论企业局域网环境下的病毒防御
[摘 要] 近年来新型计算机病毒层出不穷,严重危害国家各个领域的正常生产秩序和信息安全。本文结合日常网络运维经验,探讨企业局域网环境下的病毒防御工作部署,并就可持续性病毒防御进行了分析和展望。
[关键词] 计算机病毒;病毒防御;物理隔离;补丁修复
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2019. 05. 066
[中图分类号] TP309 [文献标识码] A [文章编号] 1673 - 0194(2019)05- 0170- 04
1 引 言
近年来互联网行业发展迅猛,随之而来的互联网病毒也日益猖獗。2017年的“永恒之蓝”病毒(WannaCry)致使全球150多个国家和地区受到重大财产损失,其中主要波及各大企事业单位和高校,财产损失严重,社會影响恶劣。在这次重大病毒入侵之时人人自危,所有组织及个人纷纷寻找解决措施,其中主要方法无外乎开启防火墙,关闭相关漏洞端口,更新系统补丁等。但互联网、手机APP的广泛应用使得黑客的“制毒”途径越来越多,成本越来越低,新型病毒种类层出不穷,一次杀毒成功并不能一劳永逸。且过于封闭的管理方式有可能影响正常生产或因更新某一补丁导致系统瘫痪,因此如何周密地部署好病毒防御工作又不影响正常生产秩序,是每个企业亟须解决的问题,本文将就该问题进行分析与探讨。
2 病毒入侵方式及破坏形式
病毒文件通过不断自我复制、加密、扫描系统漏洞等方式,对本机和网络中所有可感染的计算机进行攻击,这其中轻者占用系统资源,影响系统正常运行,重者窃取他人硬盘数据甚至进行敲诈勒索等违法行为,社会影响恶劣。下面总结病毒的几种常见传播形式。
2.1 文件感染传播
典型的感染性病毒PolyRansom将用户所有文档加密后弹出勒索信息,由于PE类文件(文件类型为EXE、DLL、SYS等)被感染后具有感染其他文件的能力,因此如果此类文件被用户携带(移动存储介质、网络共享等)到其他电脑上后运行,就会致使其他电脑的文件也被全部感染加密。
2.2 网站挂马传播
网站挂马是通过获取到网站或者网站服务器的一定权限后,在网页文件中插入恶意代码。这些恶意代码主要是利用包括IE在内的多种浏览器漏洞,用户访问被挂马的页面时,如果系统没有更新恶意代码中利用的漏洞补丁,则会执行恶意代码。
2.3 利用系统漏洞传播
2017年5月爆发的WannaCry利用Windows系统139、445端口漏洞进行传播。利用系统漏洞传播的特点是被动式中毒,即用户在没有访问恶意站点、没有打开未知文件的情况下中毒。该类病毒会扫描同一网络中存在漏洞的其他PC主机,只要主机没有打上补丁,就会受到攻击。
2.4 电子邮件附件传播
伪装成用户需要查看的文档是通过电子邮件附件进行病毒传播的主要方式,如信用卡消费清单、工资明细等。当用户打开后恶意代码便会开始执行隐藏在邮件附件中的病毒程序。且这类伪装病毒会批量发送给高校、企业等机构,这些机构中的电脑如存有重要文件,被恶意加密后支付赎金的可能性远高于普通个人用户,这也在某种程度上纵容了勒索病毒的传播。
2.5 网络共享文件传播
部分木马病毒、勒索病毒通过网络共享空间、网盘、QQ群、论坛等网络共享环境进行传播,以分享的方式发送给特定人群诱骗下载安装,从而实现后台操纵用户计算机窃取信息的目的。
2.6 软件供应链传播
病毒制作者通过劫持正常软件的安装、升级,在用户进行正常软件安装、升级时增加诱导下载和安装的程序达到病毒传播的目的。这种传播方式利用了用户与软件供应商之间的信任关系,成功绕开传统杀毒软件的监测,因此传播方式更加隐蔽。
3 企业局域网病毒防御
近年来各大企业紧跟信息化技术发展的步伐,在利用信息化技术提高企业生产效率的同时,也将公司的各类重要数据资源存于计算机和网络环境中。对于该类社会组织,应更加注重网络安全、信息安全,在应对日常病毒防御和突发病毒攻击时,做到反应迅速行为严谨。本文以某中型企业局域网环境为例,论述病毒防御部署。根据数据存储和传输的关键节点,结合企业网络拓扑结构,“稳准狠”地开展病毒防御工作。
3.1 网络设备
由网络拓扑图可以看出,整个网络中为保证网络安全和网络资源的合理分配,配备了防火墙、路由器、交换机等网络设备。病毒入侵企业网络时,网络设备是其必经之路,因此也是企业信息安全的第一道围墙。网络设备的生产厂商众多,其中配置命令不尽相同,但功能设置和协议应用基本相同,配置要包含三个方面。
