林海彥

（中南空管局通信網(wǎng)絡(luò)中心，廣州 510405）

1 引言

筆者所在單位辦公網(wǎng)在2008年5月開始分隔為辦公內(nèi)網(wǎng)和辦公外網(wǎng)，并實現(xiàn)了辦公內(nèi)外網(wǎng)的物理隔離，并在辦公內(nèi)網(wǎng)部署了統(tǒng)一的網(wǎng)絡(luò)防病毒軟件。經(jīng)過一段時間的運行我們發(fā)現(xiàn)，內(nèi)外網(wǎng)隔離之后，辦公內(nèi)網(wǎng)的病毒感染數(shù)量居高不下，感染率甚至比辦公網(wǎng)外網(wǎng)還高。通過對內(nèi)網(wǎng)病毒感染途徑的分析和研究，我們制定實施了包括技術(shù)手段和管理措施相結(jié)合的一系列病毒防治策略，有效的降低了內(nèi)網(wǎng)的病毒感染率。由于全系統(tǒng)普遍實施了辦公內(nèi)外網(wǎng)物理隔離的措施，在內(nèi)網(wǎng)病毒防治方面所面臨的問題及要求具有一定的普遍性，現(xiàn)將我單位在辦公內(nèi)網(wǎng)病毒防治方面的思路及實踐與大家一起分享，希望能為大家提供一定的參考。

2 現(xiàn)狀與分析

2.1 現(xiàn)狀與存在的問題

筆者所在單位的辦公網(wǎng)從1998年開始建設(shè)以來，隨著業(yè)務(wù)的快速發(fā)展和人員的增加而快速壯大，特別是2004年新大樓的搬遷和2005年值守中心的啟用，辦公網(wǎng)計算機數(shù)量從最初的10多臺發(fā)展到超過900臺，地域分布包括新舊辦公大樓、值守中心以及鳳凰路、大和路等監(jiān)測站的多個地方，直徑超過50公里范圍的區(qū)域?；ヂ?lián)網(wǎng)出口帶寬從原來的56k撥號共享發(fā)展到現(xiàn)在的2.2G共享，給我單位人員進行對外的信息業(yè)務(wù)交流帶來了極大的便利。在網(wǎng)絡(luò)信息安全方面，我單位先后在辦公網(wǎng)中推行了虛擬子網(wǎng)劃分，部署了AD域管理系統(tǒng)，WSUS補丁管理系統(tǒng)，建立了McAfee網(wǎng)絡(luò)防病毒系統(tǒng)和桌面終端管理系統(tǒng)，實現(xiàn)了終端的準入控制，并在網(wǎng)絡(luò)出口部署了防火墻，建立了基本的網(wǎng)絡(luò)安全防護體系。2008年5月我單位開始實施辦公網(wǎng)的內(nèi)外網(wǎng)分離，將現(xiàn)有的辦公網(wǎng)分隔為物理隔離的內(nèi)外兩個網(wǎng)絡(luò)。經(jīng)過一段時間的運行我們發(fā)現(xiàn)，內(nèi)外網(wǎng)隔離之后，辦公內(nèi)網(wǎng)的病毒感染率不降反升，感染率一度超過了60%，甚至比辦公外網(wǎng)還高，成為辦公網(wǎng)信息安全的一個隱患，給辦公網(wǎng)的管理帶了了較大的壓力。

2.2 原因分析

內(nèi)外網(wǎng)隔離之后，內(nèi)網(wǎng)已經(jīng)和Internet完全物理隔離，為什么病毒感染數(shù)量還居高不下呢？根據(jù)對內(nèi)外網(wǎng)計算機感染病毒情況的綜合分析，內(nèi)網(wǎng)病毒的主要感染途徑包括：

* 電腦內(nèi)原有帶來的病毒：由于雙網(wǎng)隔離是在原來網(wǎng)絡(luò)的基礎(chǔ)上，直接將部分計算機斷開網(wǎng)絡(luò)組建成內(nèi)網(wǎng)，因此存在部分潛伏的病毒文件，主要是原存儲的（壓縮）文件，也包括重新安裝系統(tǒng)所采用的GHOST系統(tǒng)安裝光盤、新安裝染毒軟件等。

