论文部分内容阅读
摘 要 从远程控制技术应用原理入手,分析网络木马病毒运行机制特点,结合县级气象信息网络安全隐患现状,提出相应措施加以防范。
关键词 远程控制 木马病毒 网络安全
远程控制技术,始于DOS时代,随着信息网络的高度发展,自由穿透的远程操作及控制技术越来越引起人们的关注,具有广泛的发展空间和应用空间。笔者曾运用远程控制软件技术(当然亦可用Windows自带的远程协助功能)实现单位管理层共享大院探测环境录像监控资源,其实现过程的应用原理自然而然地让人想起可以严重影响信息网络安全的木马病毒。
一、远程控制与木马病毒技术
远程控制软件可以为我们的网络管理做很多工作,以保证网络和计算机操作系统的安全。这类程序的监听功能,也是为了保证网络的安全而设计的。为了达到远程控制的目的,就必须将这些软件隐蔽起来,例如远程控制程序本身附着在某些Windows程序上,以增强驻留系统的可靠性。然而,正是由于这种功能,才使远程控制变得可怕起来,也使远程控制软件、病毒和木马程序之间的区别变得越来越模糊。
(一)远程控制软件技术原理。
远程控制必须通过网络才能进行,需要良好的硬件支持和关键的远程控制软件协助来实现,支持LAN、WAN、拨号方式、互联网方式。有的还支持通过串口、并口、红外端口;一般使用NETBEUI、NETBIOS、IPX/SPX、TCP/IP等協议。随着网络技术的发展,目前很多远程控制软件提供通过Web页面以Java技术来控制远程电脑,实现不同操作系统下的远程控制。
远程控制软件一般分两个部分:一部分是客户端(或叫主控端)程序Client,另一部分是服务器端(或叫被控端)程序Server,在使用前需要将客户端程序安装到主控端电脑上,将服务器端程序安装到被控端电脑上(应先知晓或设置好进入被控端电脑用户账户、密码)。它的控制的过程一般是先在主控端电脑上执行客户端程序,建立一个特殊的远程服务,然后通过这个远程服务,使用各种远程控制功能发送远程控制命令,控制被控端电脑中的各种应用程序运行。远程控制软件控制方式基于远程服务,为控制和被控制双方提供隧道。通过远程控制软件,我们可以进行很多方面的远程控制。
(二)木马病毒技术原理、特征。
1.木马。木马就是远程控制软件的一种,也称为后门软件,以实现远程控制被控端达到窃取密码、文件操作、修改注册表、系统操作等为目的。利用操作系统的漏洞或者使用者的疏忽来进入系统并在远程控制下从系统内部攻击系统。木马亦属于客户/服务模式,分两大部分,即客户端和服务端。其原理是一台主机提供服务(服务器),另一台主机接受服务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求。在木马进行配置木马→传播木马→运行木马→信息泄露→建立连接→远程控制的网络入侵过程中,传播木马是重要的一步。
木马传播方式一是由控制端通过E-MAIL方式将木马程序以附件形式从邮件中发出,收信人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马则自动安装。
木马伪装方式有:修改图标、捆绑文件、出错显示、定制端口、自我销毁、木马更名等方式。其隐藏方式方法如下:任务栏里隐藏(在Visual Basic中,把form的Viseble属性设置为False,ShowInTaskBar设为False)、任务管理器里隐藏(将木马设为“系统服务”)、端口隐藏(使用1024到49151的注册端口及49152到65535的动态和/或私有端口,极少用公认端口0~1023,且呈越来越大的趋势,可提供端口修改功能的木马更不易被发现)、加载方式隐藏、木马名字的隐藏、最新隐身技术[修改虚拟设备驱动程序(vxd)或修改动态链接库(DLL),变原有木马监听端口模式为替代系统功能的方法]。
从木马进行网络入侵的过程看,木马具有隐藏性、自动运行性、网络通讯、欺骗性特征。一个成功的木马程序必须具备这四个特征,缺一不可。因此,我们可以利用其中的任何一个特征来防范木马的入侵。一旦阻止了木马的上述特征中的某一环的实现,就可以成功阻止木马的入侵。
从木马网络入侵的特征中亦可以看出:木马与远程控制软件的最大区别就是木马具有隐蔽性而远程控制软件没有。
