■ 山西 陳俊祺

編者按： 一般在小型單位中，其IT系統(tǒng)較為簡單，加之單位自身客觀條件限制，安全措施往往并不到位，因此，應(yīng)隨時加強自身網(wǎng)絡(luò)安全建設(shè)，以防范網(wǎng)絡(luò)威脅的發(fā)生。

網(wǎng)管值班人員在例行的機房常規(guī)檢查中，發(fā)現(xiàn)兩臺業(yè)務(wù)服務(wù)器的關(guān)鍵服務(wù)異常關(guān)閉，經(jīng)過仔細檢查確認該服務(wù)器被非法用戶遠程控制，不僅停了關(guān)鍵服務(wù)，破壞中間件，還從數(shù)據(jù)庫中刪除了部分關(guān)鍵數(shù)據(jù)。針對這一情況，網(wǎng)管部門立即召開緊急會議明確應(yīng)急措施，經(jīng)過一上午努力，系統(tǒng)恢復(fù)正常訪問，但丟失的數(shù)據(jù)直到一周后才恢復(fù)正常。綜合此次故障中的種種現(xiàn)象（數(shù)據(jù)庫數(shù)據(jù)被非法刪除、關(guān)鍵服務(wù)被中止和中間件部分文件丟失），大家一致認為：被黑客攻擊的可能性極大，但是由于技術(shù)設(shè)備的限制，未能有效地阻止黑客的攻擊，且缺乏事后相關(guān)日志的數(shù)據(jù)分析，難以拿出科學的證據(jù)。

事后，網(wǎng)管部門對這次事件進行了反思，發(fā)現(xiàn)這次事故的出現(xiàn)并不是偶然的，是因為我們先前對網(wǎng)絡(luò)安全重視不到位，網(wǎng)絡(luò)安全措施存在一定的缺陷。

之后，針對這些不足和缺陷，我們及時采取了多方面的安全措施，來保障業(yè)務(wù)應(yīng)用系統(tǒng)的安全穩(wěn)定運行。

加強入侵防御檢測措施

這是網(wǎng)絡(luò)安全防護的常規(guī)措施，強化配置入侵防御系統(tǒng)(IPS)，加強網(wǎng)絡(luò)邊界的安全防護，對入侵活動和攻擊性網(wǎng)絡(luò)異常行為進行預(yù)先判斷并主動攔截，避免其造成損失。

加強防火墻的配置與應(yīng)用

在這次事件中，我們發(fā)現(xiàn)現(xiàn)有的硬件防火墻并沒有發(fā)揮到很好的防御效果，沒有將威脅防御在防火墻外。

經(jīng)過與防火墻廠商的溝通，對防火墻做了以下兩點措施：將現(xiàn)有的防火墻系統(tǒng)版本升級，以便抵御最新的攻擊和入侵。對防火墻制定了更嚴格的策略和設(shè)置，將原來忽略的一些安全問題都進行了嚴格控制。

加強木馬檢測，嚴格控制移動存儲設(shè)備的使用

這次事件中，服務(wù)器被入侵，防火墻沒有起到很好的防御效果，很可能是在內(nèi)部局域網(wǎng)中植入了木馬，而黑客也很可能通過木馬進入了服務(wù)器，對服務(wù)器進行了破壞活動。

經(jīng)過認真分析，服務(wù)器通過網(wǎng)絡(luò)中木馬的可能性不大，因為服務(wù)器只是作為提供應(yīng)用服務(wù)的設(shè)備，并不主動去連接網(wǎng)絡(luò)。那么另外一種可能就是通過移動存儲人為地感染了木馬。

為了避免再次出現(xiàn)類似的情況，我們制定了相關(guān)安全制度：要求單位內(nèi)部所有電腦、服務(wù)器都安裝相關(guān)的“機關(guān)網(wǎng)絡(luò)終端安全管理系統(tǒng)”，可以查殺病毒木馬。嚴格控制個人移動存儲設(shè)備直接與服務(wù)器相連來傳輸數(shù)據(jù)，如果服務(wù)器確實有數(shù)據(jù)需要更新，相關(guān)的移動設(shè)備也必須進過掃描并確認沒有感染病毒和木馬后，才可以與服務(wù)器相連。

構(gòu)筑安全的服務(wù)器環(huán)境

在構(gòu)建安全網(wǎng)絡(luò)環(huán)境的同時，還必須構(gòu)筑安全的服務(wù)器環(huán)境，這是服務(wù)器安全的最后一道屏障。

針對服務(wù)器采取了以下幾個措施：制定操作系統(tǒng)升級策略，確保操作系統(tǒng)及時打上最新補丁，不留任何系統(tǒng)漏洞；給系統(tǒng)裝了防病毒、防木馬安全軟件，確保出現(xiàn)問題及時查殺，關(guān)閉系統(tǒng)所有無關(guān)的服務(wù)和端口，避免黑客利用這類服務(wù)和端口對服務(wù)器進行攻擊；對部署在服務(wù)器上的中間件和其他應(yīng)用程序也定期升級，修復(fù)系統(tǒng)漏洞，排除各種隱患。

加強準入措施

加強單位使用計算機的控制，嚴格控制外來計算機接入內(nèi)網(wǎng)。本單位的計算機強制安裝了“機關(guān)網(wǎng)絡(luò)終端安全管理系統(tǒng)客戶端”強制性身份認證系統(tǒng)，否則內(nèi)網(wǎng)不能訪問。

這樣就解決了非法用戶入網(wǎng)的問題。輔之以入網(wǎng)計算機與樓層交換機端口固定、VLAN固定、IP固定等手段，確認核實用戶身份。新入網(wǎng)計算機必須到網(wǎng)管部門辦理相關(guān)手續(xù)，在計算機上安裝“機關(guān)網(wǎng)絡(luò)終端安全管理客戶端”，在網(wǎng)管人員確認后，在“機關(guān)網(wǎng)絡(luò)終端安全管理系統(tǒng)”服務(wù)器端啟用該設(shè)備，方能激活入網(wǎng)。這樣不僅方便管理及溯源，而且解決了長期以來入網(wǎng)資產(chǎn)不清的問題，強化了網(wǎng)管部門“管”的力度。

通過以上措施，有效加強了單位的網(wǎng)絡(luò)安全，保障了服務(wù)器的穩(wěn)定運行。在部署完以上所有措施后的一段時間內(nèi)，服務(wù)器運行正常，并沒有再遭到攻擊，達到了預(yù)期效果。