[摘要]计算机局域网已越来越融入人们的工作生活,局域网的安全情况也越发受到人们的重视。本文介绍了目前计算机局域网所面临的种种安全挑战,并根据笔者在实际工作中的经验提出了一些对策。
[关键词]计算机 局域网 安全
[中图分类号]TP393.1[文献标识码]A[文章编号]1009-5349(2011)02-0034-04
进入21世纪以来,计算机网络技术与应用不断发展,计算机网络的覆盖范围和传输速度亦在不断扩大和提升,特别是随着个人计算机在价格上放下身段,在操作上更加简单,越来越多的企业、单位乃至家庭都开始使用计算机组成局域网来提高工作效率、生产效益和生活质量。从百余台规模的相当数量到几台计算机的小打小闹,局域网与我们的工作和生活变得越来越密不可分。与此同时,各种各样的网络安全威胁也在以迅猛的速度不断地发展与更新,病毒、木马和恶意软件的入侵;网络黑客的攻击;重要文件或邮件的非法窃取、访问与操作;关键部门的非法访问和敏感信息外泄;外网的非法入侵;备份数据和存储媒体的损坏、丢失,等等,以上都是局域网络安全威胁的主要来源。笔者从事局域网络安全工作虽然还不到十年时间,但是,愿以在工作中收获的心得与广大读者共同分享。
一、局域网络的安全威胁
(一)病毒、木马和恶意软件的入侵
1.从1946年第一台计算机ENIAC在世界诞生算起,计算机病毒用了40年才在1986年对MS-DOS个人计算机发起了第一次攻击。在之后的二十多年里,计算机病毒已从早期的炫耀技术、恶作剧进化到危害巨大,让人谈毒色变。据《2008年上半年中国电脑病毒疫情及互联网安全报告》称,2008年上半年,计算机病毒、木马的数量呈爆炸式增长,其总数量已经超过了近五年的病毒数量的总和。随着越来越多的人开始研究病毒技术,病毒的数量、被攻击的平台数以及病毒的复杂性和多样性都开始显著提高。计算机病毒也更多地呈现以下几个特性:
第一,计算机病毒的传播渠道更加多样。计算机病毒传播手段的不断进化,似乎与计算机存储介质的不断进步分不开。软盘、硬盘、光盘、U盘、计算机网络以及其他媒介都未曾逃脱过计算机病毒的“魔爪”,可以说计算机病毒程序就是将自身的代码强行传染到一切符合其传染条件的且未受传染的存储介质上。
第二,计算机病毒具有更强的隐蔽性。早期的计算机病毒传播主要通过软盘,由于本身的存储空间有限,计算机病毒代码往往只有几KB或者几十KB。在此之后的二十多年里,计算机病毒的体积开始朝两极化发展,一方面保留了“短小精悍”的特点,运行起来既不占用较多资源又不需要多少时间,甚至在感染病毒后,计算机系统仍能够正常运行,可以说极难被人察觉;另一方面越来越多的病毒为了对抗越发流行的“云查杀”开始兴起“增肥”风,体积扩大成百上千倍,达到数十或上百兆,企图通过填充一些无用的指令来让“云查杀”自动略过这些病毒文件。此外包括加壳、加花指令、修改特征码、变换入口点以及入口点加密等一系列免杀技术在计算机病毒中逐渐流行开来,计算机病毒在隐蔽性方面又有了较大的发展。而且为了达到最好的效果,往往这些免杀技术会在一个病毒中集体出现,这样使得杀毒软件变成了“睁眼瞎”。“自杀式攻击”也成为计算机病毒躲避杀毒软件的方法之一。以“证券大盗”病毒为例,该病毒在完成运行之后会清除所有自身留在电脑里的蛛丝马迹,对杀毒软件进行采样和查杀工作带来困难。
第三,计算机病毒具有更强的破坏性和对抗性。破坏性是计算机病毒开发的根本目的,随着计算机技术的不断进步,病毒的危害也从占用系统资源发展到破坏数据、删除文件、格式化磁盘,对用户的数据造成不可挽回的影响。如CIH病毒,它可以破坏用户硬盘以及用户主机BIOS程序的代码,直接威胁到用户的硬件设备。除此以外,新型的蠕虫病毒和ARP病毒则对网络构成了巨大威胁。其中,蠕虫病毒主要利用搜索网络中计算机系统存在的漏洞进行传播,一方面蠕虫病毒通过产生自己的多个副本来寻找新的攻击目标,进而导致系统性能下降。另一方面亦会产生大量的网络数据流量,导致整个网络瘫痪,造成巨大的经济损失。
