徐振華

1 國內(nèi)信息化建設(shè)現(xiàn)狀

1.1 企業(yè)信息化建設(shè)現(xiàn)狀

隨著信息技術(shù)的飛速發(fā)展，特別是進入新世紀以來，我國信息化基礎(chǔ)設(shè)施普及已達到較高水平，但應(yīng)用深度有待進一步建設(shè)。從《第35次中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》的一組數(shù)據(jù)顯示出，截至2014年12月，全國使用計算機辦公的企業(yè)比例為90.4%，截至2014年12月，全國使用互聯(lián)網(wǎng)辦公的企業(yè)比例為78.7%。近些年，我國企業(yè)在辦公中使用計算機的比例基本保持在90%左右的水平上，互聯(lián)網(wǎng)的普及率也保持在80%左右，在使用互聯(lián)網(wǎng)辦公的企業(yè)中，固定寬帶的接入率也連續(xù)多年超過95% 。基礎(chǔ)設(shè)施普及工作已基本完成，但根據(jù)企業(yè)開展互聯(lián)網(wǎng)應(yīng)用的實際情況來看，仍存在很大的提升空間。

一方面，是采取提升內(nèi)部運營效率措施的企業(yè)比例較低，原因之一在于企業(yè)的互聯(lián)網(wǎng)應(yīng)用意識不足，之二在于內(nèi)部信息化改造與傳統(tǒng)業(yè)務(wù)流程的契合度較低，難以實現(xiàn)真正互聯(lián)網(wǎng)化，之三在于軟硬件和人力成本較高，多數(shù)小微企業(yè)難以承受；另一方面，營銷推廣、電子商務(wù)等外部運營方面開展互聯(lián)網(wǎng)活動的企業(yè)比例較低，且在實際應(yīng)用容易受限于傳統(tǒng)的經(jīng)營理念，照搬傳統(tǒng)方法。

1.2 企業(yè)網(wǎng)絡(luò)應(yīng)用現(xiàn)狀

根據(jù)最新的《第35次中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》中的數(shù)據(jù)顯示，企業(yè)開展的互聯(lián)網(wǎng)應(yīng)用種類較為豐富，基本涵蓋了企業(yè)經(jīng)營的各個環(huán)節(jié)。電子郵件作為最基本的互聯(lián)網(wǎng)溝通類應(yīng)用，普及率最高，達83.0%；互聯(lián)網(wǎng)信息類應(yīng)用也較為普遍，各項應(yīng)用的普及率的都超過50%；而在商務(wù)服務(wù)類和內(nèi)部支撐類應(yīng)用中，除網(wǎng)上銀行、與政府機構(gòu)互動、網(wǎng)絡(luò)招聘的普及率較高以外，其他應(yīng)用均不及50%。我國大部分企業(yè)尚未開展全面深入的互聯(lián)網(wǎng)建設(shè)，仍停留在基礎(chǔ)應(yīng)用水平上。由于目前我國網(wǎng)民數(shù)量已經(jīng)突破6億，在人們的日常工作、學(xué)習中網(wǎng)絡(luò)已經(jīng)扮演了不可替代的角色，因此網(wǎng)絡(luò)安全問題就凸顯出來，2014年，總體網(wǎng)民中有46.3%的網(wǎng)民遭遇過網(wǎng)絡(luò)安全問題，我國個人互聯(lián)網(wǎng)使用的安全狀況不容樂觀。在安全事件中，電腦或手機中病毒或木馬、賬號或密碼被盜情況最為嚴重，分別達到26.7%和25.9%，在網(wǎng)上遭遇到消費欺詐比例為12.6%。

1.3 網(wǎng)絡(luò)安全防護現(xiàn)狀

當前企業(yè)網(wǎng)絡(luò)中已部署的基本的網(wǎng)絡(luò)安全設(shè)備如防火墻等，但網(wǎng)絡(luò)使用安全意識不高且網(wǎng)絡(luò)安全是一個動態(tài)維護的過程，企業(yè)面臨的內(nèi)外部安全威脅日益巨增，整體安全形勢不容樂觀。在網(wǎng)絡(luò)安全威脅中，對于來著企業(yè)內(nèi)網(wǎng)的安全威脅特別難以防范，傳統(tǒng)的安全防護措施，只能面對外部威脅，對內(nèi)不具備防護能力。