* 通過內(nèi)部網(wǎng)絡(luò)傳播：病毒進入內(nèi)網(wǎng)之后，通過開放的共享文件權(quán)限、用戶弱口令和系統(tǒng)漏洞等在內(nèi)網(wǎng)中傳播。

* 通過I/O途徑感染：主要是移動存儲介質(zhì)的跨網(wǎng)使用。在外網(wǎng)使用并感染病毒的移動存儲介質(zhì)，接入到內(nèi)網(wǎng)后感染內(nèi)網(wǎng)計算機，并在內(nèi)網(wǎng)傳播。

經(jīng)過進一步跟蹤分析我們發(fā)現(xiàn)，辦公網(wǎng)實施內(nèi)外網(wǎng)物理隔離管理后，通過移動存儲介質(zhì)感染是辦公內(nèi)網(wǎng)計算機病毒感染的主要途徑，而且呈上升的趨勢。究其原因，一個是內(nèi)外網(wǎng)隔離后，大部分的終端電腦留在了辦公內(nèi)網(wǎng)，大量的業(yè)務(wù)資料跟隨原來的計算機保留在辦公內(nèi)網(wǎng)；與此同時辦公網(wǎng)用戶在業(yè)務(wù)上存在大量的對外交流的需求，需要從內(nèi)網(wǎng)取得相關(guān)的業(yè)務(wù)資料，而最方便的就是使用移動存儲介質(zhì)進行數(shù)據(jù)遷移；另外一個也和用戶的安全意識誤區(qū)有關(guān)，大家都認為辦公內(nèi)網(wǎng)物理隔離了，就不怕感染病毒了；即使感染病毒也不會對安全造成影響，因此對移動存儲的跨網(wǎng)使用放松警惕。

3 病毒防治整體策略

3.1 病毒防治整體思路

根據(jù)現(xiàn)狀及統(tǒng)計分析的結(jié)果，從我單位的工作實際出發(fā)，我們制定了一套整體的病毒防治策略，思路如下：技術(shù)上通過阻斷病毒的感染和傳播路徑，有效降低辦公內(nèi)網(wǎng)計算機感染病毒的機率；管理上，落實管理責任，加強運維管理，提高用戶的安全意識，減少無意識的病毒感染，及時消除內(nèi)網(wǎng)病毒。具體如下：

3.2 技術(shù)措施

針對內(nèi)網(wǎng)病毒感染和傳播的三種方式，我們制定了對應的技術(shù)措施加于處理。

3.2.1 清理計算機內(nèi)原有病毒

計算機內(nèi)原有病毒除了以前存在電腦中沒有被發(fā)現(xiàn)的病毒之外，還有一些是被誤報的特殊軟件，不能一概而論，因此我們制定了如下策略：

* 縮短病毒代碼更新的頻率，下發(fā)全網(wǎng)病毒查殺定期策略，全面清理計算機原有的病毒。

* 由用戶配合技術(shù)人員審核原計算機內(nèi)部的疑似病毒文件，經(jīng)判定屬于誤殺的，統(tǒng)一存放路徑并進行排除，做好登記。

* 制作安全無毒的操作系統(tǒng)安裝光盤映像，并定期更新，集成最新的客戶端和系統(tǒng)補?。徽韮?nèi)網(wǎng)常用軟件，經(jīng)病毒檢測后，存放在FTP服務(wù)器上，供用戶下載使用，減少因重裝系統(tǒng)、新裝軟件引起的病毒感染。

3.2.2 切斷病毒傳播路徑

管理員用戶的弱口令，用戶開放完全權(quán)限的文件共享以及用戶系統(tǒng)存在安全漏洞等情況都是病毒能夠通過網(wǎng)絡(luò)傳播的原因，通過技術(shù)上限制上述情況，能夠有效阻斷病毒通過網(wǎng)絡(luò)進行傳播。為此，我們采取了以下策略：