如2001年7月19日,CodeRed蠕虫爆发,9小时内攻击25万台计算机,估计造成了超过20亿美元的损失,之后的几个月中,单CodeRedⅡ这一个变种造成的损失估计超过12亿美元。ARP病毒是从2006年开始逐步进入人们视野的,它通过伪造IP地址和MAC地址对路由器ARP表或者内网PC的网关进行欺骗,导致局域网通信阻塞,网络中的用户无法正常上网,对于各类机关、事业、企业单位的局域网形成较大威胁。
此外,由于近些年大部分杀毒软件加大了查杀病毒的力度,使得病毒对杀毒软件的对抗性大大增加。诸如机器狗、磁碟机、AV终结者以及超级AV终结者等最近流行的一些病毒,无一例外均为对抗型病毒。而且此类病毒更新频率相当快,一两天甚至几个小时更新一次来对抗杀毒软件。以超级AV终结者为例,该病毒综合了AV终结者、机器狗、扫荡波、autorun病毒的特点,运行后会绕过系统还原软件将病毒写入系统,同时它按照自带的一份数量庞大的“黑名单”搜索安全软件,只要发现用户安装有安全软件就会强制将其关闭。
2.木马也是当前最主要的网络安全威胁之一,其危害性绝不比计算机病毒低。它主要用于窃取用户信息或者机密文件,而且由于它的出现和发展是近几年的事,许多杀毒软件对木马的查杀能力比较有限,清除木马软件的难度较大。木马是一种基于客户/服务器(C/S)模式的远程控制程序。控制端通过木马程序窃取服务器端的大部分操作权限,但木马又不是计算机病毒,因为它不具有感染性。木马程序通常通过修改文件的图标类型、与其他程序或者文件捆绑、在网页中植入木马等方式来对计算机进行攻击。它能带来的危害主要有:盗号(包括虚拟财产账号和实物财产账号)、敲诈、制造“肉鸡”、进行骚扰和破坏。感染木马后,远程攻击者可以任意玩弄被感染用户的电脑,如重启计算机、修改注册表、删除重要文件、下载病毒等等。通过观察以上危害不难发现,多数木马都是以获取金钱为最终目的。目前《计算机信息网络国际联网安全保护管理办法》规定,制造和传播病毒是违法的,但对木马和黑客程序并没有清晰的界定。因此,在巨大经济利益和含混不清的法律界定面前,木马已经完成了两次“产业”大分工,形成了一个包括制造、销售、推广、分销、售后、洗钱的黑色产业链,分工明晰的趋势使得人们更容易获得木马制作工具,降低了技术门槛,一个只会打字的初级电脑使用者也能在一天之内变身成为黑客,“全民黑客”将成为WEB2.0时代的印记之一。金山网络发布的《2010~2011中国互联网安全研究报告》显示,目前有80%病毒的传播渠道被国内数十家病毒集团所控制,这些病毒集团借此获得巨额非法收益,有病毒集团每年收益高达数亿。
3.恶意软件与病毒、木马相比是最年轻的一个,它是在2006年11月由中国互联网协会进行正式定义,但是它的危害日趋明显。恶意软件的前称是“流氓软件”,是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵害用户合法权益的软件,但不包含我国法律法规规定的计算机病毒。它主要有强制安装、难以卸载、浏览器劫持、广告弹出、恶意收集用户信息、恶意卸载、恶意捆绑等危害用户软件的特征。
目前,恶意软件林林总总,但归纳起来其类型主要有:第一,广告软件,主要通过未经用户允许下载并安装到用户计算机上,通过弹出广告等形式获得商业利益的程序。第二,浏览器劫持,主要指通过对用户的浏览器进行篡改,使用户被强行引导到特定网站。第三,行为记录软件,主要指未经用户许可,窃取并分析用户隐私数据,记录用户使用计算机或者网络习惯的软件。第四,自动拨号程序,主要指自动下载并安装在用户计算机上,自动拨打长途或者收费电话,以赚取用户高额话费的软件。