2.计算机病毒。计算机病毒是能够通过某种途径潜伏在计算机存储介质里,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一种程序或指令集合。计算机病毒一般具有以下几个特征:破坏性,凡是由软件手段能触及到计算机资源的地方均可能受到计算机病毒破坏;隐蔽性,病毒程序大多夹在正常程序中,难以被发现;潜伏性,病毒入侵后,一般不立即活动,需要等一段时间,条件成熟后再作用;传染性,通过修改别的程序,并把自身的拷贝包括进去,从而达到扩散的目的。
从计算机病毒的定义及其特征中可以看出,木马程序与病毒最基本的区别就在于病毒有很强的传染性,而木马程序没有。
3.木马病毒。随着病毒技术的发展,计算机病毒也在向木马程序靠近,使病毒具有远程控制的功能。木马病毒,顾名思义,就是木马与病毒技术的结合体,一种伪装潜伏的网络病毒,等待时机成熟,一经触发即可威胁到数据、系统、网络安全。通过电子邮件附件发出、捆绑在其他的程序中是其传染方式;修改注册表、驻留内存、在系统中安装后门程序、开机加载附带木马是其特性;而木马病毒的破坏性则表现在:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。
远程控制软件与木马病毒都具有远程控制的功能,前者为方便网络维护与管理、给我们的气象工作带来便利的同时,木马病毒程序却作为少数害群之马入侵网络的工具,盗取重要信息,从中获取利益,破坏被攻击的计算机中的信息等,肆意威胁信息网络的安全与稳定。只有熟悉远程控制与木马病毒的运行机制原理特征,才能使有益的技术为我所用,而对网络安全则应防患于未然。
二、县级气象网络安全隐患现状
随着我省气象业务技术体制改革的纵深发展,省、市、县气象信息网络互联、气象业务现代化、办公自动化程度加快,更多的业务与办公平台依托Internet。俗语说,千里之堤,溃于蚁穴,做好技术水平相对薄弱的县级气象网络安全工作更具重要意义。目前县级气象网络安全易受恶意远程控制、木马病毒入侵进而遭致破坏的现状隐患主要表现在以下几点:
(一)网络安全管理松散,造成外来存储介质随意使用、外来人员随意上网;上不正当网站,随意利用Internet网络上传、下载软件、图片、视频文件,安装使用聊天与游戏软件、插件等,不及时清理上网信息;人为修改系统设置与破坏系统文件,随意共享文件(夹)与硬盘等,直接为恶意远程控制、木马病毒的传播、种植、感染提供便利,从而开启网络安全的大门。
(二)县级气象局域网外电脑设置入网,直接或间接泄露本局网络结构(含拓扑结构、组网技术、硬件技术重要参数、IP地址、网络帐号与密码);
(三)用户帐户管理混乱,密码保护不严密;网络密码过于简单,使用期限长;
(四)敞开不必要服务端口,打开不必要的网络协议;
(五)系统IP存在被盗用或泄露的安全隐患;
(六)任由系统漏洞存在,杀毒软件及防火墙不及时升级;
(七)盲目使用系统优化软件;
(八)数据备份不及时。
三、结合县级气象信息网络安全隐患提出防范措施
(一)从工作、管理制度入手。
建立健全气象信息网络安全工作、管理制度,从行为上约束外来存储介质使用、外来人员上网、上不正当网站,做到及时清理上网信息,严禁安装使用与气象业务无关的聊天与游戏等其它软件、人为修改系统设置与破坏系统文件、随意共享文件(夹)与硬盘、严禁局内人员泄露网络结构或局外计算机入网等。从源头上杜绝或减少发生恶意远程控制端隐性配置、木马的传播与病毒感染的可能性。
(二)技术防范措施。
1.重命名和禁用默认的帐户,使用复杂的密码。刚安装好Windows的系统会自动建立两个账户:Administrator(拥有最高权限)和Guest,这样的账户设置若有黑客或者遭遇其他恶意破坏可严重危害系统的安全。应在安全模式下把Administrator账户的名称改掉,然后建立一个几乎没有任何权限的假Administrator账户,用以迷惑入侵者。
创建强密码(帐户、软件、登陆网站等)的要领是:①密码要足够长,忌使用全部或部分登录名;②包括大小写字母、数字和符号,忌使用任何语言中的实际词;③第六位必须至少有一个符号字符,忌使用数字代替类似的字母来构成单词;④至少使用四个不同的字符,忌使用连续字母或数字;⑤使用随机数和字母,忌使用键盘中的邻近键。密码的管理应注意三项:秘密;不在网上使用“记住我的密码”功能;至少每六个月更改一次密码。
2.为系统漏洞打上补丁,及时升级应用软件。快速的系统、软件升级周期,会造成问题系统、软件的出现,出现操作系统和应用程序存在新的攻击漏洞而留下隐患。开启系统自动更新,或从update.microsoft.com网站,或利用瑞星的杀毒、防火墙和上网助手中的系统漏洞扫描下载安装。及时升级气象业务等软件至最新版本。
