殷松軍

（大慶油田礦區(qū)服務(wù)事業(yè)部信息中心，黑龍江 大慶 163000）

1 大慶油田礦區(qū)服務(wù)事業(yè)部網(wǎng)絡(luò)現(xiàn)狀及課題背景

大慶油田礦區(qū)服務(wù)事業(yè)部成立于2007 年。目前，事業(yè)部有11 家成員單位，各成員單位均有獨(dú)立的局域網(wǎng)出口。由于事業(yè)部單位多、戰(zhàn)線長(zhǎng)等原因網(wǎng)絡(luò)上存在著一定的管理死角。事業(yè)部要求各成員單位根據(jù)自身責(zé)任歸屬負(fù)責(zé)相應(yīng)內(nèi)容防護(hù)。依托此次活動(dòng)徹底將事業(yè)部存在的網(wǎng)絡(luò)安全隱患消滅在萌芽狀態(tài)中。

結(jié)合中石油《護(hù)網(wǎng)2018 行動(dòng)安全防護(hù)指南》，我們梳理了事業(yè)部存在的問(wèn)題：（1）通過(guò)不合規(guī)方式私開(kāi)、私接互聯(lián)出口，并與局域網(wǎng)混用；（2）私開(kāi)手機(jī)WIFI 熱點(diǎn)，利用無(wú)線網(wǎng)卡聯(lián)入互聯(lián)網(wǎng)；（3）對(duì)于雙網(wǎng)混用機(jī)器，私設(shè)二級(jí)代理；（4）個(gè)人使用老版本操作系統(tǒng)安裝機(jī)器，造成機(jī)器存在高危漏洞；（5）部分應(yīng)用系統(tǒng)年頭過(guò)長(zhǎng)，已無(wú)外協(xié)單位或第三方已不提供漏洞補(bǔ)?。唬?）個(gè)別單位網(wǎng)絡(luò)設(shè)備超期服役，無(wú)法升級(jí)；（7）對(duì)于移動(dòng)設(shè)備或長(zhǎng)期不服役機(jī)器管理不嚴(yán)格。

通過(guò)對(duì)以上問(wèn)題的分析不難發(fā)現(xiàn)，這些隱患無(wú)疑對(duì)事業(yè)部網(wǎng)絡(luò)安全提出嚴(yán)重預(yù)警。無(wú)論哪一方面出現(xiàn)問(wèn)題，都會(huì)為入侵者提供便利的條件，使得企業(yè)的信息安全如同虛設(shè)。一旦入侵者控制了設(shè)備，那將會(huì)大量植入木馬、后門程序，通過(guò)一些特定的端口大肆傳播，使得大量機(jī)器成為“肉雞”。此時(shí)再發(fā)生諸如DDOS 一類的攻擊，那么企業(yè)的網(wǎng)絡(luò)將會(huì)受到嚴(yán)重的考驗(yàn)。到那時(shí)企業(yè)的損失將會(huì)不可估量，所以此次演習(xí)的目的不言而喻。同時(shí)也給我們敲響了信息安全的警鐘，在信息安全的道路上馬虎不得。

2 防御的常用手法

網(wǎng)絡(luò)攻擊分為主動(dòng)攻擊與被動(dòng)攻擊，此次演練攻擊方為主動(dòng)攻擊，由于活動(dòng)要求主要重點(diǎn)在于防御，所以簡(jiǎn)單介紹目前的防御方法：（1）防火墻技術(shù)；（2）入侵檢測(cè)系統(tǒng)；（3）安全掃描系統(tǒng)；（4）訪問(wèn)控制技術(shù)；（5）網(wǎng)絡(luò)安全管理。