由于多数恶意软件并不像传统病毒一般对计算机系统有很强的破坏性,加上恶意软件较强的隐蔽性,许多杀毒软件对恶意软件的查杀能力也有待提高,使得它如同计算机的“牛皮癣”一般,在用户的系统中如影随形。近日,根据经济合作与发展组织对网上犯罪的一项研究显示,25%的美国计算机被恶意软件感染。恶意软件已经成为一种对发展互联网经济的潜在严重威胁,而且随着恶意软件制作者获得更多财富之后,更大规模的散布活动将成为可能。
(二)网络黑客的威胁与攻击
黑客攻击自1995年首次出现来,其方式和技术已经发生巨大变化,手段越发高明,破坏性也越来越大。黑客攻击就其本质来说是利用攻击方信息系统自身存在的安全漏洞,通过使用网络命令和专用软件进入对方网络系统的攻击,其主要方式包括有网络监听、拒绝服务攻击、源IP地址欺骗、源路由器欺骗攻击、缓冲区溢出、密码攻击及应用层攻击等等。面对如此“丰富”的攻击手段,互联网的诸多用户损失惨重。一名俄罗斯黑客通过向美国用户发假软件木马的方式,每周可骗取15.8万美元。两名19岁的河南少年通过盗用北京网通ADSL账号购买网络产品,使得网通公司损失40万元。面对如此巨大的损失,打击网络犯罪的行为却不能尽如人意。有国外媒体对英国3500名大企业技术经理进行调查,57%的被调查者表示,警方未能妥善地解决黑客入侵等高技术犯罪,攻击工具的自动化、智能化、模块化,降低了黑客的进入门槛,增强了黑客入侵网络的能力,虽然近几年政府成立了新的网络警察部门,但要真正解决网络黑客的威胁还有相当长的路要走。
(三)各种软件漏洞层出不穷
软件漏洞在各种网络威胁面前无疑是最好的入口,以windows视窗操作系统系列为例,被人戏称为“纱窗”操作软件,几乎每个月都会发布一些安全漏洞补丁,而且随着时间推移一些漏洞的危害性也越来越大。据统计,2010年微软发布的安全补丁已超过100个,远远高于2009年的74个和2008年的78个。除了系统漏洞之外,各种应用软件亦存在各种漏洞。这些软件包括搜索引擎、媒体播放软件、网络游戏、网络下载工具、网络浏览器、阅读工具等等。由于这些软件使用者众多,且相关厂商更新速度不够快,用户对应用软件的安全更新意识较低,造成大量用户成为黑客的攻击目标。PDF文件阅读器Adobe Acrobat爆出重大安全漏洞,用户点击浏览的同时,会导致后台可能下载运行恶意程序。而谷歌Chrome浏览器正式发布前一天就被爆出存在两个安全漏洞,攻击者可以利用其中的Java错误执行恶意Java可执行文件。2009年5月22日,发生了一起六省市网络故障,主要原因是因为一家DNS解析网站被黑客攻击,加上暴风影音这个多媒体播放软件存在数量巨大的广告弹窗、升级请求,引发安装暴风影音的用户频繁发出巨量解析请求,导致超出DNS网站的承受能力,同时导致30万个网站无法正常访问。除了这些常用的应用软件之外,杀毒软件也存在漏洞。德国IT咨询机构N.runs安全专家称,他们在各种防病毒产品中发现近800处漏洞。他指出,市场上每一款病毒扫描引擎都存在高危漏洞,允许黑客发动拒绝服务攻击,在企业网络上执行恶意代码。面对如此之多的各类安全漏洞,计算机网络安全难以让人放心。
(四)电子垃圾邮件泛滥
电子邮件已经成为网民使用率最高的互联网业务之一,但是在平常所收到的邮件中至少有一半以上都是一些不速之客——垃圾邮件。垃圾邮件通常包括商业广告、虚假信息、病毒文件,它被定义为收件人虽然没有提出接收邮件的要求,但也无法拒收的电子邮件。与垃圾邮件刚诞生时仅使用毫无目的的“人海战术”相比,如今的垃圾邮件更有针对性,特定的人群将会接收到特定的垃圾邮件,并且会利用社会工程学等手段发送垃圾邮件,比如2008年借助北京奥运会、美国大选选举、艳照门事件、藏独台独问题等热点话题为主题的垃圾邮件有了较大幅度的增长,发件人往往利用人们猎奇或者关心时事的心理挑起接收人的兴趣,只要用户点击查看邮件就有可能被虚假信息欺骗,或者被所带病毒附件感染,或者通过点击附带链接而遭遇木马威胁。其后而来的就有可能是个人隐私、个人信息、个人财富、工作文件被他人获得,并通过转手卖掉此类信息,从中牟利。
