解读涉密网中的木马泄密事件

-I%e7vU+Fu7T_0　　案例IXPUB技术博客O\~(nn

　　某政府网络包括涉密网、内部网(业务网)、外部网(公开网站等)三个部分。其中，政务内网、外网承载着财政、审计等功能。总的节点有数千台，院内网段有40 多个。而涉密网中存储着政务中的各种机要文件，如全省的核心经济数据、省重要干部信息、中央下发的涉密工作文件等。

4Q L:kH&|G|0　　出于安全的考虑，该政务网络中的涉密网与政务内、外网进行了物理隔离。两个网络的数据不能相互通信。而涉密网也与因特网隔离，保证了涉密数据不外泄。IXPUB技术博客8u|3j4K6aJ#k#uV'|

ap/z(I oK8n$Y+a2Za0　　然而在日常工作中，涉密网中的的某个职员想在因特网上进行数据查询，考虑到去政务外网中查询不太方便，该职员就在涉密网终端上通过连接政务外网网线的方式，访问了因特网。该职员在因特网上浏览网页时，访问了某个论坛，而这个论坛正好被黑客攻击了，网页上被挂了利用“网页木马生成器”打包进去的灰鸽子变种病毒。黑客利用“自动下载程序技术”，让该职员在未察觉的情况下被种植了木马。

　　“灰鸽子”是反弹型木马，能绕过天网等大多数防火墙的拦截，中木马后，一旦中毒的电脑连接到Internet，远程攻击者就可以完全控制中马后的电脑，可以轻易地复制、删除、上传、下载被控电脑上的文件。机密文件在该涉密网职员毫不知情的情况下被窃取，最终造成了重大泄密事件。

　　随着政府上网工程的不断开展，我国计算机及网络泄密案件也在逐年增加。据报道，在上年的一起网络间谍案调查中，有关部门从政府某部门的内部电脑网络发行了非法外联的情况，并在许多内部电脑中检测出了不少特制的木马程序，检测结果表明，所有入侵木马的连接都指向境外的特定间谍机构。专业部门进行检测时，测出的木马很多还正在下载、外传资料，专业人员当即采取措施，制止了进一步的危害。IXPUB技术博客?v3w2X8Go,T7R

　　非法外联的威胁IXPUB技术博客,K ?6iP5Dz2x

　　现在，一些安全性较高的内部网络(如政府部门、军事部门的网络)常常与外部网络(如Internet)实施物理隔离，以确保其网络的安全性。物理隔离确保了外部网络和内部网络之间不存在任何可能的物理链路，因此这种安全手段对付外部攻击是十分高效的。但是，假如这样的网络中有某个主机通过拨号或其他形式私自接入外部网络，这种物理隔离就会被破坏。黑客极可能通过该主机进入内部网络，进而通过嗅探、破解密码等方式对内部的关键信息或敏感数据进行收集，或以该主机为“跳板”对内部网络的其他主机进行攻击。

$R/HVlQ#Cf8@2H:|0　　一直以来，安全防御理念局限在常规的网关级别( 防火墙等)、网络边界( 漏洞扫描、安全审计、防病毒、IDS) 等方面的防御，重要的安全设施大致集中于机房、网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。于是，来自网络内部的安全威胁成了多数网络管理人员真正需要面对的问题。IXPUB技术博客yc|QPD1Yt

　　在实施物理隔离的工作中，工作量最大的部分来自客户端的安全管理部分，对网络的正常运转威胁最大的也同样是客户端安全管理。我们知道，内网的客户端构成了内网90%以上的组成，当之无愧地成为内网安全的重中之重。实践证明，单纯的物理隔离手段还不足以完全将内部网络与外部网络隔离开来，对内网客户端机器使用、管理还存在众多安全隐患，特别是非法外联的隐患。

