基于園區(qū)網(wǎng)信息安全主動(dòng)防御對(duì)策4300字園區(qū)網(wǎng)的遍及與應(yīng)用已成為教學(xué)、科研、訓(xùn)練等必不可短少的工具。然而，信息化程度的提高帶來(lái)的信息平安問(wèn)題也開(kāi)始“暫露頭角〞，許多用戶(hù)的信息平安意識(shí)淡薄、技術(shù)水平所限、整體防護(hù)能力較弱等。面對(duì)嚴(yán)峻的形勢(shì)，建立對(duì)園區(qū)網(wǎng)信息平安主動(dòng)防御的對(duì)策，努力使用戶(hù)的信息平安沿著健康有序的軌道開(kāi)展。

2園區(qū)網(wǎng)的平安現(xiàn)狀

一個(gè)中等規(guī)模的園區(qū)網(wǎng)所包含的計(jì)算機(jī)數(shù)量都在百臺(tái)或千臺(tái)以上，按物理分布和功能劃分為數(shù)個(gè)、數(shù)十個(gè)甚至數(shù)百個(gè)子網(wǎng)，每個(gè)子網(wǎng)的信息平安很大程度上取決于使用者的水平。除信息管理中心外，網(wǎng)絡(luò)使用者一般都不具備專(zhuān)業(yè)人士的信息平安意識(shí)，往往一個(gè)病毒就能傳播整個(gè)子網(wǎng)或局域網(wǎng)，造成大量的信息被竊或損壞。在這種現(xiàn)狀下，我們的網(wǎng)絡(luò)信息平安是極為脆弱的。其中系統(tǒng)漏洞、軟件漏洞、人為漏洞等就是產(chǎn)生信息不平安的重要原因。

2.1系統(tǒng)漏洞

現(xiàn)在絕大局部計(jì)算機(jī)所安裝的操作系統(tǒng)都是微軟的Windows系列。眾所周知，微軟每年所頒布的系統(tǒng)漏洞多達(dá)上百個(gè)，而且其中不乏高危漏洞。往往一個(gè)高危漏洞就意味著一輪新的黑客攻擊或新型病毒暴發(fā)，馳名的“沖擊波病毒〞就是利用了微軟的RPC漏洞進(jìn)行傳播，它攻擊了至少全球80%的Windows用戶(hù)。針對(duì)漏洞的最好解決方法是打上補(bǔ)丁。在2022年Windows系統(tǒng)共發(fā)現(xiàn)了61處漏洞，發(fā)布補(bǔ)丁的平均時(shí)間為13天。這速度并不快，但不得不提的是，目前許多網(wǎng)絡(luò)用戶(hù)還沒(méi)有意識(shí)到打補(bǔ)丁重要性。

2.2軟件漏洞

園區(qū)網(wǎng)的應(yīng)用主要是資源共享。每臺(tái)計(jì)算機(jī)上的應(yīng)用軟件少那么十幾個(gè)，多那么幾十個(gè)或上百個(gè)，它們都有一個(gè)共同的特點(diǎn)，絕大局部的計(jì)算機(jī)常用的應(yīng)用軟件就是則幾種。這意味著發(fā)現(xiàn)了一個(gè)此類(lèi)軟件的漏洞對(duì)大多數(shù)的計(jì)算機(jī)來(lái)說(shuō)都可能被入侵，而且軟件的漏洞平均修補(bǔ)時(shí)間大大長(zhǎng)于系統(tǒng)漏洞，這對(duì)黑客的誘惑是很大的。

2.3人為漏洞

這是局域網(wǎng)面臨的最大漏洞。密碼泄漏、設(shè)置過(guò)于簡(jiǎn)單或特別有規(guī)律等是其中的隱患。平安意識(shí)不高的網(wǎng)絡(luò)使用者容易將密碼通過(guò)多種途徑泄漏，如網(wǎng)絡(luò)互聯(lián)、撥號(hào)、短信平臺(tái)等。密碼設(shè)置簡(jiǎn)單在網(wǎng)絡(luò)用戶(hù)中普遍存在，為了方便使用，一般只設(shè)置簡(jiǎn)單密碼，甚至不設(shè)，在這種情況下網(wǎng)絡(luò)信息是極不平安的。另外，超級(jí)用戶(hù)的管理、用戶(hù)權(quán)限的設(shè)置、用戶(hù)身份的認(rèn)證、數(shù)字簽名等，也同樣存在著漏洞。