3 各類防御技術(shù)在企業(yè)網(wǎng)絡(luò)安全中的綜合應(yīng)用

（1）WIRESHARK 在網(wǎng)絡(luò)攻防中的設(shè)置。此次演練重在防御，那么在防御過(guò)程中能夠及時(shí)的發(fā)現(xiàn)對(duì)本網(wǎng)絡(luò)的掃描和入侵就及其重要。入侵網(wǎng)絡(luò)，首先是進(jìn)行掃描行為，比如掃描端口，就是為了發(fā)現(xiàn)開(kāi)放的端口，并進(jìn)一步找出開(kāi)放端口可攻破的漏洞。因此，預(yù)防黑客攻擊的第一步，就是及時(shí)檢測(cè)出掃描行為。我們知道一般的掃描行為是以ARP 廣播包的方式去探測(cè)網(wǎng)絡(luò)中有哪些主機(jī)是處于開(kāi)機(jī)狀態(tài)。因此，必然會(huì)出現(xiàn)遠(yuǎn)遠(yuǎn)多于正常狀態(tài)下的ARP 廣播包。掃描行為是掃描一個(gè)網(wǎng)段中所有的IP 地址，因此就會(huì)向該網(wǎng)段中所有的IP 地址發(fā)送ARP 廣播包，包括沒(méi)有主機(jī)使用的IP 地址。當(dāng)檢測(cè)到某一個(gè)IP 所對(duì)應(yīng)的主機(jī)是開(kāi)機(jī)狀態(tài)后，就會(huì)進(jìn)一步對(duì)該主機(jī)進(jìn)行端口探測(cè)，以獲知該主機(jī)哪些端口是開(kāi)放的、哪些端口有漏洞存在。因此我們?cè)诰W(wǎng)絡(luò)的核心交換機(jī)上接入一臺(tái)機(jī)器，利用WIRESHARK 進(jìn)行實(shí)時(shí)監(jiān)測(cè)。通過(guò)對(duì)WIRESHARK 的參數(shù)設(shè)定，成功的發(fā)現(xiàn)幾次對(duì)全網(wǎng)的掃描。其實(shí)在內(nèi)網(wǎng)探測(cè)中WIRESHARK 還可以查看哪些機(jī)器開(kāi)了哪些端口。

（2）SCANPORT 在終端端口掃描中的應(yīng)用。在企業(yè)辦公網(wǎng)中一般都會(huì)存在著大量高危端口。這些開(kāi)放的端口往往就是潛在的危險(xiǎn)，一旦這些開(kāi)放的端口被入侵者利用，那就會(huì)成為他們的武器。所以在內(nèi)網(wǎng)中找到這些機(jī)器十分必要。SCANPORT 就是這類比較容易上手的軟件。只要定義好端口號(hào)就可以對(duì)網(wǎng)段內(nèi)的機(jī)器掃描。這樣就可以很容易的找到那些不符合安全基線的機(jī)器。

（3）對(duì)于無(wú)線網(wǎng)絡(luò)的追蹤。根據(jù)此次行動(dòng)要求，要對(duì)互聯(lián)網(wǎng)出口要做好管理。對(duì)于局域網(wǎng)與非法互聯(lián)網(wǎng)并用的情況要堅(jiān)持取締。工作中確實(shí)需要互聯(lián)網(wǎng)的則要做到局域網(wǎng)與互聯(lián)網(wǎng)物理隔離。對(duì)于企業(yè)來(lái)說(shuō)通過(guò)正常渠道開(kāi)通的互聯(lián)網(wǎng)出口比較好查，但對(duì)于那些隱性的出口查找起來(lái)比較麻煩。這些出口往往在定位上很難判斷。針對(duì)這種情況我們?cè)谝徊恳苿?dòng)設(shè)備上安裝了無(wú)線信號(hào)測(cè)試軟件WirelessMon，它能列出周邊所有的無(wú)線路由器、無(wú)線AP信號(hào)強(qiáng)度、信道等實(shí)時(shí)信息。通過(guò)在辦公樓道中移動(dòng)就能準(zhǔn)確的定位在哪個(gè)房間存在無(wú)線信號(hào)。解決了無(wú)線網(wǎng)絡(luò)定位的問(wèn)題。

