木马是当前用户信息化所面临的头号杀手,根据CNCERT年度报道,木马引起的安全事件长期位居各类安全威胁之首,特别是一些安全性较高的内部网络(如政府部门、军事部门的网络),虽然采取物理隔离的措施来确保外部网络和内部网络之间不存在任何可能的物理链路。但是,假如这样的网络中有某个主机通过拨号或其他形式私自接入外部网络,这种物理隔离就会被破坏。木马极可能通过该主机进入内部网络,进而通过嗅探、破解密码等方式对内部的关键信息或敏感数据进行收集,或以该主机为“跳板”对内部网络的其他主机进行攻击。
本文从边界、主机、管理等几个层面,分别分析了针对木马防护常见的安全问题,并提出了具体的解决方案。
方案背景
当前,一些具有较高安全性的内部网络(如政府部门、军事部门的网络)常常采用和外部网络(如Internet)实施物理隔离的方法来确保其网络的安全性。物理隔离确保了外部网络和内部网络之间不存在任何可能的物理链路,切断了信息外泄的通道。但事实恰恰相反,由于管理制度的不健全或缺乏有效的终端监控技术,内部网络中个别用户利用电话拨号、即插即用的互联网接入设备,外连互联网进行私人操作,物理隔离环境被破坏。另外,终端内外网混用情况较为普遍,导致内部网络出现隐蔽通道,被黑客或病毒利用后,将导致泄密或影响信息系统性能。这些行为可定义为——“非法外联”。
安全需求
终端作为信息系统的基本组成部分,具备分布广,数量巨大等特性,信息系统设备中有85%以上由其组成,由于终端操作的随意性,难以利用技术措施实行管控,终端安全保护能力成为安全短板,因此终端成为恶意攻击的对象,病毒传播、信息失窃的源头之一。在内部网络(如政府部门、军事部门的网络),一旦物理隔离环境被打破,将导致安全事件的发生,后果不堪设想。
“非法外联”使原本封闭系统环境与外部网络出现隐蔽通道,内部网络将面临病毒、木马、非授权访问、数据窃听、暴力破解等多种安全威胁,导致网络结构、服务器部署、安全防护措施等信息被泄露,甚至进行跨安全域、跨网络破坏。
综上所述,降低“非法外联”风险需从多角度进行防护,形成层次化、有纵深的防御能力。首先应确保终端系统配置安全性,对木马与病毒抵御能力,提高终端安全强度;其次采取实时监控、智能阻断或隔离等措施,消除“非法外联”途径。
设计思路
“非法外联”主要表现为内网终端交叉使用内外网线;内网终端使用拨号、无线网卡、双网卡等方式接入外网;便携电脑内外网混用。这些人为有意或无意行为,将使外部黑客攻击、病毒与木马攻击绕过当前安全保护屏障,即使有部分安全措施发现“非法外联”网管员也无法及时阻断,无法挽回信息泄露、病毒入侵造成的损失。
控制“非法外联”必须从根源下手,对终端行为、访问信息特征进行监管,建立综合的网络和终端技术防护体系,采取“分层防护、纵深防御”的思路,基于多种设备建立自动可控的“监测、审计、预警、阻断”安全机制,阻断“非法外联”终端对内部网络对威胁。
方案设计
Ø 终端防护
“非法外联”使终端暴漏于不安全环境下,面对黑客入侵、病毒与木马等安全威胁。如果终端系统或应用存在软件漏洞、未安装或及时升级防病毒软件等安全弱点,将轻而易举的被攻击或控制。终端的防护必须全面、及时,否则将导致直接的安全事件。
