信息安全防护方案探索

郭栩琪

（中国石油大连石化公司信息管理部，辽宁 大连 116032）

[关键字] 信息安全；解决方案；安全基线；WSUS；端口控制；网络隔离

1 前言

截至2017年12月，我国网民规模达7.72亿，普及率达到55.8%，超过全球平均水平（51.7%）4.1个百分点，超过亚洲平均水平（46.7%）9.1个百分点。全年共计新增网民4074万人，增长率为5.6%，我国网民规模继续保持平稳增长[1]。虽然我国网民数量庞大，但是普遍“信息素养”较低，尤其缺乏信息安全意识，忽视个人主机及个人信息安全。

无论在局域网还是广域网中，网络的开放性、互联性等特征使得各类终端安全极其容易受到侵害。网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科[2]。它是为了保证系统连续可靠运行，网络服务不间断，数据信息不泄露，从而采取的防止网络系统的硬件、软件及存储的数据遭受意外损害或人为的恶意修改、破坏及盗取的手段的统称。

为应对层出不穷的网络攻击方式，单一的防护措施已无法确保网络信息的安全性。因此，我们应该以制度为约束，以技术为手段，建立备份巡查机制，并通过硬件软件多层面综合各种防护策略，建立立体的网络安全防护体系，减少被黑客攻击的可能，全方位保障信息安全。

2 大规模信息安全事件带来的思考

近些年，从熊猫烧香病毒到勒索病毒，从远程代码攻击到挖矿木马来袭，网络攻击带来的不仅是个人的经济损失，更有威胁国家安全的可能。以勒索病毒为例，2017年5月1日，勒索病毒“WannaCry”感染事件在全球爆发，该病毒属于感染力极强的蠕虫病毒，源自美国国家安全局网络武器库，并被不法分子利用成为黑客工具。此次病毒攻击导致全球几十万台的上网终端和服务器受到感染。在我国，感染区域主要为教育网用户。

这种勒索软件所利用的是微软“视窗”操作系统445端口存在的漏洞，而早在3月份，微软公司针对个人主机已发布了应对“永恒之蓝”的Windows Vista/7/8.1/1安全更新。那么为什么该病毒还会在5月份大规模爆发，引发全球性的信息安全事件呢？主要还是因为大部分的网络用户没有及时更新系统补丁的习惯，在思想上缺乏网络安全防范意识。

我国当下的网络安全投入现状是，投资比例仅占信息化建设经费整体比例的1%，相较于美国的15%和欧洲的10%，网络安全的重视程度存在着巨大差距。

3 信息安全防护方案概述

为了降低系统被攻击的可能性，保障信息安全，综合各项技术手段，以内网环境为前提，总结出以下方案用于提高网络和终端的安全性。

3.1 信息系统口令

计算机终端、服务器、应用系统、数据库等都可设置用户权限及密码，而大多数网络用户对于信息系统密码复杂度和保密性没有足够的重视，往往是多账户使用同一密码，或者是为了方便记忆而使用低复杂度密码，非常容易被黑客通过撞库手段攻破。内网中的某一设备一旦被侵入就可能成为病毒源，导致内网设备大范围被病毒感染。因此，应从制度和技术两方面入手，对可改进的系统增设密码复杂度及密码更新审查模块，对暂不可改进的系统，从制度上要求用户提高密码复杂度，提高短时间内被攻破的难度。

3.2 终端病毒防护软件安装

移动存储设备的高频使用和接入网络的不确定性，使得服务器和计算机一定要安装病毒防护软件，依托先进技术建立“统一指挥、功能齐全、反应灵敏、运转高效”的应急机制[3]，必要时可同国内安全公司合作共同制定应急方案，定制适用程度更高的病毒防护和终端安全检测软件。

做到对终端实时防护，定时查杀病毒，并制定工作计划按期检查系统安全等级，做到多等级不间断巡防。

3.3 终端安全配置

终端（包括个人计算机和服务器）在入网前做到设备自身的安全配置加固，可降低被恶意攻击的概率，安全配置项及其要求包括以下几部分：

(1)对系统默认用户名进行重命名，并关闭非必须使用的其他用户；

(2)提高系统密码复杂度及长度要求，并设定用户必须定期更改密码；

(3)用户及用户组权限按需分配；

(4)设定日志审计策略；

(5)系统服务最小化；

(6)谨慎使用远程控制管理功能。

3.4 安装漏洞补丁

漏洞指电子硬件、操作系统和软件程序功能在设计制造过程中或者因配置不当所导致的可以被黑客攻击利用的弱点。比如前文我们提到的勒索病毒利用的是操作系统445端口漏洞进行攻击，再比如攻击波病毒利用的是微软的RPC漏洞进行传播，震荡波病毒利用Windows的LSASS中存在的一个缓冲区溢出漏洞进行攻击。

