■ 山西 陳俊祺

編者按： 一般在小型單位中，其IT系統(tǒng)較為簡單，加之單位自身客觀條件限制，安全措施往往并不到位，因此，應(yīng)隨時(shí)加強(qiáng)自身網(wǎng)絡(luò)安全建設(shè)，以防范網(wǎng)絡(luò)威脅的發(fā)生。

網(wǎng)管值班人員在例行的機(jī)房常規(guī)檢查中，發(fā)現(xiàn)兩臺(tái)業(yè)務(wù)服務(wù)器的關(guān)鍵服務(wù)異常關(guān)閉，經(jīng)過仔細(xì)檢查確認(rèn)該服務(wù)器被非法用戶遠(yuǎn)程控制，不僅停了關(guān)鍵服務(wù)，破壞中間件，還從數(shù)據(jù)庫中刪除了部分關(guān)鍵數(shù)據(jù)。針對(duì)這一情況，網(wǎng)管部門立即召開緊急會(huì)議明確應(yīng)急措施，經(jīng)過一上午努力，系統(tǒng)恢復(fù)正常訪問，但丟失的數(shù)據(jù)直到一周后才恢復(fù)正常。綜合此次故障中的種種現(xiàn)象（數(shù)據(jù)庫數(shù)據(jù)被非法刪除、關(guān)鍵服務(wù)被中止和中間件部分文件丟失），大家一致認(rèn)為：被黑客攻擊的可能性極大，但是由于技術(shù)設(shè)備的限制，未能有效地阻止黑客的攻擊，且缺乏事后相關(guān)日志的數(shù)據(jù)分析，難以拿出科學(xué)的證據(jù)。

事后，網(wǎng)管部門對(duì)這次事件進(jìn)行了反思，發(fā)現(xiàn)這次事故的出現(xiàn)并不是偶然的，是因?yàn)槲覀兿惹皩?duì)網(wǎng)絡(luò)安全重視不到位，網(wǎng)絡(luò)安全措施存在一定的缺陷。

之后，針對(duì)這些不足和缺陷，我們及時(shí)采取了多方面的安全措施，來保障業(yè)務(wù)應(yīng)用系統(tǒng)的安全穩(wěn)定運(yùn)行。

加強(qiáng)入侵防御檢測(cè)措施

這是網(wǎng)絡(luò)安全防護(hù)的常規(guī)措施，強(qiáng)化配置入侵防御系統(tǒng)(IPS)，加強(qiáng)網(wǎng)絡(luò)邊界的安全防護(hù)，對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)異常行為進(jìn)行預(yù)先判斷并主動(dòng)攔截，避免其造成損失。

加強(qiáng)防火墻的配置與應(yīng)用

在這次事件中，我們發(fā)現(xiàn)現(xiàn)有的硬件防火墻并沒有發(fā)揮到很好的防御效果，沒有將威脅防御在防火墻外。

經(jīng)過與防火墻廠商的溝通，對(duì)防火墻做了以下兩點(diǎn)措施：將現(xiàn)有的防火墻系統(tǒng)版本升級(jí)，以便抵御最新的攻擊和入侵。對(duì)防火墻制定了更嚴(yán)格的策略和設(shè)置，將原來忽略的一些安全問題都進(jìn)行了嚴(yán)格控制。

加強(qiáng)木馬檢測(cè)，嚴(yán)格控制移動(dòng)存儲(chǔ)設(shè)備的使用

這次事件中，服務(wù)器被入侵，防火墻沒有起到很好的防御效果，很可能是在內(nèi)部局域網(wǎng)中植入了木馬，而黑客也很可能通過木馬進(jìn)入了服務(wù)器，對(duì)服務(wù)器進(jìn)行了破壞活動(dòng)。

經(jīng)過認(rèn)真分析，服務(wù)器通過網(wǎng)絡(luò)中木馬的可能性不大，因?yàn)榉?wù)器只是作為提供應(yīng)用服務(wù)的設(shè)備，并不主動(dòng)去連接網(wǎng)絡(luò)。那么另外一種可能就是通過移動(dòng)存儲(chǔ)人為地感染了木馬。

為了避免再次出現(xiàn)類似的情況，我們制定了相關(guān)安全制度：要求單位內(nèi)部所有電腦、服務(wù)器都安裝相關(guān)的“機(jī)關(guān)網(wǎng)絡(luò)終端安全管理系統(tǒng)”，可以查殺病毒木馬。嚴(yán)格控制個(gè)人移動(dòng)存儲(chǔ)設(shè)備直接與服務(wù)器相連來傳輸數(shù)據(jù)，如果服務(wù)器確實(shí)有數(shù)據(jù)需要更新，相關(guān)的移動(dòng)設(shè)備也必須進(jìn)過掃描并確認(rèn)沒有感染病毒和木馬后，才可以與服務(wù)器相連。

構(gòu)筑安全的服務(wù)器環(huán)境

在構(gòu)建安全網(wǎng)絡(luò)環(huán)境的同時(shí)，還必須構(gòu)筑安全的服務(wù)器環(huán)境，這是服務(wù)器安全的最后一道屏障。

針對(duì)服務(wù)器采取了以下幾個(gè)措施：制定操作系統(tǒng)升級(jí)策略，確保操作系統(tǒng)及時(shí)打上最新補(bǔ)丁，不留任何系統(tǒng)漏洞；給系統(tǒng)裝了防病毒、防木馬安全軟件，確保出現(xiàn)問題及時(shí)查殺，關(guān)閉系統(tǒng)所有無關(guān)的服務(wù)和端口，避免黑客利用這類服務(wù)和端口對(duì)服務(wù)器進(jìn)行攻擊；對(duì)部署在服務(wù)器上的中間件和其他應(yīng)用程序也定期升級(jí)，修復(fù)系統(tǒng)漏洞，排除各種隱患。

加強(qiáng)準(zhǔn)入措施

加強(qiáng)單位使用計(jì)算機(jī)的控制，嚴(yán)格控制外來計(jì)算機(jī)接入內(nèi)網(wǎng)。本單位的計(jì)算機(jī)強(qiáng)制安裝了“機(jī)關(guān)網(wǎng)絡(luò)終端安全管理系統(tǒng)客戶端”強(qiáng)制性身份認(rèn)證系統(tǒng)，否則內(nèi)網(wǎng)不能訪問。

這樣就解決了非法用戶入網(wǎng)的問題。輔之以入網(wǎng)計(jì)算機(jī)與樓層交換機(jī)端口固定、VLAN固定、IP固定等手段，確認(rèn)核實(shí)用戶身份。新入網(wǎng)計(jì)算機(jī)必須到網(wǎng)管部門辦理相關(guān)手續(xù)，在計(jì)算機(jī)上安裝“機(jī)關(guān)網(wǎng)絡(luò)終端安全管理客戶端”，在網(wǎng)管人員確認(rèn)后，在“機(jī)關(guān)網(wǎng)絡(luò)終端安全管理系統(tǒng)”服務(wù)器端啟用該設(shè)備，方能激活入網(wǎng)。這樣不僅方便管理及溯源，而且解決了長期以來入網(wǎng)資產(chǎn)不清的問題，強(qiáng)化了網(wǎng)管部門“管”的力度。

通過以上措施，有效加強(qiáng)了單位的網(wǎng)絡(luò)安全，保障了服務(wù)器的穩(wěn)定運(yùn)行。在部署完以上所有措施后的一段時(shí)間內(nèi)，服務(wù)器運(yùn)行正常，并沒有再遭到攻擊，達(dá)到了預(yù)期效果。