3園區(qū)網(wǎng)平安面臨的主要威脅

園區(qū)網(wǎng)所面臨的平安威脅主要有硬件威脅、病毒威脅和黑客威脅等。

3.1硬件威脅

園區(qū)網(wǎng)的數(shù)據(jù)主要集中在網(wǎng)絡(luò)效勞器上，因此，網(wǎng)絡(luò)效勞器設(shè)備及工作環(huán)境要求很高。我們?cè)谶x用設(shè)備時(shí)，絕不能為節(jié)約開(kāi)支而降低設(shè)備性能，使選用的設(shè)備不能滿(mǎn)足園區(qū)網(wǎng)長(zhǎng)遠(yuǎn)開(kāi)展的需要，由此而引發(fā)的效勞器宕機(jī)或其它設(shè)備不能正常運(yùn)行，得不償失。網(wǎng)絡(luò)應(yīng)用環(huán)境對(duì)設(shè)備和網(wǎng)絡(luò)信息都有影響。如溫度過(guò)高，會(huì)加快硬件設(shè)備的老化；濕度過(guò)大，會(huì)使器件性能變差，甚至被銹蝕、短路等。另外，網(wǎng)絡(luò)綜合布線(xiàn)的質(zhì)量差，也容易造成網(wǎng)絡(luò)的傳輸速率下降，性能不夠穩(wěn)定等問(wèn)題。

3.2病毒的威脅

病毒可以說(shuō)是破壞局域網(wǎng)信息的罪魁禍?zhǔn)住，F(xiàn)在一個(gè)感染能力強(qiáng)大的病毒就能破壞整個(gè)局域網(wǎng)的數(shù)據(jù)，如熊貓燒香、沖擊波等。我們使用的U盤(pán)、移動(dòng)硬盤(pán)更是給病毒提供了局域網(wǎng)與局域網(wǎng)傳播的途徑。病毒不僅“殺傷力〞在提高，數(shù)量更是突飛猛進(jìn)。根據(jù)瑞星全球反病毒監(jiān)測(cè)網(wǎng)的數(shù)據(jù)顯示，由于黑客普遍利用程序給病毒加殼〔相當(dāng)于把病毒加密變形〕，實(shí)現(xiàn)“機(jī)械化生產(chǎn)病毒〞，使得2022年出現(xiàn)的新病毒數(shù)量急劇增加，到達(dá)23萬(wàn)多個(gè)的驚人數(shù)字，幾乎等于以往所有病毒數(shù)量的總和。

3.3黑客的威脅

1)黑客產(chǎn)生的原因

就以2022年黑客們制造的新病毒為例，往往帶有明顯的利益目的，以海量的新病毒來(lái)反抗殺毒軟件的查殺，從而到達(dá)商業(yè)目的。據(jù)統(tǒng)計(jì)，在新病毒中，以竊取用戶(hù)賬號(hào)、密碼等個(gè)人虛擬財(cái)產(chǎn)信息的病毒達(dá)167，387個(gè)，占總病毒數(shù)量的71.47%。2022年6月，我國(guó)還出現(xiàn)了首個(gè)勒索木馬病毒的進(jìn)程殺手變種“Q〔Trojan.KillProc.q〕〞。瑞星反病毒專(zhuān)家預(yù)測(cè)，此類(lèi)病毒可能在未來(lái)一段時(shí)期不斷出現(xiàn)。傳統(tǒng)的黑客竊取情報(bào)秘密發(fā)售牟利也是長(zhǎng)盛不衰。

2)黑客的攻擊伎倆

一個(gè)黑客發(fā)起的一次完整攻擊通常包括信息的收集、系統(tǒng)平安弱點(diǎn)的探測(cè)、利用漏洞攻擊、隱藏入侵痕跡等步驟，其真正的核心是發(fā)現(xiàn)和利用各種漏洞。無(wú)論是系統(tǒng)的、軟件的、人為產(chǎn)生的，其原理各不相同，利用的辦法也千差萬(wàn)別，但黑客的攻擊伎倆看上去也可能千姿百態(tài)、層出不窮，其本質(zhì)和核心是不變的。

4園區(qū)網(wǎng)主動(dòng)防御的對(duì)策

面對(duì)日益嚴(yán)峻的平安形式，主動(dòng)防御開(kāi)始發(fā)揮越來(lái)越重要的作用?？疾炷壳八芯W(wǎng)絡(luò)系統(tǒng)的關(guān)鍵資源，可以發(fā)現(xiàn)最關(guān)鍵的資源實(shí)際上就是駐留在客戶(hù)端或效勞器上的數(shù)據(jù)。如果我們對(duì)這些數(shù)據(jù)進(jìn)行了強(qiáng)制性的防護(hù)，對(duì)其操作系統(tǒng)的使用進(jìn)行嚴(yán)格的限制，對(duì)超級(jí)用戶(hù)管理者進(jìn)行一定的控制，就可以到達(dá)主動(dòng)防御的目的。主動(dòng)防御的對(duì)策主要分為：漏洞補(bǔ)丁管理和系統(tǒng)發(fā)布技術(shù)、網(wǎng)絡(luò)隔離技術(shù)、陷阱技術(shù)與取證技術(shù)的使用、超級(jí)用戶(hù)權(quán)力的限制等。

