网络安全之：十一国庆踏实过

网络安全之：十一国庆踏实过

     转眼十一长假快到了，忙碌了大半年的网管员终于可以放松紧绷的神经痛快地玩几天了，而我们的网络却不会停下来运转，它在这个时候往往是最薄弱的。在人们享受甜美假期的同时，网络系统和应用系统更容易出现入侵和安全事件，在无人值守的环境下免受攻击，从容应对节后的可能出现的麻烦，这都需要我们在节前“囤粮练兵，有备无患！”。

安全事件为何与节日过不去？

     节假日本来是人们放松休闲的好机会，但是计算机病毒的制造者却似乎对节假日情结情有独钟，这是为什么呢？最近几次病毒大爆发的时间都选择了节假日之后，而很多的垃圾邮件发送时段也集中在节前。我们可能还记得几年前可怕的“五一”假期，第一天的时候，“震荡波”病毒“震荡”了整个互联网，三天之内的4个变种横扫600万互联网用户，一个美好的“五一”就这样被笼罩在病毒的阴云中。同时，我们发现很多病毒也以节日名称加以冠名，比如 “圣诞节病毒”、“情人节病毒”等。这似乎不能仅仅用巧合来解释，病毒作者正是有意识的利用节假日期间，人们对计算机病毒警惕不高的情况，利用假期时间较长的时间条件，造成节后病毒的大规模集中发作。
另外，垃圾邮件和病毒从来就是不分家的一对，在春季期间垃圾邮件泛滥的情况也非常具有“中国特色”。这个时段，人们更容易打开邮件，消费者会在网上购买更多的物品，希望获得有关送什么礼物的建议，以及期待朋友的电子贺卡等等。垃圾邮件发送者会充分利用这一点，发送虚假的订单确认电子邮件、电子贺卡，推荐购买它们的产品作为送给亲朋好友的礼物，当然病毒和木马的捆绑也夹带其中，这都让管理员十分头疼。作为管理员，很多人的假期一直不是过得十分潇洒，我周围的许多朋友由于习惯了“紧急召回电话”的骚扰，也只能安排就近的度假景点，不敢对“境外游”有所奢望。让他们担忧的不仅是黑客入侵、病毒感染，UPS的突然掉电、空调系统的运行故障，这些皆有可能发生的安全事件都让我们的网络与网管无从休养生息。

保证防毒系统可用

    病毒袭击的一个特点是病毒制造时间越来越短，变种爆发的速度甚至可以在几秒之内完成。在我曾经接触的案例中，有家公司的网管员反映：“在‘十一’假期回来之后才发现自己的系统已经接近瘫痪状态，几个病毒的最新变种都寄生在服务器上。”根据实际排查，我们发现这些服务器上都安装了病毒防护系统，但为什么失效呢？在日志扫描以及针对防毒系统配置策略进行校验时，我们发现出现这些问题的主要原因是由于防毒系统使用不当造成的，例如：
 防毒软件很久没有进行过系统完全扫描，病毒载体文件并没有在C盘（系统盘），这也是引发病毒感染和病毒变种无法清除的主要原因。
 在假期前定制的升级策略可能由于网络问题，曾经中断过防毒代码的升级通讯。
 隔离区设置在C盘，但大量的病毒警报日志造成C盘空间已满，病毒防御系统无法继续记录日志，导致工作异常。
根据上面的事例，在假期当中的如何发挥防毒软件的作用呢？最有效的方法就是保证你的病毒防御系统能够正确完成计划任务，下面的三个步骤可参考实施：

1、 提前做到完全检查

 有一少部份网管员似乎对防毒系统的信赖的过高了，他们可能在第一次部署防毒系统后就很少去关注系统的工作状况，全盘扫描可能一次都没有做过。尤其是版本较早的防毒系统，如果你没有进行过系统的全面扫描，系统也不会提示你可能存在这些漏洞（图1为新版防毒系统的安全状态提示窗口）。假期前，对防毒系统的日志进行存档，检查防毒系统安装盘的磁盘配额，在全盘扫描后排除潜在问题，这都是保证系统正常运行的一项基础工作。

 

 

 

2、 提前升级防毒代码

   大多时候，防毒系统的更新工作都在后台自动运行。所以，很多管理员在假期或日常的远程管理中就不能确定是否正确完成病毒特征库更新。在离开单位前确保你的防毒系统已经更新到最新的防御状态，这是最有效的安全保护方法。

3、 假期预设扫描和连续性升级

    有经验的管理员都知道，天天升级病毒库只是一个概念，用户天天升级病毒特征库只是给自己增加了一些安全感。所以大多用户会隔三四天升级一次，也正是因为这个原因，在长假期中，病毒特征库升级计划可能只能轮循一次，因为我们不能预计网络是否会出现问题（升级失败），所以建议各位调整升级计划，最好保证每天进行更新，而更新时段的设置也要一反常态，选择早上7：00~9：00的时段，因为这个时候大多数人都还在床上做着美梦。另外，针对不同的防毒软件，我们可以设置每天对系统的“禁区”，如c:\windows\system32等，部署扫描计划。
    

