中国IDC产业联盟讯 木马是当前用户信息化所面临的头号杀手，根据CNCERT年度报道，木马引起的安全事件长期位居各类安全威胁之首，特别是一些安全性较高的内部网络（如政府部门、军事部门的网络），虽然采取物理隔离的措施来确保外部网络和内部网络之间不存在任何可能的物理链路。但是，假如这样的网络中有某个主机通过拨号或其他形式私自接入外部网络，这种物理隔离就会被破坏。木马极可能通过该主机进入内部网络，进而通过嗅探、破解密码等方式对内部的关键信息或敏感数据进行收集，或以该主机为“跳板”对内部网络的其他主机进行攻击。

　　本文从边界、主机、管理等几个层面，分别分析了针对木马防护常见的安全问题，并提出了具体的解决方案。

　　方案背景

　　当前，一些具有较高安全性的内部网络（如政府部门、军事部门的网络）常常采用和外部网络（如Internet）实施物理隔离的方法来确保其网络的安全性。物理隔离确保了外部网络和内部网络之间不存在任何可能的物理链路，切断了信息外泄的通道。但事实恰恰相反，由于管理制度的不健全或缺乏有效的终端监控技术，内部网络中个别用户利用电话拨号、即插即用的互联网接入设备，外连互联网进行私人操作，物理隔离环境被破坏。另外，终端内外网混用情况较为普遍，导致内部网络出现隐蔽通道，被黑客或病毒利用后，将导致泄密或影响信息系统性能。这些行为可定义为——“非法外联”。

　　安全需求

　　终端作为信息系统的基本组成部分，具备分布广，数量巨大等特性，信息系统设备中有85%以上由其组成，由于终端操作的随意性，难以利用技术措施实行管控，终端安全保护能力成为安全短板，因此终端成为恶意攻击的对象，病毒传播、信息失窃的源头之一。在内部网络（如政府部门、军事部门的网络），一旦物理隔离环境被打破，将导致安全事件的发生，后果不堪设想。

　　“非法外联”使原本封闭系统环境与外部网络出现隐蔽通道，内部网络将面临病毒、木马、非授权访问、数据窃听、暴力破解等多种安全威胁，导致网络结构、服务器部署、安全防护措施等信息被泄露，甚至进行跨安全域、跨网络破坏。

　　综上所述，降低“非法外联”风险需从多角度进行防护，形成层次化、有纵深的防御能力。首先应确保终端系统配置安全性，对木马与病毒抵御能力，提高终端安全强度；其次采取实时监控、智能阻断或隔离等措施，消除“非法外联”途径。

　　设计思路

　　“非法外联”主要表现为内网终端交叉使用内外网线；内网终端使用拨号、无线网卡、双网卡等方式接入外网；便携电脑内外网混用。这些人为有意或无意行为，将使外部黑客攻击、病毒与木马攻击绕过当前安全保护屏障，即使有部分安全措施发现“非法外联”网管员也无法及时阻断，无法挽回信息泄露、病毒入侵造成的损失。

　　控制“非法外联”必须从根源下手，对终端行为、访问信息特征进行监管，建立综合的网络和终端技术防护体系，采取“分层防护、纵深防御”的思路，基于多种设备建立自动可控的“监测、审计、预警、阻断”安全机制，阻断“非法外联”终端对内部网络对威胁。

　　方案设计

　　终端防护

　　“非法外联”使终端暴漏于不安全环境下，面对黑客入侵、病毒与木马等安全威胁。如果终端系统或应用存在软件漏洞、未安装或及时升级防病毒软件等安全弱点，将轻而易举的被攻击或控制。终端的防护必须全面、及时，否则将导致直接的安全事件。

　　系统与应用软件补丁管理；

　　终端物理资源控制；

　　病毒与木马的检测和查杀能力保障；

　　移动存储介质控制；

　　终端安全状态审查；

　　行为审计。

　　网络安全防护

　　在封闭环境下的内部网络（如政府部门、军事部门的网络）常常由多个具有不同安全保护需求的系统、设备或信息资源组成的安全域构成，在安全域内和边界采取了相应的安全保护。事实证明，多数的安全入侵或攻击事件，往往具有显著的商业或政治目的，或窃取其它组织机构的重要信息或破坏其系统影响其业务活动，仅有少数事件为恶作剧性质。在内部网络环境下，“非法外联”终端在外联过程中极易被黑客控制、种植木马或病毒，此类用户绝非仅仅一次“非法外联”，事后连入内部网络。这种情况导致了终端成为内部网络信息收集、破坏行为的风险点，甚至跨网段、跨安全域非法收集重要信息。必须在网络内建立监控预警与访问控制机制。