3.关闭气象业务用机系统不必要的端口(服务)、协议,终止非法进程。
网络技术中逻辑端口(一般是指TCP/IP或UDP协议中的端口,下同)即服务,一个服务对应一个或多个端口,一个系统开了哪些端口,就可确定提供了哪些服务。一台机器由65536个端口,一般用户不会注意而木马就很注意目标计算机的端口。在xp系统中,有90多个服务,默认开启了30多个服务,而事实上只需要其中几个就够用了。
(1)关闭不必要的端口(服务)。可利用“netstat -a -n”命令查看端口连接状态;利用专用软件、防火墙配置IP规则、系统控制面板上 “管理工具”中的“本地安全策略”“服务”板块均可实现开启与关闭端口。
为了提高气象信息网络中系统的安全性,应该封闭这些端口,主要有:TCP 135、139、445、593、1025端口和 UDP 123、135、137、138、445、1900等端口,一些流行病毒的后门端口如 TCP 2513、2745、3127、6129端口等,以及远程服务访问端口3389。前面提到,木马病毒使用的端口号呈越来越大的趋势,在系统无特别要求情况下,可参照详细地有关“端口-服务”分配表把大部分注册端口和私有端口一并关闭掉;宜设置为“禁用”或根据需要设为“手动”的服务有:Alerter 、ClipBook 、clipbook、Human Interface Device Access、Indexing Service、Messenger、Network DDE、Network DDE DSDM、NetMeeting Remote Desktop Sharing、Protected Storage、Remote Desktop Help Session Manager、Remote Procedure Call Locator (“恢复”设置皆为“不操作”)、Routing and Remote Access、security Accounts Manager、Shell Hardware Detection、Server、SSDP Discover Service、Telnet、TCP/IP NetBIOS Helper、Terminal Services。
(2)关闭不必要的协议。对于服务器和主机来说,一般只安装TCP/IP协议就够了。如NETBIOS协议是为实现共享而开的,有很多安全缺陷的根源,可根据需要对其进行关闭。在上面提到的关闭137、138、139、445端口即可实现其关闭,也可在“本地连接”的“属性”的“常规”中选择后“卸载”。
(3)终止非法进程。进程需要依靠服务才能运行,分系统进程和用户进程。病毒和木马可以以用户进程的形式出现或获得SYSTEM权限伪装成系统进程出现。可利用瑞星防火墙的相关功能或调用“任务管理器”进行查看进程;也可通过系统的“管理工具”里面的“服务”查看目前的全部进程。一旦发现可疑的名字需要马上禁止此进程的运行。
终止非法进程的两种方法:一是先查看这个进程文件所在的路径和名称。重启系统,按F8键进入安全模式,然后在安全模式下删除这个程序;二是彻底删除木马、病毒程序进程可以用下面的办法:打开注册表编辑器,展开分支“HKEY_LOCAL_MACHINE//SYSTEM//Current//Control SetServices”,在右侧窗格中显示的就是本机安装的服务项,如果要删除某项服务,只要删除注册表中相关键值即可。
(4)为共享资源设置访问密码、权限并隐藏共享。文件和打印等共享应该是一个非常有用的功能,但它也是引发黑客入侵的安全漏洞。没有必要“文件和打印共享”时,应将其关闭。即便确实需要共享,也应该为共享资源设置访问密码,设置权限并隐藏。
隐藏共享:用鼠标右击要隐藏的共享文件夹(或硬盘),点中“共享”标签项,在共享名中填入共享文件夹的名称,然后在后面加上美元符“$”,如“共享文件夾$”,再填入密码。访问时,必须在地址栏中输入“\计算机名称(或者是IP地址)\共享文件夹$”,再回车填入密码确认,才能访问。若再在注册表编辑器中依次打开“HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\Network\LanMan\共享文件夹$”,将DWORD值“Flags”的键值由“192”改为“302”,重启。就是在本机的资源浏览器中也无法看出该文件夹被共享了。
