泄密？木馬？如何保障政府網(wǎng)絡(luò )安全

互聯(lián)網(wǎng)的發(fā)展，帶動(dòng)了政府電子政務(wù)建設，各部門(mén)、各系統都推進(jìn)網(wǎng)上辦公，以提高工作效率，更好地為公眾提供服務(wù);由于互聯(lián)網(wǎng)存在諸多安全隱患，近期政府內部無(wú)意識泄密事件日漸增多，大多由于木馬防控不嚴、外設U盤(pán)使用不當、非法外聯(lián)造成的，內網(wǎng)的安全管理成了政府網(wǎng)絡(luò )管理人員的難解之題;本文力圖從辦公電腦和網(wǎng)絡(luò )出口兩方面入手，給大家提供構建木馬防控體系的思路，杜絕無(wú)意識泄密事件，建設安全的內網(wǎng)使用環(huán)境。?

　　安全事件現象?

　　以下兩起案例，是近期發(fā)生的真實(shí)泄密事件，都屬于典型的由木馬病毒造成的無(wú)意識泄密事件。?

　　小劉是某機關(guān)一名干部，平時(shí)好學(xué)上進(jìn)，表現突出，被組織上定為政工干部培養苗子。2006年經(jīng)組織推薦，小劉被送政工班培訓。去學(xué)習前，小劉特意將自己平時(shí)在機關(guān)撰寫(xiě)的計劃、總結等涉密資料存入U盤(pán)，準備在學(xué)習期間進(jìn)行學(xué)術(shù)交流。學(xué)習期間，小劉多次上網(wǎng)查閱資料，并用該U盤(pán)下載參考資料。在此過(guò)程中，“輪渡”木馬病毒自動(dòng)駐存于U盤(pán)中，將小劉存儲的涉密資料悉數“盜”入國際互聯(lián)網(wǎng)。事后查明，小劉泄密的資料達32份，他因此受到降職、降銜的嚴肅處理。?

　　董教授，是某大學(xué)知名教授，平時(shí)工作兢兢業(yè)業(yè)，經(jīng)常加班加點(diǎn)在家備課。由于需要查閱資料，他家中的電腦接入了國際互聯(lián)網(wǎng)。董教授白天在辦公室辦公電腦上工作，晚上在家用個(gè)人電腦工作，經(jīng)常用U盤(pán)將未完成的工作內容在兩個(gè)電腦間相互拷貝。自2005年以來(lái)，董教授辦公電腦內的二百多份文件資料竟鬼使神差般地“跑”進(jìn)了互聯(lián)網(wǎng)，造成重大泄密。經(jīng)上級保密委員會(huì )審查鑒定，涉密文件資料達三十多份，董教授受到降職降銜、降職稱(chēng)的嚴肅處理。?

　　由于在日常工作中，部分公職人員想在因特網(wǎng)上進(jìn)行數據查詢(xún)，貪圖方便，該職員使用U盤(pán)在兩個(gè)不同的電腦間拷貝文件，或者就在涉密網(wǎng)終端上通過(guò)撥號、無(wú)線(xiàn)上網(wǎng)等的方式，訪(fǎng)問(wèn)了因特網(wǎng)。該職員在瀏覽網(wǎng)頁(yè)時(shí)，訪(fǎng)問(wèn)了某個(gè)網(wǎng)站，而這個(gè)網(wǎng)站正好被黑客攻擊了，網(wǎng)頁(yè)被掛馬。木馬利用“自動(dòng)下載技術(shù)”，讓該職員在未察覺(jué)的情況下潛入了用戶(hù)電腦、移動(dòng)硬盤(pán)、U盤(pán)。? ? ??? 　引發(fā)的危害?

　　目前，隨著(zhù)新技術(shù)的發(fā)展，移動(dòng)存儲介質(zhì)的種類(lèi)日趨多樣，軟盤(pán)、U盤(pán)、移動(dòng)硬盤(pán)、MP3、MP4、數碼相機、記憶棒等在工作中的應用十分廣泛，移動(dòng)存儲設備在為我們的工作帶來(lái)便利的同時(shí)，也帶來(lái)了不容忽視的信息安全保密隱患，大大增加了保密管理的難度。特別是U盤(pán)，越來(lái)越多地出現在我們的工作中。由于其便于攜帶、方便存取，不少人用它私自下載和保存涉密文件，非法拷貝現象難以控制;還有的人將工作U盤(pán)帶回家中，甚至帶著(zhù)涉密的U盤(pán)逛街、訪(fǎng)友，一旦丟失，損失巨大。除了這些泄密隱患外，U盤(pán)一旦被植入病毒，特別是木馬病毒后，如果接入涉密計算機，我們的涉密文件就會(huì )在不知不覺(jué)中被別有用心者竊取。?

　　工作秘密的泄露會(huì )使政府機關(guān)工作遭受損失，帶來(lái)不必要的被動(dòng);國家秘密的泄露會(huì )使國家的安全和利益遭到嚴重損害;而泄密者受到降職、降銜的嚴肅處理，上文中提到的小劉和董教授由于安全意識薄弱，或單位技術(shù)保障不到位，多年政績(jì)毀于一旦，實(shí)在是可惜之至。亡羊補牢，新時(shí)代里是悔之晚矣

??? 產(chǎn)生的原理?