(1)按照国家网络安全等级保护要求,明确企业等保级别,并按照相应级别逐条实施各项要求。为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,四部委联合下发了《信息安全等级保护管理办法》。根据办法规定,信息系统的安全保护分为五个等级,并根据不同等级从物理部分(周边环境、门禁检查、电源管理等)、支撑系统(操作系统、通信系统、数据库系统等)、网络部分(网络拓扑结构、网络设备管理、网络攻击监测等)、应用系统(系统应用权限划分、数据备份与容灾处理、访问控制等)和管理制度(管理的组织机构和各级职责、权限划分和责任追究制度等)五部分进行保护。从拓扑图中可知,根据业务保密和安全等级,该企业将网络环境划分多个不同网络区域,针对不同区域进行通信访问限定,如对局域网、互联网和DMZ区进行通讯规则定义。
(2)结合网络拓扑结构和企业业务需求,配置网络设备。该拓扑图中显示,核心交换机2管理的WEB服务器和FTP服务器处于DMZ区,以实现企业外用户可访问DMZ区内数据但不能直接访问核心交换机1所管理的服务器和终端计算机。这需要在防火墙、两台核心交换机上分别设置准入准出规则。同时根据企业应用软件需求,在网络设备上配置开启所需端口的命令,以保证正常通信,且关闭业务不涉及或含高漏洞风险的端口。如在应对“永恒之蓝”勒索病毒时采取的方法为限制各级路由器、交换机等设备的139端口和445端口的进站出站访问。
(3)遇到突发病毒攻击时,采取计算机运维中先硬后软的原则,优先采取物理隔离。病毒突然爆发时,短时间查明爆发原因和提出解决办法的难度较大。且在不确定被传染范围和受损失程度时,为避免计算机间传播造成的更大损失,要第一时间实施物理隔离。此时物理隔离需直接切断局域网与Internet的网络连接,可直接免受互联网的影响;再切断所有网络设备和服务器、终端计算机的网络连接,以降低局域网内部病毒大规模扩散的风险。在得出病毒具体情况和解决办法后,再逐级启用相关网络设备。
3.2 服务器
服务器为企业提供高性能、高可靠性的数据处理和数据存储服务,因此也是恶意病毒入侵的主要目标之一,服务器一旦中毒将对企业生产运营产生不可估计的影响和损失。做好服务器的病毒防御工作,要做到:
(1)完善日常运维基础工作,这包括:①安装专业杀毒软件。以趋势科技防毒墙网络版为例,其优势在于在企业内部网络环境下针对网关、群件、服务器和PC端分类管理,实行跨网段的病毒防护、内容过滤、文件隔离,并可自动更新病毒代码、扫描引擎、程序补丁。值得一提的是,为减少网站木马病毒的入侵,近年来部分浏览器开发商也陆续推出了网页内识别和过滤含恶意代码网页的功能。②配置服务器系统操作安全基线。安全基线是企业系统安全的最低要求,其对服务和应用程序设置、操作系统组件的配置、权限和权利分配和管理规则等内容做出了要求。③定期备份和异地灾备服务器内重要数据。为将企业损失降到最低需要做定期备份,以实现数据恢复的可选择性。且为防止因系统故障、物理环境变化而导致的数据丢失,还应对重要数据做异地灾备,确保数据存储的安全性。这两种方式同等重要。
(2)按需更新系统补丁和软件升级补丁。首先,判断补丁内容是否为当前系统所需,如一台未安装和应用flash插件的服务器就不需要安装与flash相关的插件产品。其次,确定补丁内容和所影响范围。同时要确定应用软件补丁包的内容与系统运行环境要求,评估补丁安装后在系统资源的占用率,以确定软硬件系统的协同利用。
(3)严格限制服务器访问和操作权限。包括用户访问权限、远程控制权限及更细化的软件安装、数据库管理等权限,以防病毒利用管理漏洞取得操作权限进行恶意破坏。如远程桌面的默认端口号为3389,WORM_MORTO.SMA蠕虫病毒会利用该端口漏洞将恶意代码保存到注册表中,实现随意远程操控计算机的目的,对于该类病毒需要更改远程桌面的默认端口并增加远程桌面用户访问权限限制。
(4)病毒防御工作开始前做好系统备份和数据库异地备份。如图一中所示,该企业中包含物理机服务器和VMWare服务器虚拟化产品(由ESXi服务器虚拟出若干虛拟服务器)。在物理机服务器上做补丁升级或其他病毒防御工作前,可利用Windows Server系统中自带的Windows Server Backup功能或将物理机迁移至虚拟服务器中;在虚拟机服务器上做补丁升级或其他病毒防御工作前,可克隆该服务器或做相关备份,即复制一台与该台虚拟服务器各项配置完全一致的虚拟服务器。此操作可避免补丁升级或查杀病毒时对操作系统造成的意外影响,原虚拟机系统崩溃时可立即启用克隆虚拟机。对于安装了Oracle、SQL SERVER等数据库产品的服务器,在病毒防御工作开始前需进行数据库备份,并将备份文件存于其他安全的网络空间上,这样即便系统发生瘫痪,也可通过备份恢复数据库。
3.3 终端计算机