(5)局域网内互访设限三关(必要时反向设置即可)。禁止建立空连接:操作系统默认利用ipc$通道可以建立空连接,因此我们必须禁止建立空连接。操作:首先运行regedit,找[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous(DWORD)的键值改为:00000001;管理工具--本地安全策略--安全选项--帐户:使用空白密码的本地帐户只允许进行控制台登录。系统默认值是:已启用,改为“已停用”;控制面板--防火墙--例外--文件和打印机共享。利用系统默认:不选。
(6)针对系统IP地址安全的解决方案。对“IP地址盗用”的解决,应在业务用机中绑定交换机网关的IP地址和MAC地址、或在交换机上绑定用户主机的IP地址和网卡的MAC地址;泄露系统IP地址,攻击者可以向这个IP发动各种进攻,可设置采取使用代理服务器IP的方法隐藏本机真实IP地址。
(7)防火墙及杀毒软件的配置(以瑞星为例)
防火墙配置:主要是访问规则的配置。“规则设置”配置前应明确:“黑名单”和“白名单”中都设置了同一IP地址,“黑名单”优先;同样的条件下,“拒绝”优先于“允许”; 操作性越高(方便),安全性越低;“IP规则”主要是让用户能够手动设定以下综合条件的规则:规则名称、地址、协议、报警方式等,“访问规则”是简单地针对某个程序是否允许访问网络而已。“访问规则”优先于“IP规则”;“端口开关”适合在某些特定情况下,简单地开关本地与远程的端口。
主要配置:①如前面为提高系统安全而提到需关闭的具有潜在危险的木马、远程控制端口、流行病毒的后门端口等均可以配置入“IP规则”,设“规则匹配成功后的动作”为“禁止”;②根据需要利用“端口开关”配置来实现特定情况功能;③ARP欺骗防御:根据本机IP与MAC地址、路由器地址进行设置;④实现系统登录前启动防火墙及避免他人对防火墙进行错误的设置:从设置-详细设置-选项-高级,默认设置并勾选“设置管理员帐户密码”设定。
杀毒软件的配置:瑞星杀毒2008版的设置含:“详细设置”、“监控设置”、“防御设置”。涉及到的安全级别均设为默认级别(“防御设置”除外)。
①“详细设置”配置:有手动与快捷方式查杀、定制任务、嵌入式查杀、其它设置等项目设置。
②“监控设置”配置:文件、邮件、网页监控设置。
发现病毒处理、查杀方式同上。
③“防御设置”配置:主要是“系统加固”配置
选择自定义级别,在默认级别设置基础上做如下配置:
“系统动作监控”勾选“挂全局钩子”,触发规则选“提示”;
“注册表监控”中的“文件关联”勾选“INI/文件默认打开方式”和“INI文件关联”,触发动作:提示;“系统配置”中勾选“浏览器辅助对象”、“引导执行”,触发动作:拒绝;“IE配置”中的内容全部选中,触发动作:拒绝;
“关键进程保护”中的“系统进程保护”勾选“EXPLORER*.EXE”,触发动作:提示;
“系统文件保护”中的“系统关键目录”前4项脚本全部选择,触发动作:提示;“系统文件”勾选“用户策略脚本文件”和计算机组策略脚本文件”,触发动作:拒绝,勾选“SYSTEM.INI文件”和“WIN.INI文件” 触发动作:提示。
(8)利用GHOST恢复、备份功能:因误操作等因素使业务系统异常或崩溃时,利用GHOST恢复系统省时省力。为保证系统的完善、安全性,备份系统应注意:①备份前必须先杀毒及清除木马程序;②整理目标盘,清除垃圾文件、程序;③为系统打好最新漏洞补丁,升级各大应用软件系统等至最新版本;④镜像文件制作完毕后应利用“Check”功能对制作好的镜像文件进行正确、完整性检查;⑤在新安装了软件和硬件后,最好重新制作映像文件。
四、结语
本文简要地从远程控制软件技术应用原理入手,概述了木马病毒机制特点及远程控制与木马病毒的异同点,结合县级气象信息网络安全隱患,提出从气象信息网络工作与管理制度、网络安全技术措施两方面进行防范,以提高县级气象信息网络运转安全系数,最大限度地为建立在以INTERNET为依托平台的各轨道业务的正常运行保驾护航。
参考文献:
[1]王达编.计算机网络远程控制[M].清华大学出版社,2003.
[2]张友生,米安然著.计算机病毒与木马程序剖析[M].北京科海电子出版社,2003.