4.1漏洞補(bǔ)丁管理和系統(tǒng)發(fā)布技術(shù)

近年來(lái)，病毒借用黑客攻擊的技術(shù)給網(wǎng)絡(luò)帶來(lái)嚴(yán)重的后果，如CodeRed、Blaster等都無(wú)一例外地使校園網(wǎng)，甚至是整個(gè)Internet陷于癱瘓狀態(tài)。補(bǔ)丁程序就是這類(lèi)問(wèn)題的唯一基本解決計(jì)劃。但各類(lèi)補(bǔ)丁程序數(shù)量多、規(guī)模巨大，組建漏洞補(bǔ)丁管理和發(fā)布應(yīng)用系統(tǒng)成為當(dāng)務(wù)之急。一個(gè)園區(qū)網(wǎng)沒(méi)有補(bǔ)丁效勞器是不夠完整的。目前園區(qū)網(wǎng)內(nèi)多以Windows系列為主，而它的漏洞危害嚴(yán)重，微軟針對(duì)這一問(wèn)題，在其效勞器操作系統(tǒng)〔Windowsserver〕的企業(yè)版、完整版中提供了詳細(xì)的解決計(jì)劃，只要稍加學(xué)習(xí)就能很輕易的組建這類(lèi)效勞，而且不需要購(gòu)置額外的效勞設(shè)備。在園區(qū)網(wǎng)內(nèi)專(zhuān)門(mén)設(shè)置Windows系統(tǒng)漏洞補(bǔ)丁管理和發(fā)布系統(tǒng)，對(duì)園區(qū)內(nèi)的Windows系統(tǒng)進(jìn)行統(tǒng)一管理，從本地效勞器高低載更新補(bǔ)丁程序。其分析統(tǒng)計(jì)功能詳細(xì)地列出了每個(gè)受管理系統(tǒng)的補(bǔ)丁程序的更新?tīng)顩r，實(shí)用性很強(qiáng)。

4.2網(wǎng)絡(luò)隔離技術(shù)

網(wǎng)絡(luò)隔離技術(shù)的目標(biāo)是確保把有害的攻擊隔離，在保證可信任網(wǎng)內(nèi)部信息不外泄〔除專(zhuān)指〕的前提下，完成網(wǎng)間數(shù)據(jù)的平安交換。網(wǎng)絡(luò)隔離技術(shù)是在原有平安技術(shù)的根底上開(kāi)展起來(lái)的，它彌補(bǔ)了原有平安技術(shù)的缺乏，突出了自己的優(yōu)勢(shì)。

經(jīng)過(guò)多年的開(kāi)展，現(xiàn)在的隔離技術(shù)已經(jīng)開(kāi)展到第五代——平安通道隔離。此技術(shù)的實(shí)現(xiàn)是通過(guò)專(zhuān)用通信設(shè)備、專(zhuān)有平安協(xié)議、加密驗(yàn)證機(jī)制、應(yīng)用層數(shù)據(jù)提取和鑒別認(rèn)證技術(shù)等，并進(jìn)行不同平安級(jí)別網(wǎng)絡(luò)之間的數(shù)據(jù)交換，徹底阻斷了網(wǎng)間網(wǎng)的直接TCP/IP連接，同時(shí)對(duì)網(wǎng)間通信的雙方、內(nèi)容、過(guò)程施以嚴(yán)格的身份認(rèn)證、內(nèi)容過(guò)濾、平安審計(jì)等多種防護(hù)機(jī)制，從而保證了網(wǎng)間數(shù)據(jù)交換的平安、可控，杜絕了由于操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議自身漏洞帶來(lái)的風(fēng)險(xiǎn)。

4.3陷阱技術(shù)與取證技術(shù)的使用

1)蜜罐〔Honeypot〕

蜜罐技術(shù)是陷阱技術(shù)的一種。它的原理是設(shè)置一個(gè)包含漏洞的誘騙系統(tǒng)，通過(guò)模擬一個(gè)或多個(gè)易受攻擊的主機(jī)，給攻擊者提供一個(gè)容易攻擊的目標(biāo)。蜜罐的作用是為外界提供虛假的效勞，拖延攻擊者對(duì)真正目標(biāo)的攻擊，讓攻擊者在蜜罐上浪費(fèi)時(shí)間，從而到達(dá)預(yù)警和愛(ài)護(hù)真正目標(biāo)的目的。