      病毒防御系统的可用性与系统更新需要保持一致，缺一不可。如果不是在假期，管理员通常会利用Windows Update Website或者下载补丁后进行手工更新。但在无人值守的网络中，这些手工更新就不可能完成了，Software Update Services 是一个用来创建本地安全性补丁分段和批准服务器的免费工具，如图2的Windows Update Services分类选项），它与 Windows Automatic Updates client 联合工作，将自动化和控制技术引入 Windows系统的安全性补丁、关键更新，安全性累积包的部署过程。另外，部署Systems Management Server 等综合软件管理系统都能够在假期替你完成此项任务。如果你还是忧心忡忡，你可以订阅Security Bulletin Notification Service（微软电子邮件通知的免费服务），Microsoft 用它来给用户发送有关 Microsoft 产品安全性的信息，然后利用远程管理系统登录到网络，进行系统的弥补工作。

 

应对法宝之“最少服务+最小特权”

    遵从最小服务原则，是保证假期免受攻击的有效手段之一。关闭最有可能遭受攻击的网络服务，如FTP，TELNET、Messenger等，这可以切断针对这些服务漏洞的病毒感染途径，如MSBlast和Slammer病毒就是用Messenger服务进行快速传播的。最少服务原则可以有效地减少遭受黑客扫描后的后续攻击，道理很简单，这在于黑客对于提供单一服务系统的兴趣要低于开放多个服务端口的系统。另外，管理员可以关闭企业网络中与日常办公有关服务，比如对内网普通用户提供的网络代理、文件共享传输等，因为此时内网用户的使用率几乎为“零”。
     与内网访问相反，网络外部平台的安全将作为假期安全管理的重点。这些服务器和网络设备及提供的服务仍在假期中需要保持运营，尤其是门户网站、邮件系统都不可能关闭。事实上，哪些服务需要开启，哪些服务可以关闭，这都需要根据网络安全评估的内容来定。不同的网络承载的服务也有很大区别，我们不可能在一篇文档中完全说明。大家都知道，网络安全措施的作用就是用来预防可能存在的网络危险和弥补安全漏洞，突击做出一份假期安全防御报告的做法，对于一些入门时间较短的管理员来说是不可取的，除非能够知道网络安全正面临什么样的危险和需要弥补什么样的漏洞，这也是我们一直强调网络安全评估连续性的本质所在。因此，在关闭服务的过程中，一定要保证核心业务的可用性，要充分进行测试。一旦某个环节出现故障，都会影响网络系统正常运行，回来加班、重新开启这些服务，都会成为假期中最让管理员郁闷的事情。
     前面提到了最少服务原则的注意事项，其实大多数与安全性相关的培训课程和文档都讨论了“最少服务+最小特权”的益处，我们在这里也没必要再重复了。可是在假期中，最小权限原则的使用可以发挥的作用更大，防护效果也最强。比如限定管理员组帐户的登录方式，只允许在限定主机系统上登录（如图3）。举个例子来说，企业有多台服务器，在每台服务器上的Administrator帐户的密码绝对不能相同。可以马上和你身边的同事做一个实验，将他计算机上建立一个和自己本机当前登录相同的帐户（密码相同），你现在就可以直接访问他的计算机，绝对是不需要任何验证的。从这个例子中我们看到，将管理员密码设置相同的后果十分严重，因为假期中任意一台Server一旦被“黑”，都可能被黑客或病毒所控制，即所谓的“肉鸡”，将对网络上其他的主机构成再次的安全威胁，也有可能根据管理员留下的足迹迅速掌握防火墙和日志保护系统。网络经过了一个假期，就会掌握到别人手里，多么可怕的事情！奉劝您要马上行动起来。

 

 

关注远程管理

在假期当中，为了避免“重返工作岗位”的痛苦，就需要提供远程管理服务器资源、远程修复应用故障，从而避免因为路途原因，耽搁处理安全事件的最佳时间。可能有的管理员只会在假期的时候部署远程管理系统（平时是关闭的），在享受轻松管理的同时，这些远程管理应用也带来了一定的安全隐患，可能一个节日过后，原本安全的防御体系却是因为远程管理漏洞招惹了黑客的攻击，这些漏洞中有系统本身设计的问题，但大多数是重视程度不够造成的。远程管理其实只要做到三个方面的防范，就可以有效的避免入侵事件的发生：

1、 变更默认端口

前面我们已经说了最小服务原则的益处，但因为我们要实现远程管理，服务器和网络设备就避免不了针对远程管理终端开放一些端口。由于一些远程管理服务的端口是固定的，所以当在Internet上开启这些服务的时候，通常会遭受到“端口扫描”软件的攻击。利用注册表或配置文件（Linux下通常是conf文件）的重新配置，完成默认端口的变更，同时再将远程登录窗口的Banner重新修改，这些都能有效地减少黑客的关注程度，避免管理软件的版本泄漏。