　　入侵行为检测预警；

　　病毒过滤；

　　终端对重要区域的访问控制，如服务器区域；

　　安全域边界防护；

　　网络可信接入；

　　系统安全管理设计

　　为防止泄密事件的发生，除了加强安全技术的管控外，也要加强安全管理。首先要引入第三方安全服务，定期查看关键计算机设备的状态，发现与定位计算机中已经感染的木马，防止木马的泄密等破坏行为发生；其次要建立应急响应机制，在泄密事件发生后定位与隔离涉及的主机，使安全事件能够追查到责任人。

　　安全审计系统（TA-L）

　　安全管理平台系统（TA）

　　部署措施

　　终端系统防护

　　统一部署终端防火墙和终端IDS，通过集中管理与日志收集系统，掌握网络中威胁源，同时加强终端对入侵和攻击行为的抵抗能力。

　　统一部署TopDesk，根据内网管理制度统一制定下发终端管理策略，如终端系统补丁检查与安装、移动存储介质控制、物理接口封闭或监测、系统安全性评估、基线防护措施检查等，提高系统安全强度，减少终端远程拨号、无线上网途径，对违规上网行为进行审计和预警。

　　统一部署终端病毒防护软件，采取集中软件更新、病毒库更新、远程查杀和远程病毒诊断协助能力，汇总并分析终端病毒查杀日志，形成全网终端病毒防护系统，降低大规模病毒爆发事件的发生。

　　网络安全防护

　　TopDesk与交换机的互联互通技术，实现纵向防御机制，借助对接入者身份验证、终端病毒防护软件及病毒库、系统及应用补丁安装情况进行核查能力，实现网络可信接入。在网络运行过程中，实时监控终端安全状态，随时切断不符合或违反TopDesk策略的终端与网络的链接，实现状态监控、行为管控等能力，降低安全事件对网络的影响。

　　存有上网记录并连入内网进行操作的终端，采用TopDesk与802.1x或opt联动机制，通过防火墙或交换机限制终端网络连接或访问能力，阻断对重要区域的访问能力，如：杜绝访问服务器区域破坏业务系统。避免由于该设备而导致内网遭到更大的破坏。

　　在不同安全域间部署防火墙，实现不同安全域间的逻辑隔离和双向访问控制策略，根据策略明示允许通过、拒绝通过的细粒度可降低反向链接等攻击行为；通过与入侵检测、TopDesk等安全措施联动，提高防火墙对流量管理和隐式攻击阻断能力。

　　入侵检测/入侵防御系统主要从网络连接状态、数据包协议、数据包有效负载内容特征对网络中传输的数据包进行深入分析，通过对已知威胁过程或状态的定义或对合法数据包状态的定义，实时监测数据流中潜在的威胁并进行处置与预警。在当前的安全技术背景下，可作为防火墙安全功能的合理补充，完善网络边界防护措施的基础；另外，通过人工对事件记录进行分析可及时掌握受保护网络潜在漏洞信息的，进而扩展了安全管理员/网络管理员的风险的管控能力。

　　在终端较为集中的安全域边界部署，实时对数据流量进行监控，并杀灭安全域间传播的病毒与木马，有效遏制病毒的跨地域、跨网段的扩散。

　　安全管理设计

　　安全审计是既是发现安全问题的重要手段，也是对内部人员行为管理的威慑手段。对没计划部署安全管理平台的用户一定要安装安全审计系统，通过引入集中日志审计的技术手段，对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计，及时自动分析系统安全事件，实现系统安全运行管理。

　　安全管理平台将管理多种异构的网络、安全软硬件，整合多种事件日志与安全日志，通过智能关联分析，集中、可视化展现网络当前的运行状况，便于管理者掌控信息安全方向，使安全管理员、安全操作员以及安全专家根据经验进一步分析发现潜在的网络威胁。完全体现了信息安全“三分技术、七分管理”的指导思想，是单位安全管理团队非常必要的技术支撑系统。

　　方案效果

　　针对一些安全性较高的内部网络（如政府部门、军事部门的网络），根据其管理特性与系统安全需求，本方案设计时融入全面的防护理念，突出安全防护重点，为目前出现或存有潜在非法外联行为的用户，解决如下问题：

　　解决安全终端的可信接入，杜绝非法接入网络。

　　解决终端系统漏洞引发的安全风险。

　　解决终端病毒、木马程序滋生。

　　解决终端分布广、难以集中监控与策略执行等管理问题．

　　屏蔽终端物理接口，减少“非法外联”途径。

　　解决终端“非法外联”后，重新接入内部网络，攻击或窃取内部重要信息。

　　解决在处理安全为时，人员与信息资源的浪费。

　　解决异构安全软硬件产品间技术互联互通问题，通过联动强化了网络间的访问控制。

　　避免网络发生大规模病毒爆发。

　　解决安全域或网络间合法用户在内部发起的攻击。