高校在校園網(wǎng)信息化過程中數(shù)字化校園就是一典型例子，數(shù)字化校園網(wǎng)可以方便學(xué)生使用各類網(wǎng)絡(luò)學(xué)習資源。但也有部分學(xué)生在好奇心的驅(qū)使下，往往會在網(wǎng)絡(luò)中進行試探性的病毒傳播、網(wǎng)絡(luò)攻擊等等。也有部分學(xué)生以獲得學(xué)院某臺服務(wù)器或者網(wǎng)站的控制權(quán)來顯示其在黑客技術(shù)水平。因此，在內(nèi)網(wǎng)中維護網(wǎng)絡(luò)安全，保護信息安全，就顯得更加重要和緊迫了。

2 內(nèi)網(wǎng)面臨的網(wǎng)絡(luò)威脅

筆者在高校內(nèi)網(wǎng)信息化建設(shè)過程中，通過多年的研究調(diào)查發(fā)現(xiàn)，學(xué)生的攻擊往往是盲目地，且由于部分高校內(nèi)網(wǎng)管理較混亂，學(xué)生可以繞過一些身份認證等安全檢測，進入校園核心網(wǎng)絡(luò)。學(xué)生的這些行為，一般不存在惡意性質(zhì)，也不會進行蓄意破壞，但這就向我們提出了警示，一旦有不法分子輕松突破防線，其帶來的危害也是災(zāi)難性的。

筆者以本單位學(xué)生通過校園網(wǎng)絡(luò)攻擊校園網(wǎng)服務(wù)器的例子，說明其網(wǎng)絡(luò)攻擊有時往往非常容易，其造成的危害卻非常之大。

2.1 突破內(nèi)網(wǎng)，尋找突破口

學(xué)生通過學(xué)院內(nèi)網(wǎng)IP地址管理漏洞，輕松接入校園內(nèi)部辦公網(wǎng)絡(luò)，并獲得內(nèi)網(wǎng)地址網(wǎng)段劃分情況。通過流行黑客軟件掃描學(xué)院內(nèi)網(wǎng)獲得內(nèi)網(wǎng)安全薄弱處，檢測出共青團委員會 http：//10.0.1.30：90/該網(wǎng)頁存在漏洞。進一步利用路徑檢測工具進行掃描，獲得了后臺地址http：//10.0.1.30：90/wtgy/login.php。

2.2 一擊得手

學(xué)生在獲得了正確的管理地址后，只是進行了簡單的嘗試就取得了戰(zhàn)果，通過弱口令掃描發(fā)現(xiàn)系統(tǒng)存在弱口令，于是嘗試了如admin admin admin admin888 admin 123456等，居然順利進入后臺。

然后利用后臺的附件管理里面的功能，添加了php格式，從而實現(xiàn)了上傳。得到了內(nèi)網(wǎng)的webshell（如圖1）。

2.3 再接再厲，權(quán)限提升

學(xué)生不斷嘗試，測試了asp和aspx 的支持情況，答案是支持asp，不支持aspx的。自然就上傳了 asp webshell，可以實現(xiàn)跨目錄訪問。訪問權(quán)限進一步提升，如圖，目標主機D盤內(nèi)容一覽無余，其中不乏一些關(guān)鍵目錄信息就展現(xiàn)在攻擊者眼前（如圖2）：

2.4 獲得系統(tǒng)管理員權(quán)限，完全掌控目標主機服務(wù)器

查看系統(tǒng)所支持的組件，獲取目標服務(wù)器系統(tǒng)關(guān)鍵信息?？梢钥吹絯s這個組件沒有被禁用，從而上傳cmd，以獲得終極權(quán)限系統(tǒng)管理員權(quán)限。首先想到的是利用webshell中的上傳進行，但是權(quán)限問題，webshell上傳均失敗，所以轉(zhuǎn)向ftp上傳（同樣存在弱口令），從而繞過了限制，上傳了cmd.exe。