[3]张千里,陈光英.网络安全新技术[M].人民邮电出版社,2003. (编辑 王立建)
关键词 远程控制 木马病毒 网络安全
远程控制技术,始于DOS时代,随着信息网络的高度发展,自由穿透的远程操作及控制技术越来越引起人们的关注,具有广泛的发展空间和应用空间。笔者曾运用远程控制软件技术(当然亦可用Windows自带的远程协助功能)实现单位管理层共享大院探测环境录像监控资源,其实现过程的应用原理自然而然地让人想起可以严重影响信息网络安全的木马病毒。
一、远程控制与木马病毒技术
远程控制软件可以为我们的网络管理做很多工作,以保证网络和计算机操作系统的安全。这类程序的监听功能,也是为了保证网络的安全而设计的。为了达到远程控制的目的,就必须将这些软件隐蔽起来,例如远程控制程序本身附着在某些Windows程序上,以增强驻留系统的可靠性。然而,正是由于这种功能,才使远程控制变得可怕起来,也使远程控制软件、病毒和木马程序之间的区别变得越来越模糊。
(一)远程控制软件技术原理。
远程控制必须通过网络才能进行,需要良好的硬件支持和关键的远程控制软件协助来实现,支持LAN、WAN、拨号方式、互联网方式。有的还支持通过串口、并口、红外端口;一般使用NETBEUI、NETBIOS、IPX/SPX、TCP/IP等協议。随着网络技术的发展,目前很多远程控制软件提供通过Web页面以Java技术来控制远程电脑,实现不同操作系统下的远程控制。
远程控制软件一般分两个部分:一部分是客户端(或叫主控端)程序Client,另一部分是服务器端(或叫被控端)程序Server,在使用前需要将客户端程序安装到主控端电脑上,将服务器端程序安装到被控端电脑上(应先知晓或设置好进入被控端电脑用户账户、密码)。它的控制的过程一般是先在主控端电脑上执行客户端程序,建立一个特殊的远程服务,然后通过这个远程服务,使用各种远程控制功能发送远程控制命令,控制被控端电脑中的各种应用程序运行。远程控制软件控制方式基于远程服务,为控制和被控制双方提供隧道。通过远程控制软件,我们可以进行很多方面的远程控制。
(二)木马病毒技术原理、特征。
1.木马。木马就是远程控制软件的一种,也称为后门软件,以实现远程控制被控端达到窃取密码、文件操作、修改注册表、系统操作等为目的。利用操作系统的漏洞或者使用者的疏忽来进入系统并在远程控制下从系统内部攻击系统。木马亦属于客户/服务模式,分两大部分,即客户端和服务端。其原理是一台主机提供服务(服务器),另一台主机接受服务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求。在木马进行配置木马→传播木马→运行木马→信息泄露→建立连接→远程控制的网络入侵过程中,传播木马是重要的一步。
木马传播方式一是由控制端通过E-MAIL方式将木马程序以附件形式从邮件中发出,收信人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马则自动安装。
木马伪装方式有:修改图标、捆绑文件、出错显示、定制端口、自我销毁、木马更名等方式。其隐藏方式方法如下:任务栏里隐藏(在Visual Basic中,把form的Viseble属性设置为False,ShowInTaskBar设为False)、任务管理器里隐藏(将木马设为“系统服务”)、端口隐藏(使用1024到49151的注册端口及49152到65535的动态和/或私有端口,极少用公认端口0~1023,且呈越来越大的趋势,可提供端口修改功能的木马更不易被发现)、加载方式隐藏、木马名字的隐藏、最新隐身技术[修改虚拟设备驱动程序(vxd)或修改动态链接库(DLL),变原有木马监听端口模式为替代系统功能的方法]。
从木马进行网络入侵的过程看,木马具有隐藏性、自动运行性、网络通讯、欺骗性特征。一个成功的木马程序必须具备这四个特征,缺一不可。因此,我们可以利用其中的任何一个特征来防范木马的入侵。一旦阻止了木马的上述特征中的某一环的实现,就可以成功阻止木马的入侵。
从木马网络入侵的特征中亦可以看出:木马与远程控制软件的最大区别就是木马具有隐蔽性而远程控制软件没有。