2)蜜網(wǎng)(Honeynet)

蜜網(wǎng)技術(shù)是最為馳名的公開(kāi)蜜罐工程，它是一個(gè)專(zhuān)門(mén)設(shè)計(jì)用來(lái)讓入侵者“攻陷〞的網(wǎng)絡(luò)，主要用來(lái)分析入侵者的一切信息、使用的工具、策略及目的等，它包含設(shè)計(jì)好的網(wǎng)絡(luò)系統(tǒng)。一個(gè)典型的蜜網(wǎng)有多臺(tái)蜜罐和防火墻來(lái)限制與記錄網(wǎng)絡(luò)通信流。

密網(wǎng)與傳統(tǒng)意義上的密罐是不同的。密網(wǎng)是一個(gè)網(wǎng)絡(luò)系統(tǒng)，而并非某臺(tái)單一主機(jī)。該網(wǎng)絡(luò)系統(tǒng)隱藏在防火墻內(nèi)，對(duì)所有進(jìn)出的資料進(jìn)行監(jiān)控、捕獲及控制。這些被捕獲的資料用于分析黑客團(tuán)體使用的工具、辦法及動(dòng)機(jī)等。

在蜜網(wǎng)中，需要相當(dāng)多的硬件。一種解決方法是使用虛擬設(shè)備，在單臺(tái)設(shè)備上運(yùn)行多個(gè)虛擬操作系統(tǒng)，如Solaris、Linux等，甚至把防火墻技術(shù)設(shè)置在這臺(tái)機(jī)器上，這樣建立的網(wǎng)絡(luò)更加真實(shí)可信。另外，通過(guò)在蜜罐主機(jī)之前放置帶有防火墻功能的網(wǎng)橋可以大大增加蜜網(wǎng)的平安性。

3)靜態(tài)取證技術(shù)

它是在已經(jīng)遭受入侵的情況下，運(yùn)用各種技術(shù)伎倆進(jìn)行分析取證工作?，F(xiàn)在普遍采用的正是這種靜態(tài)取證辦法，當(dāng)入侵后對(duì)數(shù)據(jù)進(jìn)行確認(rèn)、提取、分析、抽取出有效證據(jù)等。目前已有專(zhuān)門(mén)用于靜態(tài)取證的工具，如GuidanceSoftware的Encase，它運(yùn)行時(shí)能建立一個(gè)獨(dú)立的硬盤(pán)鏡像，而它的FastBloc工具那么能從物理層組織操作系統(tǒng)向硬盤(pán)寫(xiě)數(shù)據(jù)。

4)動(dòng)態(tài)取證技術(shù)

它是將取證技術(shù)內(nèi)嵌在防火墻、入侵檢測(cè)以及蜜罐技術(shù)中，對(duì)所有可能的犯罪行為進(jìn)行實(shí)時(shí)數(shù)據(jù)獲取和分析，智能分析入侵者的企圖，采取措施切斷鏈接或誘敵深入。在確保系統(tǒng)平安的情況下獲取大量的證據(jù)，并將證據(jù)鑒定、保留、提交。

動(dòng)態(tài)取證技術(shù)能記錄系統(tǒng)工作，尤其是黑客入侵的全過(guò)程，截取入侵工具，對(duì)黑客入侵方式進(jìn)行技術(shù)分析。通過(guò)分析和研究，牽制和轉(zhuǎn)移黑客的攻擊，從而取得最新的攻擊技術(shù)資料，提出防御攻擊的辦法。目前的動(dòng)態(tài)取證產(chǎn)品國(guó)外開(kāi)發(fā)研制的較多，如TNI的TheCoroner，sToolkit(TCT)等。

4.4超級(jí)用戶(hù)的限制策略

如果一個(gè)入侵者通過(guò)種種途徑獲得了超級(jí)用戶(hù)口令，則他可能希望用這個(gè)賬戶(hù)和密碼對(duì)效勞器上的數(shù)據(jù)進(jìn)行刪除和篡改，這時(shí)我們的數(shù)據(jù)已經(jīng)處于失竊的邊緣。通過(guò)分析，即使是再利害的黑客都有一些條件不可能滿(mǎn)足，如訪(fǎng)問(wèn)時(shí)間、訪(fǎng)問(wèn)地點(diǎn)等。如果我們事先利用主動(dòng)防備制度，制定超級(jí)用戶(hù)的限制策略：訪(fǎng)問(wèn)專(zhuān)機(jī)、時(shí)間以及發(fā)起訪(fǎng)問(wèn)的應(yīng)用程序等幾方面的登陸才能真正具