實驗性的執(zhí)行命令Systeminfo查看系統(tǒng)信息命令，結(jié)果可以正常運行，終極權(quán)限獲得（如圖3）：

可以看出，學(xué)生攻擊學(xué)院內(nèi)網(wǎng)的手段并不高明，其用到的黑客攻擊工具，網(wǎng)絡(luò)上也都能隨意下載到，但其通過自己的仔細琢磨，充分利用了內(nèi)網(wǎng)管理的漏洞，獲得了關(guān)鍵信息。好在這是實驗性，未造成實質(zhì)性破壞。內(nèi)網(wǎng)管理員也及時發(fā)現(xiàn)了問題，并對目標服務(wù)器進行了安全加固工作。但我們不難發(fā)現(xiàn)，其實網(wǎng)絡(luò)安全的程度存在著“木桶原理”的問題，也就是網(wǎng)絡(luò)最薄弱的環(huán)節(jié)，決定著內(nèi)網(wǎng)的安全程度。在現(xiàn)實中往往由于管理者的疏忽或者使用者貪圖一時方便的原因，給網(wǎng)絡(luò)中潛在的攻擊者留下致命的后門。

3 建立信息防泄露的內(nèi)網(wǎng)訪問控制模型

針對上述服務(wù)器網(wǎng)絡(luò)攻擊，最有效的方法就是對用戶訪問進行準入控制，隔離潛在威脅用戶。例如，在內(nèi)網(wǎng)中對所有用戶進行身份認證，分配相應(yīng)的網(wǎng)絡(luò)訪問權(quán)限。在內(nèi)網(wǎng)安全架構(gòu)中，訪問控制是非常重要的一環(huán)，其承擔著與后臺策略決策系統(tǒng)交互，決定終端對網(wǎng)絡(luò)訪問權(quán)限發(fā)分配。目前主要使用的訪問控制技術(shù)主要有：

3.1 802.1X 訪問控制技術(shù)

802.1X 是一個二層協(xié)議，需要接入層交換機支持。在終端接入時，端口缺省只打開802.1X的認證通道，終端通過802.1X認證之后，交換機端口才打開網(wǎng)絡(luò)通信通道。其優(yōu)點是：在終端接入網(wǎng)絡(luò)時就進行準入控制，控制力度強，已經(jīng)定義善的協(xié)議標準。其缺點是：對以網(wǎng)交換機技術(shù)要求高，必須支持802.1X認證，配置過程比較復(fù)雜，需要考慮多個設(shè)備之間的兼容性，交換機下可能串接HUB，交換機可能對一個端口上的多臺PC 當成一個狀態(tài)處理，存在訪問控制漏洞。

3.2 ARP spoofing訪問控制技術(shù)

在每個局域網(wǎng)上安裝一個ARP spoofing代理，對終端發(fā)起ARP 請求代替路由網(wǎng)關(guān)回ARP spoofing，從而使其他終端的網(wǎng)絡(luò)流量必須經(jīng)過代理。在這個ARP spoofing代理上進行準入控制。其優(yōu)點是：ARP適用于任何IP 網(wǎng)絡(luò)，并且不需要改動網(wǎng)絡(luò)和主機配置，易于安裝和配置。其缺點是：類似DHCP控制，終端可以通過配置靜態(tài)ARP表，來繞過準入控制體系。此外，終端安全軟件和網(wǎng)絡(luò)設(shè)備可能會將ARP spoofing當成惡意軟件處理。