2.计算机病毒。计算机病毒是能够通过某种途径潜伏在计算机存储介质里,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一种程序或指令集合。计算机病毒一般具有以下几个特征:破坏性,凡是由软件手段能触及到计算机资源的地方均可能受到计算机病毒破坏;隐蔽性,病毒程序大多夹在正常程序中,难以被发现;潜伏性,病毒入侵后,一般不立即活动,需要等一段时间,条件成熟后再作用;传染性,通过修改别的程序,并把自身的拷贝包括进去,从而达到扩散的目的。
从计算机病毒的定义及其特征中可以看出,木马程序与病毒最基本的区别就在于病毒有很强的传染性,而木马程序没有。
3.木马病毒。随着病毒技术的发展,计算机病毒也在向木马程序靠近,使病毒具有远程控制的功能。木马病毒,顾名思义,就是木马与病毒技术的结合体,一种伪装潜伏的网络病毒,等待时机成熟,一经触发即可威胁到数据、系统、网络安全。通过电子邮件附件发出、捆绑在其他的程序中是其传染方式;修改注册表、驻留内存、在系统中安装后门程序、开机加载附带木马是其特性;而木马病毒的破坏性则表现在:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。
远程控制软件与木马病毒都具有远程控制的功能,前者为方便网络维护与管理、给我们的气象工作带来便利的同时,木马病毒程序却作为少数害群之马入侵网络的工具,盗取重要信息,从中获取利益,破坏被攻击的计算机中的信息等,肆意威胁信息网络的安全与稳定。只有熟悉远程控制与木马病毒的运行机制原理特征,才能使有益的技术为我所用,而对网络安全则应防患于未然。
二、县级气象网络安全隐患现状
随着我省气象业务技术体制改革的纵深发展,省、市、县气象信息网络互联、气象业务现代化、办公自动化程度加快,更多的业务与办公平台依托Internet。俗语说,千里之堤,溃于蚁穴,做好技术水平相对薄弱的县级气象网络安全工作更具重要意义。目前县级气象网络安全易受恶意远程控制、木马病毒入侵进而遭致破坏的现状隐患主要表现在以下几点:
(一)网络安全管理松散,造成外来存储介质随意使用、外来人员随意上网;上不正当网站,随意利用Internet网络上传、下载软件、图片、视频文件,安装使用聊天与游戏软件、插件等,不及时清理上网信息;人为修改系统设置与破坏系统文件,随意共享文件(夹)与硬盘等,直接为恶意远程控制、木马病毒的传播、种植、感染提供便利,从而开启网络安全的大门。
(二)县级气象局域网外电脑设置入网,直接或间接泄露本局网络结构(含拓扑结构、组网技术、硬件技术重要参数、IP地址、网络帐号与密码);
(三)用户帐户管理混乱,密码保护不严密;网络密码过于简单,使用期限长;
(四)敞开不必要服务端口,打开不必要的网络协议;
(五)系统IP存在被盗用或泄露的安全隐患;
(六)任由系统漏洞存在,杀毒软件及防火墙不及时升级;
(七)盲目使用系统优化软件;
(八)数据备份不及时。
三、结合县级气象信息网络安全隐患提出防范措施
(一)从工作、管理制度入手。
建立健全气象信息网络安全工作、管理制度,从行为上约束外来存储介质使用、外来人员上网、上不正当网站,做到及时清理上网信息,严禁安装使用与气象业务无关的聊天与游戏等其它软件、人为修改系统设置与破坏系统文件、随意共享文件(夹)与硬盘、严禁局内人员泄露网络结构或局外计算机入网等。从源头上杜绝或减少发生恶意远程控制端隐性配置、木马的传播与病毒感染的可能性。
(二)技术防范措施。
1.重命名和禁用默认的帐户,使用复杂的密码。刚安装好Windows的系统会自动建立两个账户:Administrator(拥有最高权限)和Guest,这样的账户设置若有黑客或者遭遇其他恶意破坏可严重危害系统的安全。应在安全模式下把Administrator账户的名称改掉,然后建立一个几乎没有任何权限的假Administrator账户,用以迷惑入侵者。
创建强密码(帐户、软件、登陆网站等)的要领是:①密码要足够长,忌使用全部或部分登录名;②包括大小写字母、数字和符号,忌使用任何语言中的实际词;③第六位必须至少有一个符号字符,忌使用数字代替类似的字母来构成单词;④至少使用四个不同的字符,忌使用连续字母或数字;⑤使用随机数和字母,忌使用键盘中的邻近键。密码的管理应注意三项:秘密;不在网上使用“记住我的密码”功能;至少每六个月更改一次密码。
2.为系统漏洞打上补丁,及时升级应用软件。快速的系统、软件升级周期,会造成问题系统、软件的出现,出现操作系统和应用程序存在新的攻击漏洞而留下隐患。开启系统自动更新,或从update.microsoft.com网站,或利用瑞星的杀毒、防火墙和上网助手中的系统漏洞扫描下载安装。及时升级气象业务等软件至最新版本。