　　特洛伊木馬，原指古希臘士兵藏在木馬內進(jìn)入敵方城市從而占領(lǐng)敵方城市的故事。古希臘傳說(shuō)，特洛伊王子帕里斯訪(fǎng)問(wèn)希臘，誘走了王后海倫，希臘人因此遠征特洛伊。圍攻9年后，到第10年，希臘將領(lǐng)奧德修斯獻了一計，就是把一批勇士埋伏在一匹巨大的木馬腹內，放在城外后，佯作退兵。特洛伊人以為敵兵已退，就把木馬作為戰利品搬入城中。到了夜間，埋伏在木馬中的勇士跳出來(lái)，打開(kāi)了城門(mén)，希臘將士一擁而入攻下了城池。后來(lái)，人們在寫(xiě)文章時(shí)就常用“特洛伊木馬”這一典故，用來(lái)比喻在敵方營(yíng)壘里埋下伏兵里應外合的活動(dòng)。在Internet上，“木馬”指一類(lèi)小的應用軟件，這個(gè)軟件表面上是一個(gè)郵件的附件、一個(gè)游戲、一張圖片，但其中包含了對使用者造成危害的功能，如：控制用戶(hù)的計算機系統，泄密，竊取網(wǎng)銀或游戲帳號，有可能造成用戶(hù)的系統被破壞甚至癱瘓。?

　　一般的木馬程序都包括客戶(hù)端和服務(wù)端兩個(gè)程序，其中客戶(hù)端是用于攻擊者遠程控制植入木馬的機器，服務(wù)器端程序即是木馬程序;攻擊者要做的第一步是要把木馬的服務(wù)器端程序植入到你的電腦里面。?

　　目前木馬入侵的主要途徑有郵件附件、下載軟件、網(wǎng)頁(yè)掛馬、U盤(pán)自動(dòng)執行、msn或QQ文件傳送等，然后通過(guò)一定的提示故意誤導用戶(hù)打開(kāi)執行文件，比如某天你在上網(wǎng)時(shí)，突然msn彈出個(gè)窗口，有個(gè)朋友給你發(fā)了條短消息“KAN WO DE ZHAOPIAN ”，并隨后發(fā)送一個(gè)zip壓縮文件包，你以為是好友發(fā)過(guò)來(lái)的照片文件，一旦點(diǎn)擊就會(huì )中招，木馬已經(jīng)悄悄在你的后臺運行，之后向你的msn好友列表大肆濫發(fā)消息傳播，中毒的機器還會(huì )在你的電腦上留有后門(mén)，可供黑客遠程控制。一般的木馬執行文件非常小，大部分都是幾K到幾十K，如果把木馬捆綁到其他正常文件上，你很難發(fā)現，所以，有一些網(wǎng)站提供的軟件下載往往是捆綁了木馬文件的，你執行這些下載的文件，也同時(shí)運行了木馬。國家計算機病毒應急處理中心近來(lái)通過(guò)對互聯(lián)網(wǎng)監測發(fā)現，很多計算機用戶(hù)受到一些惡意木馬程序的威脅。目前，惡意木馬程序有以下幾個(gè)特點(diǎn)：(1)惡意木馬會(huì )利用系統漏洞或第三方軟件漏洞進(jìn)行傳播感染，(2)惡意木馬傳播途徑大部分會(huì )采用網(wǎng)頁(yè)掛馬的形式，(3)惡意木馬具有很強的隱蔽性和破壞力。?

　　木馬具有多種特性，典型的有：隱蔽性、自動(dòng)運行性、自動(dòng)恢復功能、能自動(dòng)打開(kāi)特別的端口、包含具有未公開(kāi)并且可能產(chǎn)生危險后果的功能的程序等。?

　　典型的“輪渡”木馬，其程序的特征就是：在移動(dòng)U盤(pán)內駐存隱藏文件AutoRun.Inf和sys.exe，當該移動(dòng)U盤(pán)接入A電腦時(shí)，病毒程序自動(dòng)運行，將A電腦內的涉密文檔下載并打包保存在隱藏文件中，當該移動(dòng)U盤(pán)插入B電腦時(shí)，就會(huì )將從A電腦中下載的文件傳入到B電腦。這樣，如果是移動(dòng)U盤(pán)在內網(wǎng)中使用，就有可能造成加密文擋在內網(wǎng)不同電腦間的傳播;如果將移動(dòng)U盤(pán)插入外網(wǎng)電腦，加密文襠就可能通過(guò)互聯(lián)網(wǎng)，被竊密者遠程下載。?

??? 構建木馬控免體系?