* 通過域組策略，啟用強密碼策略，強制要求用戶設(shè)置符合復雜性規(guī)則的用戶密碼，全面清理用戶的弱密碼，加強用戶口令的安全性。

* 啟用McAfee的相關(guān)掃描策略，提高文件共享訪問的安全性。

* 通過WSUS和手動更新補丁列表等方式，確保網(wǎng)內(nèi)計算機能及時更新系統(tǒng)補丁，及時修補系統(tǒng)安全漏洞，使病毒無“洞”可入。

3.2.3 多管齊下，阻斷病毒通過移動存儲介質(zhì)傳播

從病毒掃描日志上分析，移動存儲介質(zhì)是辦公內(nèi)網(wǎng)計算機感染病毒的主要途徑，且呈上升趨勢。因此對于通過移動存儲介質(zhì)的病毒傳播的防范和管理是重中之重。我們采取了多種方式加于防治：

* 通過軟件策略禁止移動存儲介質(zhì)運行autorun.inf文件，避免一插入U盤就被感染的情況，有效阻斷病毒通過移動存儲介質(zhì)的自動傳播。

* 實施AD域軟件限制策略，限制在U盤上運行可執(zhí)行文件，減少U盤病毒的感染機率。

* 通過桌面終端管理系統(tǒng)禁止常見U盤病毒進程的運行，阻斷感染U盤中病毒的進一步傳播。

* 啟用移動存儲介質(zhì)注冊管理制度，對全局所有移動存儲介質(zhì)進行統(tǒng)一登記、統(tǒng)一注冊、統(tǒng)一管理，并通過桌面終端管理系統(tǒng)禁用未注冊的移動存儲介質(zhì)接入使用。

* 引入U盤堡壘機機制，在辦公內(nèi)網(wǎng)之外指定專用計算機作為U盤堡壘機，要求U盤在接入內(nèi)網(wǎng)之前，必須先在該堡壘機上進行病毒查殺，確認沒有感染病毒之后才能接入內(nèi)網(wǎng)使用。堡壘機上安裝McAfee、金山毒霸、360safe等病毒查殺工具，用于對接入內(nèi)網(wǎng)的U盤進行病毒查殺。堡壘機由各單位安全聯(lián)系人管理，定期進行安全加固和安全檢查，確保堡壘機的安全。

3.3 管理措施

人員的安全意識、操作習慣和相應的管理流程都會很大程度上影響病毒防治的效果，因此單有技術(shù)上的措施還不夠，我們制定了相應的管理措施：

3.3.1 落實管理責任

* 理順管理機制：根據(jù)“誰主管誰負責、誰運行誰負責、誰使用誰負責”的原則，我單位下發(fā)并修訂了《辦公網(wǎng)絡(luò)和計算機管理暫行規(guī)定》，明確辦公網(wǎng)計算機信息安全的責任主體；要求各部門指定安全聯(lián)系人，配合信息安全管理工作。

* 明確責任：要求網(wǎng)內(nèi)的每一臺計算機，均指定專人管理，將職責明確到人，使各種安全制度和安全措施能對應到具體的人員，便于監(jiān)督落實。

* 推行量化指標：設(shè)定了防病毒相關(guān)的可量化指標，并推動納入考核。指標包括單位所屬計算機的病毒感染率要求；同一臺計算機的病毒感染頻率；病毒感染的嚴重性等，使各單位在落實管理措施時有目標，有著力點，推進病毒防范落到實處。

