徐国涛
中国石油化工股份有限公司天津分公司信息档案管理中心 300270
摘要:
在科技高速发展的今天,人们的生活、社会的发展运行高度依赖信息网络,网络已经成为了社会运行的基础设施之一。网络给人们带来便利生活的同时,也带来了诸多的安全问题,诸如信息泄露、电信诈骗、盗用信息等多发高发,极大危害网络安全与人民群众生命财产安全。本文讲述了企业在现阶段网络环境下,如何进行安全防护的一点研究和建议。
关键词:企业;网络;安全;防护;数据备份
1,前言
随着人工智能、云计算、物联网、大数据、移动互联网和区块链等技术越来越广泛的应用和融合发展,网络安全威胁日益严重,新型网络犯罪越发猖獗。每个人的姓名、电话号码都是不法分子想要获取的信息,窃取信息和大数据利用成为当今社会网络犯罪的重要目的之一。
2011年4月27日,日本索尼公司因为PlayStation网络被黑客攻击,导致泄露大量用户信息,其中甚至可能包含信用卡等敏感信息,索尼公司的市值也蒸发了6%。
2018年3月17日,媒体曝光Facebook上超5000万用户信息在用户不知情的情况下被泄露。受此影响,Facebook 3月19、20两日市值蒸发500亿美元,抹平该公司今年以来的全部涨幅。
我们看到,企业因为对用户数据保护不善,被攻击者渗透并获取到企业数据,攻击成本相当之低,而企业却承受着巨大的损失,严重的情况下,企业可能因此而破产倒闭。通常,企业往往掌握着大量的、集中的有价值数据资源,如果不好好进行保护,一旦企业网络遭受攻击,导致信息数据被泄露、造成的灾难往往是不可估计的。
2,现代网络攻击形式
早期的黑客攻击通常主要以瘫痪网络,恶意捣乱,炫耀技术为目的,而当今大数据时代,除非有明确目的,这种攻击形式已经不满足当今信息化时代发展,不仅对攻击者毫无益处,而且会暴露自己。现如今的网络安全渗透绝大多数都以信息窃取为目的,攻击者往往会做到神不知鬼不觉的渗透进入你的系统,拿走他想要的信息在黑产兜售,由此获取经济利益。
渗透的根本目的在于信息的获取,获取足够多的信息后进行针对性的漏洞利用,获取权限,进而获取更多的信息,进一步进行渗透。而在浩瀚无际的互联网上,人为的手动形式信息获取往往是非常低效的,攻击者往往会利用工具,脚本,甚至是自写病毒“广撒网”随机生成目标IP进行渗透。
另一种威胁是近几年比较常见的,即为勒索病毒,攻击者通过钓鱼邮件、篡改捆绑软件代码等不正当手段侵入用户计算机,而且较为新型的勒索病毒同时会利用最新的系统级漏洞、中间件漏洞向同局域网或类似网段的计算机发起组合攻击,如果用户电脑没有打补丁,极易中招。以笔者的渗透经历来看,在部分情形下,即使用户电脑安装了防护软件,也可能无法阻挡系统级别的漏洞攻击。通常来说,这种攻击是用户无感知的,用户不需要做任何操作,电脑一样会被攻击成功,危害非常大。
第三种也是近年来比较常见的——挖矿软件。攻击者在木马、或者在正常软件中植入挖矿软件,在受害者计算机上执行,利用计算机的计算资源计算数字货币,例如比特币、门罗币等常见数字货币。被攻击的电脑通常长时间高负荷运转,CPU、显卡以及散热风扇满载运行,反映出来的现象就是电脑卡顿、发热量高、CPU/GPU占用率极高导致风扇满载噪音加大。虽然这种攻击通常来说不会对用户的电脑造成数据丢失、或明显侵害性问题,但是这些挖矿程序犹如吸血鬼一样寄生在计算机中,致使计算机长时间满载运行,不仅耗费电能、拖慢系统运行速度,也致使计算机组件加速老化,减少使用寿命。
以较为有名的BuleHero蠕虫病毒为例,它不仅可以利用微软臭名昭著的MS17-010“永恒之蓝”漏洞攻击工具实施攻击外,同样也会利用Web 组件漏洞(Struct2、Weblogic反序列化远程代码执行漏洞(CVE-2019-2725)、ThinkPHP远程代码执行漏洞(CNVD-2018-24942))、等其他中间件漏洞、以及各类弱口令爆破攻击三种攻击类型,可谓全面而且清晰,招招致命,而且病毒自身有较为完善的更新机制,使其不断自我更新和改进版本,难以被清除。
