毒回家。
9) 经常备份重要数据。经常备份重要的数据,才能在遭受黑客入侵或病毒感染后, 迅速恢复,将损失降到最小。
10) 为计算机管理账号设置复杂的密码。Windows 2000和Windows XP等系统为管理员账号提供了强大的远程管理功能,如默认的全盘完全共享,普通用户一般不会用到,而有恶意的用户则可以利用它进行攻击,因此建议将其关闭;同时为管理员账号设置包括字母、数字和符号的复杂密码,确保管理员账号的安全。
11) 发现异常情况时,立即截断网络连接,并及时报告管理员。如果发现计算机出现操作异常或突然变慢,请立即切断网络连接,并使用防病毒软件进行彻底检查,无法解决的,及时报告管理员,请管理员协助处理。
4 结束语
中南空管局办公网的病毒防范工作在大家的共同努力下,通过管理、技术、培训等措施较好保障了信息的安全,但仍然存在许多问题。相信在上级部门的关心指导下,我们一定能把信息安全工作做得更好。