2、 加密访问通道

很多管理员都知道Telnet本身没有很好的保护机制，缺陷主要表现在口令保护，远程用户的登陆传送的帐号和密码都是明文，但依然有人出于方便的想法，将类似服务直接暴露在Internet上，这些做法是非常荒唐的。因为明文验证的管理软件，通常也不提供完整性检查，传送数据无法保证是否被篡改过，这些系统本身的劣势都需要我们在假期远程管理中得到重视，部署可加密的管理系统是极为客观的。而在通用的WEB管理中，如网站后台管理程序的访问，完全可以利用证书服务（SSL）来提供保护。

3、 部署AAA服务

我们咨询了几个层级掌管多个企业分支网络的管理员，这些网络的管理必须、也只能够通过远程管理来实现。根据他们的管理方法和建议，采用AAA服务（AAA包括：认证、授权、审计三项功能），不但在假期中可以起到事半功倍的效果，即便在日常管理中也会大大提高网络的防护等级。

关注物理安全

    假期中的安全防护可以不单单是应用安全这一点内容，更多地安全事故都会出现在人们最意想不到的地方，最常见的就是电力系统故障。保证机房的物理安全也十分钟腰，基本模块包括：内部环境、供电系统、接地系统、防雷系统、防火系统、防盗防毁、电磁屏蔽、静电防护、温度调节、介质存放、其他措施等。通常，专业的IDC机房供电系统都是配备了来自不同电网的双路高压供电，在供电电网出现故障时,很短时间内自动转换到备用电网,有些重要部门也都备有后备柴油发电机，在两路电网都出现故障时，启动后备柴油发电机供电，切换全过程可达到无需人为管理的实现。一个完整的系统中除了UPS系统外，还可能有变压器、瞬态电压浪涌抑制器、电网进线开关柜、负载配电柜、柴油发电机、交流稳压器、变压器、电池系统、各种开关、断路器、保险、转插，上百乃至几百个级连接点和相应的传输线。提前与电力工程师一起检测电力隐患，绝对是一个网管人员尽心尽力的工作表现。
    可是我们这些中小网络的管理员却不敢有这样的奢望，如果你想安心度假的话，最好先咨询电力部门是否会在假期中可能进行线路检修，另外，提前检测UPS的可用性恐怕是最直接了当的做法了。例如：提前对UPS放电后重新充电，检查系统中UPS控制软件的运行情况等等。还有一种电力故障十分让我们头疼，这就是空调在断电后如何重新启动的问题。我的机房也曾饱受空调问题的困扰，有一次假期回来，打开房门后一股热浪扑面而来，由于当时我没有考虑为空调单独设计UPS，瞬时断电后空调不会自动启动，也就造成了机房内室温骤升的后果。根据自己掌握的经验，我建议有条件的用户可以为空调单独配置UPS，并保证空调可以在UPS控制下自动重启，对一些高档的空调（可编程），我们可以设置每天在固定时段重启，这些笨拙的防范虽然简陋，但也可解决一时之需。

日志保护的重要作用

   

    从事网络安全工作的人都知道，黑客在入侵之后都会想方设法抹去自己在受害系统上的活动记录，如果是带有商业目的的入侵只有一个，就是逃脱法律的制裁。如果假期中，你的网络遭到了毁灭性的攻击，快速的为公安部门提供计算机取证（Computer Forensics）资料也就成为了抓获入侵者的最快途径。计算机取证也可以称为计算机法医学，它是指把计算机看作是犯罪现场，运用先进的辨析技术，对电脑犯罪行为进行法医式的解剖，搜寻确认罪犯及其犯罪证据，并据此提起诉讼。这就好比飞机失事后，事故现场和当时发生的任何事都需要从飞机的“黑匣子”中获取。说到这里您可能就猜到了，计算机的黑匣子就是自身的日志记录系统。现在比较流行的日志清除工具，大多以命令行方式删除默认的W3C日志记录，所以可以将网站或应用系统的路径改写，达到简单保护的功能。进一步来讲，如果距离你的度假时间还比较远，马上搭建一台日志服务器（如下图中的log host），将应用系统和网络设备（防火墙）的日志重新定位，将我们的网络也安装上“黑匣子”，以便不时之需。

   

 

备份可挡“万一”发生

    备份恢复阶段是指在出现破坏事件后处理事务和数据恢复的全面状态，是在发生“万一”之后。它包括在事前，事中，及安全事件对信息系统资源造成重大损失后所采取的行动。实施灾难备份方案可不是在假期前的短短几天能够完成的，实施过程中，要严格按照灾难备份方案的要求和内容进行，要落实相应的规章制度，要对备份恢复方案进行灾难模拟。我看到过很多单位制定的假期网络安全事件预案，可大部分的内容都如同摆设，在没有前期备份数据的情况下，这些参与预案制定的人们也就是自己骗自己吧。这是因为，备份工作量与企业的数据量与类型有着密切的关系，在不影响正常业务的情况下，完全备份系统资源可能要经历一个较长的时间周期。同时，还必须进行预演，以确认系统恢复能够应对“万一”的出现。最后提示各位，在整个测试过程中，应该监视到整个灾难恢复的细节进程，从而找到问题所在，只有把问题一一排除，我们的假期才能过得痛痛快快！

本文转自张琦51CTO博客，原文链接：http://blog.51cto.com/zhangqi/102363  ，如需转载请自行联系原作者