可以看到,近年来的病毒木马通常都会使用多种技术组合攻击,而且使用的技术都非常新颖,依据木桶原理,如果被攻击的计算机中没有及时安装任意一个补丁就有可能会被感染,可谓防不胜防。
3,防范
3.1 管理手段
网络界面清晰化,企业网络管理员应做好网络界面分割,不同区域网络应有不同用途,例如办公区和服务器区应逻辑隔离,配置防火墙,且防火墙应为白名单模式,以权限最小化标准配置好访问策略。有些重要、涉密计算机应严格限制物理连接到办公或生产网络,做到专机专用,限制USB口使用,杜绝U盘交叉传染。与互联网连接的计算机必须重点关注、加大防护,提供公网服务的服务器应放在DMZ区,限制访问内网。特别是同时连接公网和私网的双网卡服务器,非常有安全隐患,容易被突破造成跨网段纵深渗透,应该避免这种网络结构而改用防火墙或其他网络结构。
密码复杂化,应该在企业应用系统上配置策略禁止使用弱密码。根据笔者经验来看,弱密码的使用情形应该说在各个企业上是非常常见的,很多人没有安全意识,或者对自己的账号被他人非法登录不以为然,只是为了贪图方便快捷,使用了弱密码。但是黑客通常会用大量常用密码字典进行穷举尝试,如果你的密码是弱密码,那么终究是可以被攻击者试出来的。
3.2 技术手段
恶意软件再高明,它也是机器代码,实现不了人的智能的渗透过程,攻击过程通常比较死板和固定,攻击特征很明显,容易被发现。一旦被发现,就非常容易定位和处置。现如今,安全人员会通过沙盒、逆向分析等多种手段研究分析病毒的各种执行机理,触发条件,可以说,只要时间允许,任何病毒木马都几乎会以源代码的形式暴露在分析人员手里。毕竟,目前的计算机病毒还没有发展到能向生物病毒一样自发进化,自发改良,如果恶意软件作者不主动进行更新,那么恶意软件自己是不会进化攻击行为的。
但是,恶意软件攻击行为特征再明显,它也是人编写的,恶意软件的攻击渗透过程反映了作者的思维,现阶段,恶意软件作者会使用各种办法逃避安全软件检查,利用最新漏洞实施攻击,甚至签署合法数字签名,甚至市面未出补丁的零日漏洞(0Day)进行攻击,在这种情况下,用户是毫无招架之力的。
服务器应该及时打补丁,随时关注系统厂商安全漏洞公告,关闭不必要的端口,限制使用445、135、139等高风险端口,安装防护软件,服务器群、关键网络设备应该限制只允许堡垒机访问。应用系统应该增加防止暴力破解的功能。
核心网络应安装流量分析,态势感知等现代网络防护产品,及时对异常情况进行溯源追查,掌握其攻击目标、路径、方式。
3.3 数据备份
之所以把数据备份单独列出来,是因为数据关乎企业命脉,大到企业组织的报表、文稿、合同,小到你手机里的照片、音频、视频,这些数据资源都是非常珍贵的,正所谓“硬盘有价,数据无价”。在计算机设备上,存储设备的故障率常年位居榜首,数据丢失风险率是很高的。通常我们使用磁盘阵列来做到数据冗余。而且现在勒索软件猖獗,即使不是因为硬件故障导致数据丢失,也有可能因为感染勒索软件导致数据被加密无法复原,大多数情况都是等到出现事故才追悔莫及。所以,数据的备份应做到有效,可靠,定时。而且,备份应该采用多点异地备份。企业应具备有相应的数据备份以及恢复机制,有相应的应急预案,以应对可能出现的突发数据丢失的问题。同时,需要定期对数据的可恢复性进行测试,进行定期还原测试,证明备份数据的有效性。
4,结语
网络安全的攻与防,实际上是双方技术的对抗,更是利益对抗,随着技术的发展,时间的推移,越来越多的漏洞被发现和利用,越来越多的信息和数据被泄露,其实这是对企业网络安全管理人员提出了更高的要求,我们应该及时学习新兴技术,提高自己的技术水平,为企业网络安全保驾护航。