3.关闭气象业务用机系统不必要的端口(服务)、协议,终止非法进程。
网络技术中逻辑端口(一般是指TCP/IP或UDP协议中的端口,下同)即服务,一个服务对应一个或多个端口,一个系统开了哪些端口,就可确定提供了哪些服务。一台机器由65536个端口,一般用户不会注意而木马就很注意目标计算机的端口。在xp系统中,有90多个服务,默认开启了30多个服务,而事实上只需要其中几个就够用了。
(1)关闭不必要的端口(服务)。可利用“netstat -a -n”命令查看端口连接状态;利用专用软件、防火墙配置IP规则、系统控制面板上 “管理工具”中的“本地安全策略”“服务”板块均可实现开启与关闭端口。
为了提高气象信息网络中系统的安全性,应该封闭这些端口,主要有:TCP 135、139、445、593、1025端口和 UDP 123、135、137、138、445、1900等端口,一些流行病毒的后门端口如 TCP 2513、2745、3127、6129端口等,以及远程服务访问端口3389。前面提到,木马病毒使用的端口号呈越来越大的趋势,在系统无特别要求情况下,可参照详细地有关“端口-服务”分配表把大部分注册端口和私有端口一并关闭掉;宜设置为“禁用”或根据需要设为“手动”的服务有:Alerter 、ClipBook 、clipbook、Human Interface Device Access、Indexing Service、Messenger、Network DDE、Network DDE DSDM、NetMeeting Remote Desktop Sharing、Protected Storage、Remote Desktop Help Session Manager、Remote Procedure Call Locator (“恢复”设置皆为“不操作”)、Routing and Remote Access、security Accounts Manager、Shell Hardware Detection、Server、SSDP Discover Service、Telnet、TCP/IP NetBIOS Helper、Terminal Services。
(2)关闭不必要的协议。对于服务器和主机来说,一般只安装TCP/IP协议就够了。如NETBIOS协议是为实现共享而开的,有很多安全缺陷的根源,可根据需要对其进行关闭。在上面提到的关闭137、138、139、445端口即可实现其关闭,也可在“本地连接”的“属性”的“常规”中选择后“卸载”。
(3)终止非法进程。进程需要依靠服务才能运行,分系统进程和用户进程。病毒和木马可以以用户进程的形式出现或获得SYSTEM权限伪装成系统进程出现。可利用瑞星防火墙的相关功能或调用“任务管理器”进行查看进程;也可通过系统的“管理工具”里面的“服务”查看目前的全部进程。一旦发现可疑的名字需要马上禁止此进程的运行。
终止非法进程的两种方法:一是先查看这个进程文件所在的路径和名称。重启系统,按F8键进入安全模式,然后在安全模式下删除这个程序;二是彻底删除木马、病毒程序进程可以用下面的办法:打开注册表编辑器,展开分支“HKEY_LOCAL_MACHINE//SYSTEM//Current//Control SetServices”,在右侧窗格中显示的就是本机安装的服务项,如果要删除某项服务,只要删除注册表中相关键值即可。
(4)为共享资源设置访问密码、权限并隐藏共享。文件和打印等共享应该是一个非常有用的功能,但它也是引发黑客入侵的安全漏洞。没有必要“文件和打印共享”时,应将其关闭。即便确实需要共享,也应该为共享资源设置访问密码,设置权限并隐藏。
隐藏共享:用鼠标右击要隐藏的共享文件夹(或硬盘),点中“共享”标签项,在共享名中填入共享文件夹的名称,然后在后面加上美元符“$”,如“共享文件夾$”,再填入密码。访问时,必须在地址栏中输入“\计算机名称(或者是IP地址)\共享文件夹$”,再回车填入密码确认,才能访问。若再在注册表编辑器中依次打开“HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\Network\LanMan\共享文件夹$”,将DWORD值“Flags”的键值由“192”改为“302”,重启。就是在本机的资源浏览器中也无法看出该文件夹被共享了。