（4）內(nèi)網(wǎng)計(jì)算機(jī)終端的管理。事業(yè)部共計(jì)入網(wǎng)有效計(jì)算機(jī)終端2000 多臺(tái)。對(duì)于如此龐大數(shù)量的終端沒(méi)有一個(gè)統(tǒng)一的管理是不行的。事業(yè)部要求各成員單位統(tǒng)一安裝中石油桌面安全管理系統(tǒng)，按照終端安全基線的標(biāo)準(zhǔn)對(duì)每臺(tái)計(jì)算機(jī)進(jìn)行加固。同時(shí)制定了嚴(yán)格的管理辦法。

(5)網(wǎng)絡(luò)設(shè)備的防護(hù)。①加強(qiáng)了設(shè)備賬號(hào)的管理，并對(duì)交換機(jī)的訪問(wèn)IP 做出訪問(wèn)控制；②加強(qiáng)了密碼的強(qiáng)度，并對(duì)密碼加密；③更改交換機(jī)帶內(nèi)管理方式，禁用TELNET方式；④禁用HTTP SERVER、CDP、TCP/UDP Small、BOOTP SERVER、用DNS 查詢、Finger 等服務(wù)；⑤按需要?jiǎng)澐纸粨Q機(jī)VLAN；⑥啟用NTP 服務(wù)并與地區(qū)NTP 服務(wù)器同步；⑦啟用日志服務(wù)，并在內(nèi)網(wǎng)搭建KIWI—SYSLOG—SERVE，保存每天的日志；⑧備份交換機(jī)配置。

（6）服務(wù)器的防護(hù)。①加強(qiáng)了賬號(hào)的管理，刪除或禁用無(wú)關(guān)賬戶、更改默認(rèn)管理賬號(hào)名；②加強(qiáng)密碼強(qiáng)度；③限定服務(wù)器認(rèn)證授權(quán)，并設(shè)置訪問(wèn)白名單；④啟用日志服務(wù)，并在內(nèi)網(wǎng)搭建KIWI—SYSLOG—SERVE，保存每天的日志；⑤開(kāi)啟服務(wù)器防火墻，做入站規(guī)則，安裝殺毒軟件；⑥關(guān)閉多余服務(wù)，定時(shí)更新服務(wù)器安全補(bǔ)丁；⑦更改3389 端口，關(guān)閉系統(tǒng)默認(rèn)共享、自動(dòng)運(yùn)行及高危端口。

4 結(jié)語(yǔ)

網(wǎng)絡(luò)安全與否說(shuō)到底在于人。人的因素是網(wǎng)絡(luò)安全的核心，技術(shù)做為一種防護(hù)手段在客觀上起到了不可忽視的作用?？稍谡麄€(gè)網(wǎng)絡(luò)安全體系中有些是技術(shù)防不了的。比如：社會(huì)工程學(xué)、未知的安全漏洞等等。針對(duì)此次自查中我們發(fā)現(xiàn)問(wèn)題基本上都出在員工對(duì)網(wǎng)絡(luò)安全缺乏認(rèn)知。正是因?yàn)槿绱?，才使得企業(yè)在網(wǎng)絡(luò)安全方面的隱患與日俱增。實(shí)踐證明制度的制定和執(zhí)行是提高員工網(wǎng)絡(luò)安全意識(shí)的有效途徑和手段。只有員工在主觀上提高了對(duì)網(wǎng)絡(luò)安全重要性的認(rèn)識(shí)，才能有效的避免人為的錯(cuò)誤?？傊诰W(wǎng)絡(luò)安全的道路上我們?nèi)沃氐肋h(yuǎn)。只有全員齊心才能營(yíng)造出安全暢通的網(wǎng)絡(luò)辦公環(huán)境。