泄密?木马?如何保障政府网络安全
来源:比特网 更新时间:2009-12-31

  互联网的蓬勃发展,带动了政府电子政务建设,各部门、各系统都推进网上办公,以提高工作效率,更好地为公众提供服务;由于互联网存在诸多安全隐患,近期政府内部无意识泄密事件日渐增多,大多由于木马防控不严、外设U盘使用不当、非法外联造成的,内网的安全管理成了政府网络管理人员的难解之题;本文力图从办公电脑和网络出口两方面入手,给大家提供构建木马防控体系的思路,杜绝无意识泄密事件,建设安全的内网使用环境。

  安全事件现象

  以下两起案例,是近期发生的真实泄密事件,都属于典型的由木马病毒造成的无意识泄密事件。  

  小刘是某机关一名干部,平时好学上进,表现突出,被组织上定为政工干部培养苗子。2006年经组织推荐,小刘被送政工班培训。去学习前,小刘特意将自己平时在机关撰写的计划、总结等涉密资料存入U盘,准备在学习期间进行学术交流。学习期间,小刘多次上网查阅资料,并用该U盘下载参考资料。在此过程中,“轮渡”木马病毒自动驻存于U盘中,将小刘存储的涉密资料悉数“盗”入国际互联网。事后查明,小刘泄密的资料达32份,他因此受到降职、降衔的严肃处理。

  董教授,是某大学知名教授,平时工作兢兢业业,经常加班加点在家备课。由于需要查阅资料,他家中的电脑接入了国际互联网。董教授白天在办公室办公电脑上工作,晚上在家用个人电脑工作,经常用U盘将未完成的工作内容在两个电脑间相互拷贝。自2005年以来,董教授办公电脑内的二百多份文件资料竟鬼使神差般地“跑”进了互联网,造成重大泄密。经上级保密委员会审查鉴定,涉密文件资料达三十多份,董教授受到降职降衔、降职称的严肃处理。

  由于在日常工作中,部分公职人员想在因特网上进行数据查询,贪图方便,该职员使用U盘在两个不同的电脑间拷贝文件,或者就在涉密网终端上通过拨号、无线上网等的方式,访问了因特网。该职员在浏览网页时,访问了某个网站,而这个网站正好被黑客攻击了,网页被挂马。木马利用“自动下载技术”,让该职员在未察觉的情况下潜入了用户电脑、移动硬盘、U盘。

  引发的危害

  目前,随着新技术的发展,移动存储介质的种类日趋多样,软盘、U盘、移动硬盘、MP3、MP4、数码相机、记忆棒等在工作中的应用十分广泛,移动存储设备在为我们的工作带来便利的同时,也带来了不容忽视的信息安全保密隐患,大大增加了保密管理的难度。特别是U盘,越来越多地出现在我们的工作中。由于其便于携带、方便存取,不少人用它私自下载和保存涉密文件,非法拷贝现象难以控制;还有的人将工作U盘带回家中,甚至带着涉密的U盘逛街、访友,一旦丢失,损失巨大。除了这些泄密隐患外,U盘一旦被植入病毒,特别是木马病毒后,如果接入涉密计算机,我们的涉密文件就会在不知不觉中被别有用心者窃取。

  工作秘密的泄露会使政府机关工作遭受损失,带来不必要的被动;国家秘密的泄露会使国家的安全和利益遭到严重损害;而泄密者受到降职、降衔的严肃处理,上文中提到的小刘和董教授由于安全意识薄弱,或单位技术保障不到位,多年政绩毁于一旦,实在是可惜之至。亡羊补牢,新时代里是悔之晚矣!!!

  据CNCERT/CC监测报告: 2009年4月1日至30日,CNCERT/CC对当前流行的木马程序的活动状况进行了抽样监测,发现我国大陆地区18,855个IP地址对应的主机被其他国家或地区通过木马程序秘密控制,比上月的18,738个增长0.62%,其分布最多的地区分别为浙江省(9.40%)、北京市(9.05%)和广东省(8.71%)。境外控制者来自6,400个IP地址,主要来自美国和我国台湾,安全形势还是极为严峻的。

  产生的原理

  特洛伊木马,英文叫做“Trojan horse”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。古希腊传说,特洛伊王子帕里斯访问希腊,诱走了王后海伦,希腊人因此远征特洛伊。围攻9年后,到第10年,希腊将领奥德修斯献了一计,就是把一批勇士埋伏在一匹巨大的木马腹内,放在城外后,佯作退兵。特洛伊人以为敌兵已退,就把木马作为战利品搬入城中。到了夜间,埋伏在木马中的勇士跳出来,打开了城门,希腊将士一拥而入攻下了城池。后来,人们在写文章时就常用“特洛伊木马”这一典故,用来比喻在敌方营垒里埋下伏兵里应外合的活动。在Internet上,“木马”指一类小的应用软件,这个软件表面上是一个邮件的附件、一个游戏、一张图片,但其中包含了对使用者造成危害的功能,如:控制用户的计算机系统,泄密,窃取网银或游戏帐号,有可能造成用户的系统被破坏甚至瘫痪。

  一般的木马程序都包括客户端和服务端两个程序,其中客户端是用于攻击者远程控制植入木马的机器,服务器端程序即是木马程序;攻击者要做的第一步是要把木马的服务器端程序植入到你的电脑里面。  