　　“非法外联”主要表现为内网客户端机器内外网线交叉错接;内网客户端机器使用拨号、无线网卡、双网卡等方式接入外网;方便携带的笔记本电脑按入内部网络使用，事后又接入外部网络使用。这些人为故意或无意的疏忽，在内网与外网间开出了新的连接通道，外部的黑客攻击或者病毒就能够绕过内、外网之间的防护屏障，顺利侵入非法外联的计算机，盗窃内网的敏感信息和机密数据，甚至利用该机作为跳板，攻击、传染内网的重要服务器，导致整个内网工作瘫痪。IXPUB技术博客7P/D.fXnw3F[

　　木马入侵静悄悄IXPUB技术博客*NfJc'Sp#w

　　内部终端非法外联到外部网络后，常碰到各种安全威胁，如病毒、木马、非授权访问、数据窃听、暴力破解等。其中木马是目前威胁比较广、威胁后果比较严重、常导致涉密信息泄漏的一种威胁。IXPUB技术博客aZL I1a(M

　　木马具有高度的隐蔽性，入侵后用户毫无察觉，这也给黑客盗取用户私人信息提供了“有利”条件。黑客往往通过邮件、IM工具以及网页挂马等方式将木马植入用户电脑，进而获得用户电脑的控制权，对用户电脑内的私人信息为所欲为。IXPUB技术博客WymV`][ec

r
j$| z!Dg0　　调查表明，木马入侵的重要的途径是涉密网络终端不遵守保密管理办法，例如非法接入到外部网络，移动介质和非移动介质混用等情况，境外间谍部门专门设计了各种各样的木马，并且搜集了我国大量保密单位工作人员的个人网址或在许多站点网页挂马，只要这些人当中有非法连接到互联网，摆渡木马就有可能悄悄植入内部网络终端，立刻感染内网，把保密资料传输到攻击者指定地方，从而实现保密信息的窃取。

Esd!H!o?/c0　　可以看出，在保密内网的安全建设中，非法外联和木马攻击是两大突出问题，需要在安全措施上提供完成全面的应对手段。安全需求分析

-^
K3J Sa6@0E0　　泄密事件是由一系列事件构成的，包括内网非法外联、木马通过外部网络进入内部网络、木马感染主机、泄密、发现泄密事件等阶段。要防止泄密事件的发生，就要阻断木马传播、主动预防、检测和清除木马，形成一个纵深的防御体系。

dn6[X;k{1HH0　　1、对边界防护的需求IXPUB技术博客t1O8[&r+R4\:k5}

　　木马都是由外部网络传入内部网络的，必须在边界处进行有效的控制，防止恶意行为的发生，实现拒敌于国门之外。针对边界防护，需要考虑加强防护的方面有：IXPUB技术博客%Ho/V7b:|]nY [t

$RN#d}p.Z0　　1)内网和外网间的边界防护IXPUB技术博客 m(\%rM.D,bs

　　在条件允许的情况下，实现保密内网与外网的物理隔离，从而将攻击者、攻击途径彻底隔断。即使在部分单位，内网、外网有交换数据的需求，也必须部署安全隔离和信息交换系统，从而实现单向信息交换，即只允许外网数据传输到内网，禁止内网信息流出到外网。IXPUB技术博客)zN5E7~7ce3^

$c IW;]8nHI,T4d9m~0　　2)对核心内部服务器的边界防护IXPUB技术博客:J:g%`{L&[

　　内网中常包括核心服务器群、内网终端两大部分，核心服务器保存着大部分保密信息。为避免内网终端非法外联、窃密者非法获取核心服务器上的保密数据，就要实现核心服务器与内网终端间的边界防护。感染木马时，核心服务器的边界安全网关能够阻止终端的越权访问，并检查是否含有木马，然后进行清除。

)@Q3H&m }r(aF;MNR0　　但在实现网关的封堵、查杀木马的同时，要防止对系统带宽资源的严重损耗。IXPUB技术博客ZK%l6gX;O1P"J-ee

　　3)防止不安全的在线非法外联IXPUB技术博客(X)VRC|`h%sN,I;x

Y4e;?H)dV0　　内网与外网的连接点必须做到可管、可控，必须有效监控内网是否存在违规拨号行为、无线上网行为、搭线上网行为，避免内用户采取私自拨号等方式的访问互联网而造成的安全风险。IXPUB技术博客;a"r7Q9@e#d)y8e*qd4~