3.3.2 加強運維管理

* 技術(shù)部門每周監(jiān)控網(wǎng)內(nèi)病毒感染情況，及時通告并指導單位安全聯(lián)系人進行處理。

* 每周跟蹤處理感染病毒排名前十位的計算機，及時分析原因，堵住漏洞，防止該病毒在網(wǎng)內(nèi)的進一步傳播。

* 不定期制作常見病毒清理操作指引，列明病毒的特點、危害以及處理方式，指導用戶清理病毒，修補漏洞，避免再次感染病毒。

* 每月統(tǒng)計網(wǎng)內(nèi)病毒感染情況并在局內(nèi)部門戶網(wǎng)站上公布。

* 不定期開展安全檢查，檢查分析各單位病毒防治情況，提出整改建議和技術(shù)支持。

* 當辦公內(nèi)網(wǎng)中病毒情況出現(xiàn)不良趨勢或未能有效改善時，將作為隱患錄入隱患排查系統(tǒng)，由上級領(lǐng)導督辦解決。

3.3.3 提高用戶安全意識

* 不定期組織開展安全聯(lián)系人的專項培訓，提高安全聯(lián)系人的病毒處理技能。

* 開展全員安全意識和計算機技能的培訓，引導用戶走出安全誤區(qū)，建立良好的使用習慣。

4 實踐效果及后續(xù)改進

4.1 實踐效果

我局的內(nèi)網(wǎng)防病毒整體策略實施一年多以來，取得了較好的成效。在近年來互聯(lián)網(wǎng)上病毒木馬成倍增長的背景下，內(nèi)網(wǎng)的病毒感染率從原來的超過40%，降低到現(xiàn)在的15%上下，降幅超過60%；病毒感染數(shù)也從最初每月超過14000，降低到1000以下，降幅超過90%，這也從一個側(cè)面反映出了病毒在內(nèi)網(wǎng)潛伏的時間和感染的廣度都得到有效的控制。

4.2 存在不足

從以上的數(shù)據(jù)可以看出，雖然內(nèi)網(wǎng)的病毒感染率總體趨勢向下，但還存在反復的情況，這除了個別隨著病毒技術(shù)的不斷發(fā)展，病毒定義的日趨嚴格而新增的誤判之外，也表明現(xiàn)有的防病毒策略還有不少值得加強的地方。主要體現(xiàn)在兩個方面：

（1）個別技術(shù)措施還存在漏洞和不足，需要進一步完善；有些技術(shù)措施需要進行不斷的測試和優(yōu)化，才能達到設(shè)想的效果。如一開始為阻斷U盤病毒自動感染，我們采用AD域策略“關(guān)閉自動播放”功能和軟件限制策略禁止autorun.inf相結(jié)合的措施來限制。經(jīng)過實踐我們發(fā)現(xiàn)，軟件限制策略只是禁止autorun.inf文件被打開，并不能禁止該文件被讀取。而實際的運行是Explorer.exe默認讀取該文件內(nèi)容寫入注冊表MountPoints2這個鍵值中，從而當用戶雙擊打開U盤時，系統(tǒng)直接執(zhí)行autorun.inf文件中的內(nèi)容。最后我們進行測試，采用了McAfee的自定義有害文件策略才將該問題徹底解決。

（2）量化指標不具備強制性，執(zhí)行效果參差不齊；個別部門沒有將量化指標納入管理考核，因此沒有得到足夠的重視，在執(zhí)行落實上存在較大的差別，導致執(zhí)行效果參差不齊。事實證明將量化指標納入管理考核，能有效促進各項措施的落實，效果明顯。如網(wǎng)絡(luò)中心，其病毒感染率已經(jīng)連續(xù)5個月控制在10%以下。

4.3 改進設(shè)想和建議

根據(jù)病毒策略的運行情況以及存在的問題，我們將進一步的加于完善。技術(shù)上將結(jié)合用戶環(huán)境，充分考慮用戶使用習慣的基礎(chǔ)上，嘗試采取更加嚴格的限制措施，如軟件黑白名單方式、用戶權(quán)限最小化等方式，進一步降低病毒感染的可能性。在管理方面，將進一步建立和完善統(tǒng)一量化指標，推進納入管理考核。

5 結(jié)束語

本文介紹了內(nèi)外網(wǎng)隔離模式下在辦公內(nèi)網(wǎng)中的防病毒實踐，具有一定的參考價值。

[1] 張志雄，李曉云.企業(yè)信息化建設(shè)中的網(wǎng)絡(luò)安全問題探討[J].中國高新技術(shù)企業(yè)，2008，（20）：145-151.