3.3 DNS重定向訪問控制技術(shù)

在DNS重定向機制中，將終端的所有DNS解析請求全部指定到一個固定的服務(wù)器IP地址。其優(yōu)點是：類似DHCP管理和ARP spoofing，適用于任何適用DNS協(xié)議的網(wǎng)絡(luò)，易于安裝和部署，支持WEB portal頁面，可以通過DNS 重定向，將終端的HTML 請求重定向到WEB認證和安全檢查頁面。其缺點是：類似DHCP控制和ARP spoofing，終端可以通過不使用DNS 協(xié)議來繞開準入控制限制（例如：使用靜態(tài)HOSTS文件）。

以上是內(nèi)網(wǎng)安全設(shè)備主流使用的準入控制方式，每種方式都具有其特定的優(yōu)缺點，一般來說每個設(shè)備都會支持兩種以上的準入控制方式。但是，網(wǎng)絡(luò)管控對于網(wǎng)絡(luò)使用的便捷性是一對矛盾體，如果既要使用的便捷性，又要對網(wǎng)絡(luò)進行有效管控，這對網(wǎng)絡(luò)安全設(shè)備的性能提出了相當高的要求。然而，高性能的安全設(shè)備價格非常昂貴，這也是很多企業(yè)寧可暴露威脅，也不防范的原因之一。

3.4 網(wǎng)關(guān)準入控制——UTM（統(tǒng)一威脅管理）

UTM產(chǎn)品的設(shè)計初衷是為了中小型企業(yè)提供網(wǎng)絡(luò)安全防護解決方案，其低廉的價格和強大的集成功能，在企業(yè)內(nèi)網(wǎng)中扮演著重要的角色。UTM將安全網(wǎng)關(guān)、終端代理軟件、終端策略服務(wù)器、認證控制點四位一體化部署，可以在內(nèi)網(wǎng)中進行多點部署，從而構(gòu)建出內(nèi)網(wǎng)用戶訪問控制模型，實現(xiàn)全面覆蓋用戶內(nèi)網(wǎng)每一個區(qū)域和角落。

（1）合理部署網(wǎng)關(guān)位置

UTM的位置本身即位于安全域邊界，由于UTM的設(shè)備性能參數(shù)，一般不建議部署在互聯(lián)網(wǎng)出口、服務(wù)器出口及辦公網(wǎng)出口等網(wǎng)絡(luò)核心節(jié)點，在內(nèi)網(wǎng)訪問控制模型中，可以部署在網(wǎng)絡(luò)拓撲中的匯聚節(jié)點。從安全理論的角度講，對某一區(qū)域網(wǎng)絡(luò)中的所有用戶進行控制（包括訪問控制、準入控制、業(yè)務(wù)控制等）；同時，UTM設(shè)備的入侵防御、防病毒、外連控制等模塊可以與準入控制功能相互配合，UTM一旦發(fā)現(xiàn)某用戶行為違規(guī)，就可以通過內(nèi)網(wǎng)管理系統(tǒng)直接斷開該用戶的所有連接。

（2）UTM優(yōu)勢分析

采用UTM網(wǎng)關(guān)配合內(nèi)網(wǎng)管理系統(tǒng)實現(xiàn)訪問控制，用戶只需要購買少量UTM設(shè)備，采用透明方式部署至網(wǎng)絡(luò)關(guān)鍵節(jié)點處，即可以實現(xiàn)全面的準入控制。與基于DHCP控制，ARP spoofing，DNS 劫持等準入控制相比，UTM 準入控制能力更強、更全面，終端用戶在任何情況下均無法突破或繞過準入控制。

除此以外，UTM設(shè)備還可根據(jù)終端的安全情況自動配置合適的安全策略，如在終端未滿足某些安全要求的情況下開放其訪問修復(fù)服務(wù)器的權(quán)限。

網(wǎng)絡(luò)安全，不應(yīng)只關(guān)注網(wǎng)絡(luò)出口安全，更應(yīng)關(guān)注內(nèi)網(wǎng)中的信息安全，信息的泄漏往往是從內(nèi)部開始，因此，構(gòu)建內(nèi)網(wǎng)訪問控制模型就非常重要，采取UTM幫助內(nèi)網(wǎng)進行安全管控是一個非常便捷、高效的手段。

[責任編輯：楊玉潔]