　　4)防止离线非法外联或不安全的接入行为IXPUB技术博客;Jr]^ h/x8F

(wJED9`"BP0　　要限制终端设备，如PC机、笔记本，直接接入并访问内网区域，对于不符合安全条件的设备(比如没有安装防病毒软件，操作系统没有及时升级补丁，没有获得合法分配的IP地址或离线外联过)，则必须禁止进入。IXPUB技术博客E/Hr:Pa-{@ d

　　2、对主机安全的需求IXPUB技术博客6vo)va+idTa@

　　内网终端非法外联后木马入侵的目的都是最终的主机。主机的防护必须全面、及时。

S3tX8THv%wNj-Vf0　　1)木马病毒的查杀和检测能力的需求

　　由于内部网络中的计算机数量很多，要确保网络中所有计算机都安装防木马软件，并实施实施统一的防木马策略。防木马软件至少应能扫描内存、驱动器、目录、文件和Lotus Notes数据库和邮件系统;具备良好的检测和清除能力;支持网络远程自动安装功能和自动升级功能。

0yl+N}5cvMX[0　　2)系统自身安全防护的需求

　　木马在主机中的隐藏、执行和攻击最后都是体现在操作系统层面。要确保操作系统及时升级，防止漏洞被木马和病毒利用。在及时升级操作系统的基础上，要实时对计算机进程、访问端口的进行监控，以及时发现异常与木马;同时要有注册表防护手段，保障木马不能修改系统信息，从而使木马不能隐藏与自动运行。IXPUB技术博客\&U(F
^&x

`&R
h1XKB C0　　3)移动存储介质控制的需求IXPUB技术博客 S9`0[ofm.I6r"J

I-_(lR@'{%{0　　木马传播重要一个渠道是移动存储介质。主机系统要在移动介质接入系统时立即截获该事件，然后根据策略或者拒绝接入，或者立即对移动介质进行扫描，以阻断移动介质病毒的自动运行与传播。IXPUB技术博客%e&Q,Et!^Q1^@Tt l

{(gp4S9H7P0　　4)安全审计的需求IXPUB技术博客m'g ?:ZM`p4`8\,p p_

]
rc h2B&f0　　系统的日志记录了系统的工作情况，也反应了工作人员的操作行为。审计关键主机的访问行为，可判断内部人员是否有违规的行为;同时，还可以实时发现木马的行踪，并找出深层次的安全威胁。

　　3、对安全管理的需求

mrY:csr:Bs n}0　　为防止泄密事件的发生，除了加强安全技术的管控外，也要加强安全管理。首先，要引入第三方安全服务，定期查看关键计算机设备的状态，以发现与解决计算机中的木马;其次，要建立应急响应机制，使得在泄密事件发生后，能及时定位与隔离涉及的主机，使安全事件能够追查到责任人。对应措施设计IXPUB技术博客 s"MmiT5Q

q%^T9D+Wa TC1e\U0　　如何满足这些安全需求?下面是对应的措施。

{^yay0　　1、边界防护的措施

　　1)防火墙技术IXPUB技术博客vF;c(^|/RR&Q z%^

　　防火墙是实现内网终端与内网核心服务器隔离的基本手段。防火墙通常位于不同网络或网络安全域间的唯一连接处，根据组织的业务特点、管理制度所制定的安全策略，运用包过滤、代理网关、NAT转换、IP+MAC地址绑定等技术，实现对出入核心服务器网络的信息流进行全面的控制(允许通过、拒绝通过、过程监测)，控制类别包括IP地址、TCP/UDP端口、协议、服务、连接状态等网络信息的各个方面，从而实现对不良网站的封堵。