最为常见并且容易被黑客利用的漏洞分别是数据库漏洞及操作系统漏洞，所以定期从官网下载并安装补丁包是最行之有效的预防手段。需要注意的是，在安装补丁包之前，应对原系统进行备份，以防止补丁安装失败造成系统瘫痪导致业务中断。

以Windows服务器操作系统为例，当有大批存在于内网的服务器需要运维的时候，逐一从外网下载补丁并进行安装显然极为低效，且不易于管理监督，这时就可以选择建立独立的 Windows Server Update Services（WSUS），根据内网各类设备需求，定期从外网下载Window s官网补丁包，然后切断外网连接，将设备接入内网进行推送安装，这样既降低了内网设备下载外部文件时的中病毒风险，也提高了补丁安装效率。另外，在WSUS设置部分，推荐设立至少两个组，一个测试组，用于测试补丁包安装效果，以不影响业务系统运行为前提；一个实操组，组内包括内网真实运行的各类服务器，经测试对内网设备系统无影响的补丁进行内部推送，以保证内网设备运行的可靠性。

3.5 IP地址管理和访问控制管理

IP地址的规划和利用在网络安全防护工作中应予以足够的重视。一方面，只有知道了IP地址，黑客才能进行有效攻击，因此在攻击初期黑客会通过网络探测技术获得目标IP地址，所以通过利用代理服务器，隐藏真实的IP地址可以有效减少有针对性的攻击行为。另一方面，可以通过制定网络访问控制策略，保证网络资源不被非法使用和访问，在网络层面设置VLAN隔离和基于IP地址的访问控制列表，尤其是核心服务器，更应该对可登录进行操作的IP地址进行集中管控。

3.6 服务最小化

尽可能关闭终端不用的服务，使得服务最小化。尤其是服务器，比如用于网页访问的RIS服务和共享打印服务，都有可能成为黑客攻击的入口。

3.7 端口控制

不论是网络中的设备终端还是提供网络服务的交换机，端口的控制都应根据具体需求进行严格规划，比如用于共享的445端口，在不需要使用时应予以关闭，再比如用于共享的3389端口，极易成为黑客侵入的入口，如果因业务需要无法关闭，建议将服务端口号自行更改为20000以上，确保设备不易被攻破。

3.8 网络安全防护

网络层面的安全设置是信息安全防护最基本的需求，在此，我们可以首先从内外网隔离和分级设置防火墙入手。

加强网络隔离技术的研究，严格执行内部网络和外部网络的隔离，对确保网络信息安全具有十分重要的现实意义[4]。在网络建设中，应在物理层面将公司内部应用系统所使用的内部网络和外部网络实施隔离，并对内网重要设备实施外网使用限制措施，降低被侵入的概率。

网络防火墙的使用可以按照设定的安全策略检查网络间传输的数据，并检测网络运行状态。目前防火墙可分为包过滤型、地址转换型、代理型、监测型等几种类型。在布网过程中，可以分级使用不同类型的防火墙。在内外网衔接处，可以使用地址转换型和代理型防火墙，地址转换型防火墙会将内部IP地址转换成临时的外部IP，对外部网络隐藏内网连接情况；代理型防火墙即代理服务器，位于客户端与服务器之间，完全阻隔两者间的数据交换，数据的上传下载必须经过代理服务器。在内网和终端可以部署包过滤型和监测型防火墙，包过滤型防火墙可以通过网络的分包传输技术，读取数据包中的地址信息用于判断其来源是否可靠，并将危险源数据包拒之门外；监测型防火墙对来自内外网的攻击都具备较强的防范作用。

另外，建议使用网络入侵检测产品，用户可自行定义其与防火墙的联动功能，实现动态防御，对于SQL注入、暴力密码破解、缓冲区溢出、扫描探测、DOS攻击、蠕虫病毒、木马后门等各类黑客攻击和恶意流量进行实时检测及报警。

3.9 安全制度的设立

只有行为的规范才能决定安全策略的有效性，因此应该从制度上对信息安全等级和管理范围进行划分，制定有关责任人制度和终端操作规范，制定各类系统的维护制度和应急措施等。这样才可以有效保障信息安全和设备平稳运行。

4 结束语

2017年《中华人民共和国网络安全法》的正式实施，以及相关配套法规的陆续出台，为此后开展的网络安全工作提供了切实的法律保障。政府与企业共同打击各类网络安全问题，网民遭遇网络安全问题的比例明显下降。但是另一方面，勒索病毒的爆发使我们意识到，此次网络安全事件的根源还是基础操作系统出现的漏洞，微软掌握了主动权[5]，假如微软不提供补丁，任何用户都没有办法。正如中国工程院院士倪光南所说“如果不是自主可控，就不可能安全”，目前，从网络基础设施到操作系统、CPU、GPU服务器软件等大量互联网基础软件和硬件大多是由国外设计、编码、制造，其中的安全隐患自不用说。信息安全工作任重道远，还有许多工作值得我们深入研究。