  目前木马入侵的主要途径有邮件附件、下载软件、网页挂马、U盘自动执行、msn或QQ文件传送等,然后通过一定的提示故意误导用户打开执行文件,比如某天你在上网时,突然msn弹出个窗口,有个朋友给你发了条短消息“KAN WO DE ZHAOPIAN ”(看我的照片),并随后发送一个zip压缩文件包,如photo.rar请你接收;你以为是好友发过来的照片文件,一旦点击就会中招,木马已经悄悄在你的后台运行,之后向你的msn好友列表大肆滥发消息传播,中毒的机器还会在你的电脑上留有后门,可供黑客远程控制。一般的木马执行文件非常小,大部分都是几K到几十K,如果把木马捆绑到其他正常文件上,你很难发现,所以,有一些网站提供的软件下载往往是捆绑了木马文件的,你执行这些下载的文件,也同时运行了木马。国家计算机病毒应急处理中心近来通过对互联网监测发现,很多计算机用户受到一些恶意木马程序的威胁。目前,恶意木马程序有以下几个特点:(1)恶意木马会利用系统漏洞或第三方软件漏洞进行传播感染,(2)恶意木马传播途径大部分会采用网页挂马的形式,(3)恶意木马具有很强的隐蔽性和破坏力。

  木马具有多种特性,典型的有:隐蔽性、自动运行性、自动恢复功能、能自动打开特别的端口、包含具有未公开并且可能产生危险后果的功能的程序等。

  典型的“轮渡”木马,其程序的特征就是:在移动U盘内驻存隐藏文件AutoRun.Inf和sys.exe,当该移动U盘接入A电脑时,病毒程序自动运行,将A电脑内的涉密文档下载并打包保存在隐藏文件中,当该移动U盘插入B电脑时,就会将从A电脑中下载的文件传入到B电脑。这样,如果是移动U盘在内网中使用,就有可能造成加密文挡在内网不同电脑间的传播;如果将移动U盘插入外网电脑,加密文裆就可能通过互联网,被窃密者远程下载。

  构建木马控免体系

  绿盟科技根据用户的安全需求及当前的安全形势,建议在政府内部办公网构建木马控免体系,如下图所示,从办公电脑和网络出口两方面入手,在办公电脑上安装内网安全管理系统代理,在网络出口部署安全网关,在木马传播过程中可能的关键点上,进行有效防护和控制;

  (1) 首先确保办公电脑安全,对受控的内网办公电脑进行基线安全检查,对不满足基线安全要求的办公电脑通过内网安全管理系统和补丁系统、杀毒软件联动,主动进行补丁更新、病毒库升级,防止办公电脑自身存在安全漏洞被木马、病毒利用;利用内网安全管理系统的主机入侵保护、主机防火墙、防ARP木马欺骗等功能保护政府办公电脑,防止木马入侵及木马传播等;近来网页挂马愈演愈烈,内网安全管理系统的网页防挂马可以防止用户在用IE浏览网页时系统被悄无声息地注入木马。

  (2) 对办公电脑应用系统的防护也是很重要的,通过软件名称关键字监控指定软件的安装使用行为,对非法安装使用的软件实时监控并告警;一旦发现木马入侵运行即可及时通知管理员进行处理;利用内网安全管理系统中终端审计功能,包括文件、系统、日志三部分,系统一旦发现内部员工违规操作、越权访问等行为,能及时报警;

  (3) 控制U盘、移动硬盘、光驱等外设的使用,管理员可以对USB外设进行注册授权认证,注册认证过的USB外设才可以在内网使用,而加密的U盘则无法在别的电脑上打开,这样能有效地管理控制USB外设滥用行为;在安全控制方面,系统能够对存放于U盘或光盘上的Windows“自动播放”进行控制,防止autorun病毒木马传播与扩散。

  (4) 利用内网安全管理系统中的非法外联检测功能,管理内网办公电脑的modem、无线网卡使用,防止私自拨号上网,防止非法外联泄密。

  (5) 系统执行准入控制,设置准入的安全策略对接入设备进行验证,保证认证通过的机器才能接入网络,防止存在安全隐患或未经授权的机器接入内网,对第三方要求接入的设备都要进行木马、病毒查杀。

  (6) 网络出口安全是最后的防线,通过在政府网络出口及各委办局接入网的网络出口部署安全网关,能够很好地控制不同网段的访问,隔离互联网,防范黑客的攻击及木马、蠕虫等恶意软件入侵;作为绿盟自主研发的两个产品,内网安全管理系统和安全网关可以实现联动,可以实现在网关出口限制未安装代理软件终端对外网连接,从而禁止非法终端通过网关出口泄露内网信息。

  据绿盟科技客户服务中心对用户回访报告显示,安装了内网安全管理系统和安全网关的客户,内网安全得到大幅度的提升,可以有效应对目前常见的网页挂马、外设使用控制,杜绝了无意识泄密的情况;网络系统运行平稳,内部办公使用效率得以提高,用户满意度也有较大提升。

  综上所述,政府木马控免解决方案从主机安全防护、应用软件监控、外设访问控制、非法外联检测、安全准入控制、出口安全防护等多个角度构建一套完整的木马控免体系;通过技术手段保障内部网络系统不受木马侵扰,安全管理制度有效落实在行动上,可以有效斩断木马、病毒等恶意软件的传播,防止机密信息泄露。