　　綠盟科技根據用戶(hù)的安全需求及當前的安全形勢，建議在政府內部辦公網(wǎng)構建木馬控免體系，如下圖所示，從辦公電腦和網(wǎng)絡(luò )出口兩方面入手，在辦公電腦上安裝內網(wǎng)安全管理系統代理，在網(wǎng)絡(luò )出口部署安全網(wǎng)關(guān)，在木馬傳播過(guò)程中可能的關(guān)鍵點(diǎn)上，進(jìn)行有效防護和控制;?

　　(1) 首先確保辦公電腦安全，對受控的內網(wǎng)辦公電腦進(jìn)行基線(xiàn)安全檢查，對不滿(mǎn)足基線(xiàn)安全要求的辦公電腦通過(guò)內網(wǎng)安全管理系統和補丁系統、殺毒軟件聯(lián)動(dòng)，主動(dòng)進(jìn)行補丁更新、病毒庫升級，防止辦公電腦自身存在安全漏洞被木馬、病毒利用;利用內網(wǎng)安全管理系統的主機入侵保護、主機防火墻、防ARP木馬欺騙等功能保護政府辦公電腦，防止木馬入侵及木馬傳播等;近來(lái)網(wǎng)頁(yè)掛馬愈演愈烈，內網(wǎng)安全管理系統的網(wǎng)頁(yè)防掛馬可以防止用戶(hù)在用IE瀏覽網(wǎng)頁(yè)時(shí)系統被悄無(wú)聲息地注入木馬。?

　　(2) 對辦公電腦應用系統的防護也是很重要的，通過(guò)軟件名稱(chēng)關(guān)鍵字監控指定軟件的安裝使用行為，對非法安裝使用的軟件實(shí)時(shí)監控并告警;一旦發(fā)現木馬入侵運行即可及時(shí)通知管理員進(jìn)行處理;利用內網(wǎng)安全管理系統中終端審計功能，包括文件、系統、日志三部分，系統一旦發(fā)現內部員工違規操作、越權訪(fǎng)問(wèn)等行為，能及時(shí)報警;?

　　(3) 控制U盤(pán)、移動(dòng)硬盤(pán)、光驅等外設的使用，管理員可以對USB外設進(jìn)行注冊授權認證，注冊認證過(guò)的USB外設才可以在內網(wǎng)使用，而加密的U盤(pán)則無(wú)法在別的電腦上打開(kāi)，這樣能有效地管理控制USB外設濫用行為;在安全控制方面，系統能夠對存放于U盤(pán)或光盤(pán)上的Windows“自動(dòng)播放”進(jìn)行控制，防止autorun病毒木馬傳播與擴散。?

　　(4) 利用內網(wǎng)安全管理系統中的非法外聯(lián)檢測功能，管理內網(wǎng)辦公電腦的modem、無(wú)線(xiàn)網(wǎng)卡使用，防止私自撥號上網(wǎng)，防止非法外聯(lián)泄密。?

　　(5) 系統執行準入控制，設置準入的安全策略對接入設備進(jìn)行驗證，保證認證通過(guò)的機器才能接入網(wǎng)絡(luò )，防止存在安全隱患或未經(jīng)授權的機器接入內網(wǎng)，對第三方要求接入的設備都要進(jìn)行木馬、病毒查殺。?

　　(6) 網(wǎng)絡(luò )出口安全是最后的防線(xiàn)，通過(guò)在政府網(wǎng)絡(luò )出口及各委辦局接入網(wǎng)的網(wǎng)絡(luò )出口部署安全網(wǎng)關(guān)，能夠很好地控制不同網(wǎng)段的訪(fǎng)問(wèn)，隔離互聯(lián)網(wǎng)，防范黑客的攻擊及木馬、蠕蟲(chóng)等惡意軟件入侵;作為綠盟自主研發(fā)的兩個(gè)產(chǎn)品，內網(wǎng)安全管理系統和安全網(wǎng)關(guān)可以實(shí)現聯(lián)動(dòng)，可以實(shí)現在網(wǎng)關(guān)出口限制未安裝代理軟件終端對外網(wǎng)連接，從而禁止非法終端通過(guò)網(wǎng)關(guān)出口泄露內網(wǎng)信息。?

　　據綠盟科技客戶(hù)服務(wù)中心對用戶(hù)回訪(fǎng)報告顯示，安裝了內網(wǎng)安全管理系統和安全網(wǎng)關(guān)的客戶(hù)，內網(wǎng)安全得到大幅度的提升，可以有效應對目前常見(jiàn)的網(wǎng)頁(yè)掛馬、外設使用控制，杜絕了無(wú)意識泄密的情況;網(wǎng)絡(luò )系統運行平穩，內部辦公使用效率得以提高，用戶(hù)滿(mǎn)意度也有較大提升。?

　　綜上所述，政府木馬控免解決方案從主機安全防護、應用軟件監控、外設訪(fǎng)問(wèn)控制、非法外聯(lián)檢測、安全準入控制、出口安全防護等多個(gè)角度構建一套完整的木馬控免體系;通過(guò)技術(shù)手段保障內部網(wǎng)絡(luò )系統不受木馬侵擾，安全管理制度有效落實(shí)在行動(dòng)上，可以有效斬斷木馬、病毒等惡意軟件的傳播，防止機密信息泄露。?