1bF&S8H3d/[0　　但是，传统单一的防火墙无法有效对抗更隐蔽的攻击行为，如欺骗攻击、木马攻击等，因此，有必要在这些边界采取防护能力更强的技术。

+B6C9y\F4@U0　　2)防病毒网关技术IXPUB技术博客:cO;|7\d;E

　　随着网络的飞速发展，单机版的防病毒软件面临着集中管理、智能更新等多方面的问题，无法对木马、蠕虫、邮件性病毒进行全网整体的防护，已经不能满足复杂应用环境，所以，构建整体病毒防护体系已成为必然。IXPUB技术博客~oT*U_Y*bd

$d'r+C4M9z$q6J\K0　　完整的防毒体系包括：IXPUB技术博客\+Ge tpu,T

y#a3?yN0　　网关级防病毒——部署在网络入口处，对木马、病毒、蠕虫和垃圾邮件进行有效过滤;IXPUB技术博客2L_T^ B%?0R&B8v

　　服务器防病毒——服务器为资源共享和信息交换提供了便利条件，但同时也给病毒的传播和扩散以可乘之机;

^"fAQ@0　　桌面级防病毒——在客户端安装，将病毒在本地清除而不至于扩散到其他主机或服务器;

　　病毒管理中心——能实现防病毒软件的集中管理和分发、病毒库分发、病毒事件集中审计等。

　　在不与外网连接的内部保密网中，可将防病毒网关部署在核心服务器区和终端区之间，通过网关把病毒拒于核心服务器区网络之外。

F5~A`5jOq2xyN0　　在与外网连接的内部保密网中，可将防病毒网关部署在外网和内网连接边界中之间，通过网关把病毒拒于内部保密网络之外。这要求网关防毒产品部署简便、能承受防病毒网关的数据流量、能检测并清除病毒。IXPUB技术博客!SCsXk3[

^'H.G[1s0　　3)终端防护系统

u7Ou6OGiz0　　为了防止不安全的在线非法外联、离线非法外联或不安全的接入行为，必须把终端防护系统与其它网关防护技术结合起来。

　　通过终端防护系统的统一策略配置的主机防火墙和主机IDS，能实现对桌面系统的网络安全检测和防护，当IDS检测到威胁后，能与主机防火墙进行联动，自动阻断外部攻击行为。IXPUB技术博客&Tb]_4Zr6x

MM\k {,D(U!h r~0　　通过终端防护系统，可对桌面系统的远程拨号行为、无线上网行为、搭线上网行为进行控制，发现存在违规外联的主机，给出报警，通过防火墙切断该主机与网络的连接，避免导致内网遭到更大的破坏。

ru?E ` E"|:Uu-?0　　通过终端防护系统的安全状态检测策略，可监测进入内网的终端设备，对于不符合安全条件的设备，可不允许其接入内网。IXPUB技术博客pev/_!u3t

,a-P Vo&rXB0　　4)网闸技术IXPUB技术博客O#fn f!M;q

　　在安全性要求很高，但又有内部网络和外网数据交换的情况下，必须采取网闸技术，以实现内网和外网的单向安全隔离和数据交换。

}sZ8[ PU2uu0　　2、主机安全的防护

@6s'kB o0　　1)桌面木马与病毒查杀技术IXPUB技术博客I.jQ&Y&i

　　在一个整体病毒防护方案中，桌面级防病毒是重要的支点。对木马的防范，除了通常的桌面防病毒产品外，还有一些专门的木马查杀产品，象瑞星卡卡、360安全卫士等。桌面查杀产品拥有查杀流行木马、清理恶评及系统插件、管理应用软件、系统实时保护，修复系统漏洞等数个强劲功能，同时还提供系统全面诊断，弹出插件免疫，清理使用痕迹以及系统还原等特定辅助功能，并且提供对系统的全面诊断报告，方便用户及时定位问题所在，为用户提供全方位的系统桌面保护。IXPUB技术博客 m+o;PJ`~ I