(五)几大网络安全认识的误区
如果把以上几种计算机网络所要面对的威胁视作“硬伤”,让人无可奈何,那么由于计算机网络用户对于计算机网络安全认识的几个误区,更让网络管理人员在平时工作中感到有些力不从心了。下面就介绍几个本人在工作中经常遇到用户对于计算机网络安全认识的误区:
第一,过于信赖搜索引擎。网络搜索引擎是诸多互联网应用中使用率最高的,无论是网络新手,还是资深网虫都离不开搜索引擎的帮忙。在搜索引擎提供的海量信息面前不少用户对搜索引擎产生了信赖感,这也使得搜索引擎提供的链接亦获得了用户极大的信任。殊不知由于大多搜索引擎奉行竞价排名策略,或者部分网站进行了搜索引擎优化(SEO),因此并不是所有结果都是用户想要的结果,甚至有些挂有木马的网页链接也混杂其中。而用户在出现计算机或者网络访问异常时,常常对网络管理员抱怨说,自己仅仅是访问了诸如百度、谷歌之类的搜索网站而已,明显没有区隔搜索引擎网站与搜索结果链接之间的区别。
第二,过于依赖杀毒软件。随着近几年不断有病毒爆发事件见诸于报端,或者自身遭到病毒攻击,不少用户逐渐重视杀毒软件的安装。这当然是非常好的一个网络安全意识,但是这样让部分人员对于杀毒软件有了一种过分的依赖,认为安装了最新的杀毒软件就万事大吉了,于是经常可以听到“为何安装了最新的杀毒软件还是会中毒”这样的抱怨。其实市面上所有的杀毒软件都是针对已经发现的病毒、木马、恶意软件进行开发的,他们在面对未知或者新型变种病毒前仍然作用有限。另外,病毒、木马、恶意软件的开发者完全可以通过市面购买已知的杀毒软件对他们开发的病毒、木马、恶意软件进行测试,找出杀毒软件的弱点,从而入侵系统。除去杀毒软件本身,若没有做好系统的其他安全防护工作,如及时升级安装安全漏洞补丁,那么篱笆扎得再紧,“后门”却洞开,杀毒软件再高明也是无可奈何的。
第三,误认为只要远离网页即可远离病毒。有些用户在遭遇网络安全事件时常会向网络管理人员提及,自己平时并没有访问网页,只是用来收收电子邮件或者使用IM软件,甚至有些系统本身是不联网的,但是为什么他们都没有逃过病毒的“魔掌”呢?其实,虽然不少病毒是通过网页传播的,但是还是有些病毒不等用户打开网页就已经进入系统了,比如冲击波和蠕虫病毒。另外IM聊天软件也是病毒传播的渠道之一,一旦染毒MSN、QQ等聊天软件就会在用户毫不知情的情况下,自动向名单中的好友发送病毒信息,并让接收方误以为是好友所发,上文提及的电子邮件亦是极易感染病毒的一个途径。
此外,光盘、U盘这些数据存储介质也可能成为病毒的载体,特别是这几年来Autorun类型的病毒发作率居高不下。此类病毒利用Windows系统的自动播发功能,使得一旦双击光盘或者U盘盘符即等于运行病毒,即使格式化系统盘后,也有可能因其他盘感染此类病毒而再次发作。Autorun这一特性已经成为多数新病毒木马具有的特征,这导致这类移动存储介质的安全令人担心。
二、局域网络的安全对策
(一)做好各种软件的补丁安装工作
虽然我们的网络将面对各种未知的安全威胁,但是安装好已知软件的安全漏洞补丁既是一项基础工作,又是一项必须的工作,特别是在ODay对网络安全产生越来越严重威胁的今天。0Day的概念最早用于软件和游戏破解,属于非盈利性和非商业化的组织行为,其基本内涵是“即时性”,信息安全意义上的0Day是指在安全补丁发布前而被了解和掌握的漏洞信息,几乎每一个稍具规模的应用软件都可能存在0Day。从理论上讲,漏洞必定存在,只是尚未发现,而弥补措施永远滞后而已。2005年,几乎影响Windows所有操作系统的WMF漏洞在网上公开,虽然微软在8天后提前发布了安全补丁,但就在这8天内出现了二百0多个利用此漏洞的攻击脚本。虽然安装漏洞补丁看似一项亡羊补牢的行动,但是只要能够及时安装那么就“未为晚也”。由于传统Windows Update通过IE浏览器下载安装补丁的方式效率较低,一般推荐安装辅助安全软件如:360安全卫士、魔法兔子、卡卡安全助手等来对系统软件漏洞进行扫描并快速安装。