终端计算机(以下简称为计算机)是各类病毒入侵的重灾区,电子邮件病毒、系统漏洞病毒、文件感染病毒等都通过计算机实现快速感染和传播的目的。计算机病毒防御,与服务器病毒防御相类似,要在日常运维基础工作中安装专业杀毒软件、配置计算机安全基线、定期备份计算机内重要数据、按需安装系统补丁和软件补丁。此外,根据计算机应用的特点,需注意以下内容。
3.3.1 电子邮件防毒
据统计,在互联网中每125封邮件中就有1封邮件含有恶意病毒。电子邮件中的病毒程序多伪装成用户所需的文档、链接,因此就以下几个关键内容提高病毒邮件识别意识十分必要。
①主题:根据个人工作内容,日常工作中所收到邮件皆与工作有关,主题含明确的工作内容。但病毒邮件会批量发送,主题名多具有迷惑性,诱导用户查看邮件。这类主题多为“本月工资清单”“请您打开邮件”等。②邮件内容:正常的往来邮件内容通常字体大小、颜色统一,近年来有些病毒利用算法批量发送邮件,使得邮件称呼、署名具有迷惑性,在邮件内容上显示为多段落间字体大小不一,字体颜色多样,中英文参杂,段落间文字排序不整齐等现象。同时,邮件内容中如出现网址链接也要提高警惕,避免打开含病毒网站。③发件人:发件人识别是识别病毒邮件的重要一环。发现疑似病毒邮件时可以通过发件人做出最终判断。电子邮箱格式通常为“账户名@域名”,常规账户名申请时为方便记忆或提高辨识度,用户名多包含个人姓名、职称、单位名称、词组等,域名为企业或机构注册的正规域名。病毒邮件的发件人特点则为账户名或域名为随机字母组合,无命名规律或仿照正规域名,如123@s0hu.com就是仿照知名域名“sohu.com”来迷惑用户。④附件:电子邮件附件为病毒邮件传播的重要媒介,黑客将木马等病毒程序写入附件中,附件文件格式伪装成普通文件,如.doc或.xls等,附件文件名也多采用类似于主题命名的方式,诱导用户打开病毒附件。发现疑似病毒时,需将附件下载到本地硬盘后利用杀毒软件进行甄别。
3.3.2 移动存储介质病毒防御
移动存储介质(以下简称为介质)包括U盘、移动硬盘和光盘等设备。其中可擦写光盘存在染毒风险,已封盘光盘除非第一次刻录时就将病毒代码写入其中,否则日常读取数据并不会传播病毒。为避免将介质中的病毒传播到计算机中就要在计算机和介质两方面采取病毒防护措施。
计算机中关闭介质自动读取。在计算机“本地组策略编辑器”中,做相关配置,关闭自动播放,避免介质插入计算机后自动播放。
安装杀毒软件和U盘专杀工具,插入介质后,先运行杀毒工具,确定安全后再读取其中数据。对于涉密的企事业单位,设置中间转换机(即实现物理隔离、独立运行的专用计算机),以实现涉密移动介质与内部涉密计算机或信息系统的交互。
3.3.3 病毒修复工具
发现计算机内数据被病毒破坏时,务必注意不可以在已被破坏的硬盘上再做读写操作,保护好病毒的“犯罪现场”,利用专业修复工具进行数据修复。其中,一部分病毒修复工具已集成在杀毒软件中,可自动或人为的对文件进行修复。另有针对具体病毒开发的修复工具,在网络中搜索下载。对于文件被删除或改写的需利用专业硬盘数据恢复工具,如EasyRecovery等,进行文件恢复。计算机如遭受攻击可使用以上方式进行修复,但即便有修复工具,仍存在部分文件不能找回的可能性。
4 可持续性病毒防御探索
随着互联网行业的兴起和计算机应用领域的不断拓展,病毒的破坏性升级,隐蔽性增强,病毒防御工作任重而道远。由于病毒防御通常存在一定滞后,即有时病毒发生后才发现风险制定解决方案。这就要求企业做好可持续性病毒防御工作,这一点与消防安全工作有着很多共通之处。消防安全注重提高安全意识,易燃易爆品不得曝露在空气中,同样重要信息数据也不可随意存储在互联网环境中,要做加密和权限访问控制。国家高度重视消防安全知识的普及,同样企业内部也要做好计算机病毒知识和防御方法的普及,例如有效识别出电子邮件病毒并及时删除病毒邮件即可有效降低终端计算机感染和传播病毒的风险。学习使用消防器械可以在危急时刻及时采取挽救措施,同样学会使用各类杀毒工具和数据恢复工具也可挽救企业的经济损失。可以说,无论单从企业的商业机密保护、生产数据安全,还是大到国家的网络信息安全和长治久安,病毒防御工作都是一项时刻不能松懈,需要各级部门提高危机意识,提升业务水平,形成病毒的可持续性防御机制。
主要参考文献
[1]腾讯电脑管家.腾讯安全2017年度互联网安全报告[EB/OL].https://guanjia.qq.com/news/n1/2258.html.
[2]宋安紅.计算机漏洞防范措施研究[J].农村经济与科技,2011,22(6):218-219.
[3]吴秋玫.从“WannaCry”勒索病毒看信息安全运维中的不足[J].电子技术与软件工程,2017(19):202-203.
下一篇:“互联网+”时代档案管理的挑战