DS$hJ{1~u0　　2)终端防护技术

　　终端管理系统是对局域网内部的网络行为进行全面监管，检测并保障桌面系统的安全产品。系统一般共分四大模块：桌面行为监管、桌面系统监管、系统资源管理，通过统一定制、下发安全策略并强制执行的机制，实现对局域网内部桌面系统的管理和维护，能有效保障桌面系统及机密数据的安全。IXPUB技术博客Ef%p}:t:bZ s#}EW

　　终端管理系统自动检测桌面系统的安全状态，能针对桌面系统的补丁自动检测、下发和安装，修复存在的安全漏洞，防止漏洞被木马和病毒利用。IXPUB技术博客1h9t)}8{2A-}Z8pw/J? st

y,aUZ$us}w0　　终端管理系统监管桌面行为，对桌面系统上拨号行为、打印行为、外存使用行为、文件操作行为的监控，通过策略定制限制主机是否允许使用外存设备，确保机密数据的安全，避免了内部保密数据的泄漏。

q.m#y2`4h%z'gzd0　　终端管理系统桌面监管系统，解决了难以及时、准确掌控桌面系统基础信息的问题，规范了客户端操作行为，提高了桌面系统的安全等级。

　　通过系统监管模块管理员能够远程查看桌面系统当前的详细信息，包括：已安装软件、已安装硬件、进程、端口、CPU、磁盘、内存等，及时发现异常。

　　终端管理系统为管理员提供了Agent管理、IP管理等功能，能对网络内的Agent进行有效管理，避免IP地址混乱、非法接入、木马运行等情况。IXPUB技术博客x&BM:z*oz`:g

　　终端管理系统在对收集的事件进行详尽的分析和统计的基础上，支持丰富的报表功能，实现了分析结果的可视化。为帮助网络管理员对网络中的情况进行深度挖掘分析，系统提供了多种报表模板，支持管理员从不同方面进行网络事件和用户行为的可视化分析，满足了安全审计的需求。3、安全管理IXPUB技术博客A3O"`,j-d+b6A["r

!Vix Q#{%Zh8YsF`0　　1)安全审计系统IXPUB技术博客+ef1S5_
~VhNa#?

　　安全审计既是发现安全问题的重要手段，也是管理内部人员行为的威慑手段。如果不计划部署安全管理平台，就一定要安装安全审计系统。推荐通过引入集中日志审计的技术手段，对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一的安全审计，及时自动分析系统安全事件，实现系统安全运行管理。

　　2)安全管理平台系统

e#kxa+R.s0　　在内部部署了防病毒等一系列安全设备后，可以在一定程度上提高安全防御水平，降低发生泄密事件的概率。但同时也要加强安全管理，引入安全管理平台。IXPUB技术博客/G kq6nue6u

'g#khH&N:@SxYc'?i0　　信息安全管理平台，能实时对网络设备、服务器、安全设备、数据库、中间件、应用系统的安全状况进行统一监控、采集安全事件和日志信息、进行整合和关联分析、评估安全风险、审计用户行为、产生安全事故和告警、生成安全报告并及时进行应急响应，确保相关系统的业务持续运行，协助管理人员排除安全隐患和安全故障，同时为相关部门的信息安全审计和考核提供技术手段和依据，实现全网的安全集中监控、审计和应急响应，全面提升保密内网的信息安全保障能力。

　　对于内网泄密事件而言，安全管理平台可以对关键主机的访问行为进行记录，一方面形成威慑，另一方面方便事后取证;安全管理平台还可以找出系统内感染木马病毒的机器。

　　3)定期巡检服务

　　定期巡检服务是一种第三方安全服务，可以定期查看并发现系统的安全漏洞，检测关键计算机设备的状态，发现并定位计算机中已经感染的木马，防止木马的泄密等破坏行为发生。IXPUB技术博客)@+M9N7rqmf!wO

K{hY}9Z8I0　　安全措施部署举例