(二)安装部署安全软件
为系统安装杀毒软件早已是大多数用户的共识,但是在这里笔者所指的杀毒软件是网络版杀毒软件。由于网络版杀毒软件价格远超单机版同类软件,所以不少人偏向于购买单机产品,并认为两类产品的效果相等。其实,安装网络版杀毒软件系统并不等于在每台计算机上安装杀毒软件,它的核心就是集中的网络防毒系统管理。网络版杀毒软件可以在一台服务器上通过安全中心控制整个网络的客户端进行同步病毒查杀或者软件升级,同时监控这个局域网内的病毒,而这些方面单机版杀毒软件就只能孤军作战,难以达到保证整个网络安全的目的。这一点笔者在实际工作中也颇有感触,2008年上半年前,局域网内使用的是单机版,每个月百台计算机中总有四五台会遭遇病毒木马的袭击。但是在6月完成新的网络版杀毒软件的部署工作后,整个下半年,局域网中计算件感染病毒木马事件屈指可数。其次,网络版杀毒软件可以通过一台服务器部署统一的病毒防护策略,降低了网络管理人员的工作强度。除了传统的杀毒软件之外,网络用户还应安装前面提到过的安全辅助类软件。这些软件对传统杀毒软件比较不敏感的领域如恶意软件往往有不错的效果,可以看作是对杀毒软件的一种补充和强化。此外,此类软件也可以帮助用户完成一些系统安全设置,是完善系统安全的好助手。
(三)做好用户在系统中的赋权工作
众所周知,一般当一个新系统安装完毕之后,默认的用户权限是系统管理员,这对于局域网用户来说权利过大了。这里带来的弊端就很多了,无论是用户误操作,亦或由于相关信息安全知识不够丰富而误入“网络陷阱”,都会由于用户本身过大的权限而使整个系统安全受到威胁。因此,对于用户在系统中的赋权工作应遵照“最小权限”原则,为各用户配置恰当的用户权限,以使各种恶意软件开发者在获取该用户权限时对系统的安全威胁最小。
(四)内外网要做到隔离
当前,形形色色的网络安全威胁在困扰着各企事业单位,各种新型网络攻击手段层出不穷,各种安全漏洞也层出不穷,何谈保障内部信息系统安全?建立内外网,并进行安全隔离对于维护网络安全是一个不错的选择。以笔者管理的局域网为例,内网的办公自动化系统保证各项公文流转,外网则是与英特网相连,这样为了达到不使英特网上各种威胁进入内网的目标,笔者的单位选用了双硬盘物理隔离卡。该产品以物理的方式将一台计算机虚拟成两台电脑,既可以在内网状态,又可以在外网状态,并且两种状态是完全隔离的。这样就使得黑客和病毒对网络用户的内部操作系统和机密信息无从下手。可以说物理隔离卡是目前较经济、易用和普及,在安全方面也可以让终端用户接受的解决方案,迄今尚未有任何关于黑客或是病毒通过英特网越过隔离卡窃取机密信息或者攻击用户内网系统的报告。
(五)做好系统的备份工作
如今,各种安全软件与病毒之间的斗争已经进入防御、入侵、升级、再入侵、再升级的怪圈,漏洞的层出不穷是主要原因,既然没有绝对防御,这就很难保证用户的系统不被病毒侵袭。一旦发生系统被病毒入侵的事件,如果在事前做好备份工作,那么恢复起来就会快速许多,对用户造成的损失也会少很多。
(六)对用户进行网络安全常识的宣传
“上网有风险,点击须谨慎”,这已是多数用户在打开系统时的心态。可是在遭遇不能正常上网、系统缓慢等信息安全事件前,用户往往把一切事情推向网络管理员。其实,系统安全乃至网络安全有很多事情是需要用户和管理人员共同维护的,用户具有一定的网络安全常识,对于做好网络安全工作将会有极大的帮助。
随着虚拟网络与现实世界结合的日渐紧密,虚拟中的安全问题对我们的现实生活工作也产生了巨大影响。做好计算机网络安全不仅是一个技术问题,也是一个管理问题。世界上没有绝对安全的网络,我们必须综合考量,制定合理的目标,设定正确的网络安全策略,严格执行已有的规则,才能从容应对各种网络威胁,发挥出网络应有的力量。