(5)局域网内互访设限三关(必要时反向设置即可)。禁止建立空连接:操作系统默认利用ipc$通道可以建立空连接,因此我们必须禁止建立空连接。操作:首先运行regedit,找[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous(DWORD)的键值改为:00000001;管理工具--本地安全策略--安全选项--帐户:使用空白密码的本地帐户只允许进行控制台登录。系统默认值是:已启用,改为“已停用”;控制面板--防火墙--例外--文件和打印机共享。利用系统默认:不选。
(6)针对系统IP地址安全的解决方案。对“IP地址盗用”的解决,应在业务用机中绑定交换机网关的IP地址和MAC地址、或在交换机上绑定用户主机的IP地址和网卡的MAC地址;泄露系统IP地址,攻击者可以向这个IP发动各种进攻,可设置采取使用代理服务器IP的方法隐藏本机真实IP地址。
(7)防火墙及杀毒软件的配置(以瑞星为例)
防火墙配置:主要是访问规则的配置。“规则设置”配置前应明确:“黑名单”和“白名单”中都设置了同一IP地址,“黑名单”优先;同样的条件下,“拒绝”优先于“允许”; 操作性越高(方便),安全性越低;“IP规则”主要是让用户能够手动设定以下综合条件的规则:规则名称、地址、协议、报警方式等,“访问规则”是简单地针对某个程序是否允许访问网络而已。“访问规则”优先于“IP规则”;“端口开关”适合在某些特定情况下,简单地开关本地与远程的端口。
主要配置:①如前面为提高系统安全而提到需关闭的具有潜在危险的木马、远程控制端口、流行病毒的后门端口等均可以配置入“IP规则”,设“规则匹配成功后的动作”为“禁止”;②根据需要利用“端口开关”配置来实现特定情况功能;③ARP欺骗防御:根据本机IP与MAC地址、路由器地址进行设置;④实现系统登录前启动防火墙及避免他人对防火墙进行错误的设置:从设置-详细设置-选项-高级,默认设置并勾选“设置管理员帐户密码”设定。
杀毒软件的配置:瑞星杀毒2008版的设置含:“详细设置”、“监控设置”、“防御设置”。涉及到的安全级别均设为默认级别(“防御设置”除外)。
①“详细设置”配置:有手动与快捷方式查杀、定制任务、嵌入式查杀、其它设置等项目设置。
②“监控设置”配置:文件、邮件、网页监控设置。
发现病毒处理、查杀方式同上。
③“防御设置”配置:主要是“系统加固”配置
选择自定义级别,在默认级别设置基础上做如下配置:
“系统动作监控”勾选“挂全局钩子”,触发规则选“提示”;
“注册表监控”中的“文件关联”勾选“INI/文件默认打开方式”和“INI文件关联”,触发动作:提示;“系统配置”中勾选“浏览器辅助对象”、“引导执行”,触发动作:拒绝;“IE配置”中的内容全部选中,触发动作:拒绝;
“关键进程保护”中的“系统进程保护”勾选“EXPLORER*.EXE”,触发动作:提示;
“系统文件保护”中的“系统关键目录”前4项脚本全部选择,触发动作:提示;“系统文件”勾选“用户策略脚本文件”和计算机组策略脚本文件”,触发动作:拒绝,勾选“SYSTEM.INI文件”和“WIN.INI文件” 触发动作:提示。
(8)利用GHOST恢复、备份功能:因误操作等因素使业务系统异常或崩溃时,利用GHOST恢复系统省时省力。为保证系统的完善、安全性,备份系统应注意:①备份前必须先杀毒及清除木马程序;②整理目标盘,清除垃圾文件、程序;③为系统打好最新漏洞补丁,升级各大应用软件系统等至最新版本;④镜像文件制作完毕后应利用“Check”功能对制作好的镜像文件进行正确、完整性检查;⑤在新安装了软件和硬件后,最好重新制作映像文件。
四、结语
本文简要地从远程控制软件技术应用原理入手,概述了木马病毒机制特点及远程控制与木马病毒的异同点,结合县级气象信息网络安全隱患,提出从气象信息网络工作与管理制度、网络安全技术措施两方面进行防范,以提高县级气象信息网络运转安全系数,最大限度地为建立在以INTERNET为依托平台的各轨道业务的正常运行保驾护航。
参考文献:
[1]王达编.计算机网络远程控制[M].清华大学出版社,2003.
[2]张友生,米安然著.计算机病毒与木马程序剖析[M].北京科海电子出版社,2003.
[3]张千里,陈光英.网络安全新技术[M].人民邮电出版社,2003. (编辑 王立建)