综合防御技术在企业网络中应用

殷松军

（大庆油田矿区服务事业部信息中心，黑龙江 大庆 163000）

1 大庆油田矿区服务事业部网络现状及课题背景

大庆油田矿区服务事业部成立于2007 年。目前，事业部有11 家成员单位，各成员单位均有独立的局域网出口。由于事业部单位多、战线长等原因网络上存在着一定的管理死角。事业部要求各成员单位根据自身责任归属负责相应内容防护。依托此次活动彻底将事业部存在的网络安全隐患消灭在萌芽状态中。

结合中石油《护网2018 行动安全防护指南》，我们梳理了事业部存在的问题：（1）通过不合规方式私开、私接互联出口，并与局域网混用；（2）私开手机WIFI 热点，利用无线网卡联入互联网；（3）对于双网混用机器，私设二级代理；（4）个人使用老版本操作系统安装机器，造成机器存在高危漏洞；（5）部分应用系统年头过长，已无外协单位或第三方已不提供漏洞补丁；（6）个别单位网络设备超期服役，无法升级；（7）对于移动设备或长期不服役机器管理不严格。

通过对以上问题的分析不难发现，这些隐患无疑对事业部网络安全提出严重预警。无论哪一方面出现问题，都会为入侵者提供便利的条件，使得企业的信息安全如同虚设。一旦入侵者控制了设备，那将会大量植入木马、后门程序，通过一些特定的端口大肆传播，使得大量机器成为“肉鸡”。此时再发生诸如DDOS 一类的攻击，那么企业的网络将会受到严重的考验。到那时企业的损失将会不可估量，所以此次演习的目的不言而喻。同时也给我们敲响了信息安全的警钟，在信息安全的道路上马虎不得。

2 防御的常用手法

网络攻击分为主动攻击与被动攻击，此次演练攻击方为主动攻击，由于活动要求主要重点在于防御，所以简单介绍目前的防御方法：（1）防火墙技术；（2）入侵检测系统；（3）安全扫描系统；（4）访问控制技术；（5）网络安全管理。

3 各类防御技术在企业网络安全中的综合应用

（1）WIRESHARK 在网络攻防中的设置。此次演练重在防御，那么在防御过程中能够及时的发现对本网络的扫描和入侵就及其重要。入侵网络，首先是进行扫描行为，比如扫描端口，就是为了发现开放的端口，并进一步找出开放端口可攻破的漏洞。因此，预防黑客攻击的第一步，就是及时检测出扫描行为。我们知道一般的扫描行为是以ARP 广播包的方式去探测网络中有哪些主机是处于开机状态。因此，必然会出现远远多于正常状态下的ARP 广播包。扫描行为是扫描一个网段中所有的IP 地址，因此就会向该网段中所有的IP 地址发送ARP 广播包，包括没有主机使用的IP 地址。当检测到某一个IP 所对应的主机是开机状态后，就会进一步对该主机进行端口探测，以获知该主机哪些端口是开放的、哪些端口有漏洞存在。因此我们在网络的核心交换机上接入一台机器，利用WIRESHARK 进行实时监测。通过对WIRESHARK 的参数设定，成功的发现几次对全网的扫描。其实在内网探测中WIRESHARK 还可以查看哪些机器开了哪些端口。

（2）SCANPORT 在终端端口扫描中的应用。在企业办公网中一般都会存在着大量高危端口。这些开放的端口往往就是潜在的危险，一旦这些开放的端口被入侵者利用，那就会成为他们的武器。所以在内网中找到这些机器十分必要。SCANPORT 就是这类比较容易上手的软件。只要定义好端口号就可以对网段内的机器扫描。这样就可以很容易的找到那些不符合安全基线的机器。

（3）对于无线网络的追踪。根据此次行动要求，要对互联网出口要做好管理。对于局域网与非法互联网并用的情况要坚持取缔。工作中确实需要互联网的则要做到局域网与互联网物理隔离。对于企业来说通过正常渠道开通的互联网出口比较好查，但对于那些隐性的出口查找起来比较麻烦。这些出口往往在定位上很难判断。针对这种情况我们在一部移动设备上安装了无线信号测试软件WirelessMon，它能列出周边所有的无线路由器、无线AP信号强度、信道等实时信息。通过在办公楼道中移动就能准确的定位在哪个房间存在无线信号。解决了无线网络定位的问题。

（4）内网计算机终端的管理。事业部共计入网有效计算机终端2000 多台。对于如此庞大数量的终端没有一个统一的管理是不行的。事业部要求各成员单位统一安装中石油桌面安全管理系统，按照终端安全基线的标准对每台计算机进行加固。同时制定了严格的管理办法。

(5)网络设备的防护。①加强了设备账号的管理，并对交换机的访问IP 做出访问控制；②加强了密码的强度，并对密码加密；③更改交换机带内管理方式，禁用TELNET方式；④禁用HTTP SERVER、CDP、TCP/UDP Small、BOOTP SERVER、用DNS 查询、Finger 等服务；⑤按需要划分交换机VLAN；⑥启用NTP 服务并与地区NTP 服务器同步；⑦启用日志服务，并在内网搭建KIWI—SYSLOG—SERVE，保存每天的日志；⑧备份交换机配置。

（6）服务器的防护。①加强了账号的管理，删除或禁用无关账户、更改默认管理账号名；②加强密码强度；③限定服务器认证授权，并设置访问白名单；④启用日志服务，并在内网搭建KIWI—SYSLOG—SERVE，保存每天的日志；⑤开启服务器防火墙，做入站规则，安装杀毒软件；⑥关闭多余服务，定时更新服务器安全补丁；⑦更改3389 端口，关闭系统默认共享、自动运行及高危端口。

4 结语

网络安全与否说到底在于人。人的因素是网络安全的核心，技术做为一种防护手段在客观上起到了不可忽视的作用。可在整个网络安全体系中有些是技术防不了的。比如：社会工程学、未知的安全漏洞等等。针对此次自查中我们发现问题基本上都出在员工对网络安全缺乏认知。正是因为如此，才使得企业在网络安全方面的隐患与日俱增。实践证明制度的制定和执行是提高员工网络安全意识的有效途径和手段。只有员工在主观上提高了对网络安全重要性的认识，才能有效的避免人为的错误。总之在网络安全的道路上我们任重道远。只有全员齐心才能营造出安全畅通的网络办公环境。