互聯網的蓬勃發展，帶動了政府電子政務建設，各部門、各系統都推進網上辦公，以提高工作效率，更好地為公眾提供服務;由于互聯網存在諸多安全隱患，近期政府內部無意識泄密事件日漸增多，大多由于木馬防控不嚴、外設U盤使用不當、非法外聯造成的，內網的安全管理成了政府網絡管理人員的難解之題;本文力圖從辦公電腦和網絡出口兩方面入手，給大家提供構建木馬防控體系的思路，杜絕無意識泄密事件，建設安全的內網使用環境。

安全事件現象

以下兩起案例，是近期發生的真實泄密事件，都屬于典型的由木馬病毒造成的無意識泄密事件。

小劉是某機關一名干部，平時好學上進，表現突出，被組織上定為政工干部培養苗子。2006年經組織推薦，小劉被送政工班培訓。去學習前，小劉特意將自己平時在機關撰寫的計劃、總結等涉密資料存入U盤，準備在學習期間進行學術交流。學習期間，小劉多次上網查閱資料，并用該U盤下載參考資料。在此過程中，“輪渡”木馬病毒自動駐存于U盤中，將小劉存儲的涉密資料悉數“盜”入國際互聯網。事后查明，小劉泄密的資料達32份，他因此受到降職、降銜的嚴肅處理。

董教授，是某大學知名教授，平時工作兢兢業業，經常加班加點在家備課。由于需要查閱資料，他家中的電腦接入了國際互聯網。董教授白天在辦公室辦公電腦上工作，晚上在家用個人電腦工作，經常用U盤將未完成的工作內容在兩個電腦間相互拷貝。自2005年以來，董教授辦公電腦內的二百多份文件資料竟鬼使神差般地“跑”進了互聯網，造成重大泄密。經上級保密委員會審查鑒定，涉密文件資料達三十多份，董教授受到降職降銜、降職稱的嚴肅處理。

由于在日常工作中，部分公職人員想在因特網上進行數據查詢，貪圖方便，該職員使用U盤在兩個不同的電腦間拷貝文件，或者就在涉密網終端上通過撥號、無線上網等的方式，訪問了因特網。該職員在瀏覽網頁時，訪問了某個網站，而這個網站正好被黑客攻擊了，網頁被掛馬。木馬利用“自動下載技術”，讓該職員在未察覺的情況下潛入了用戶電腦、移動硬盤、U盤。

引發的危害

目前，隨著新技術的發展，移動存儲介質的種類日趨多樣，軟盤、U盤、移動硬盤、MP3、MP4、數碼相機、記憶棒等在工作中的應用十分廣泛，移動存儲設備在為我們的工作帶來便利的同時，也帶來了不容忽視的信息安全保密隱患，大大增加了保密管理的難度。特別是U盤，越來越多地出現在我們的工作中。由于其便于攜帶、方便存取，不少人用它私自下載和保存涉密文件，非法拷貝現象難以控制;還有的人將工作U盤帶回家中，甚至帶著涉密的U盤逛街、訪友，一旦丟失，損失巨大。除了這些泄密隱患外，U盤一旦被植入病毒，特別是木馬病毒后，如果接入涉密計算機，我們的涉密文件就會在不知不覺中被別有用心者竊取。

工作秘密的泄露會使政府機關工作遭受損失，帶來不必要的被動;國家秘密的泄露會使國家的安全和利益遭到嚴重損害;而泄密者受到降職、降銜的嚴肅處理，上文中提到的小劉和董教授由于安全意識薄弱，或單位技術保障不到位，多年政績毀于一旦，實在是可惜之至。亡羊補牢，新時代里是悔之晚矣!!!

據CNCERT/CC監測報告： 2009年4月1日至30日，CNCERT/CC對當前流行的木馬程序的活動狀況進行了抽樣監測，發現我國大陸地區18,855個IP地址對應的主機被其他國家或地區通過木馬程序秘密控制，比上月的18,738個增長0.62%，其分布最多的地區分別為浙江省(9.40%)、北京市(9.05%)和廣東省(8.71%)。境外控制者來自6,400個IP地址，主要來自美國和我國臺灣，安全形勢還是極為嚴峻的。

產生的原理

特洛伊木馬，英文叫做“Trojan horse”，原指古希臘士兵藏在木馬內進入敵方城市從而占領敵方城市的故事。古希臘傳說，特洛伊王子帕里斯訪問希臘，誘走了王后海倫，希臘人因此遠征特洛伊。圍攻9年后，到第10年，希臘將領奧德修斯獻了一計，就是把一批勇士埋伏在一匹巨大的木馬腹內，放在城外后，佯作退兵。特洛伊人以為敵兵已退，就把木馬作為戰利品搬入城中。到了夜間，埋伏在木馬中的勇士跳出來，打開了城門，希臘將士一擁而入攻下了城池。后來，人們在寫文章時就常用“特洛伊木馬”這一典故，用來比喻在敵方營壘里埋下伏兵里應外合的活動。在Internet上，“木馬”指一類小的應用軟件，這個軟件表面上是一個郵件的附件、一個游戲、一張圖片，但其中包含了對使用者造成危害的功能，如：控制用戶的計算機系統，泄密，竊取網銀或游戲帳號，有可能造成用戶的系統被破壞甚至癱瘓。

一般的木馬程序都包括客戶端和服務端兩個程序，其中客戶端是用于攻擊者遠程控制植入木馬的機器，服務器端程序即是木馬程序;攻擊者要做的第一步是要把木馬的服務器端程序植入到你的電腦里面。

目前木馬入侵的主要途徑有郵件附件、下載軟件、網頁掛馬、U盤自動執行、msn或QQ文件傳送等，然后通過一定的提示故意誤導用戶打開執行文件，比如某天你在上網時，突然msn彈出個窗口，有個朋友給你發了條短消息“KAN WO DE ZHAOPIAN ”(看我的照片)，并隨后發送一個zip壓縮文件包，如photo.rar請你接收;你以為是好友發過來的照片文件，一旦點擊就會中招，木馬已經悄悄在你的后臺運行，之后向你的msn好友列表大肆濫發消息傳播，中毒的機器還會在你的電腦上留有后門，可供黑客遠程控制。一般的木馬執行文件非常小，大部分都是幾K到幾十K，如果把木馬捆綁到其他正常文件上，你很難發現，所以，有一些網站提供的軟件下載往往是捆綁了木馬文件的，你執行這些下載的文件，也同時運行了木馬。國家計算機病毒應急處理中心近來通過對互聯網監測發現，很多計算機用戶受到一些惡意木馬程序的威脅。目前，惡意木馬程序有以下幾個特點：(1)惡意木馬會利用系統漏洞或第三方軟件漏洞進行傳播感染，(2)惡意木馬傳播途徑大部分會采用網頁掛馬的形式，(3)惡意木馬具有很強的隱蔽性和破壞力。

木馬具有多種特性，典型的有：隱蔽性、自動運行性、自動恢復功能、能自動打開特別的端口、包含具有未公開并且可能產生危險后果的功能的程序等。

典型的“輪渡”木馬，其程序的特征就是：在移動U盤內駐存隱藏文件AutoRun.Inf和sys.exe，當該移動U盤接入A電腦時，病毒程序自動運行，將A電腦內的涉密文檔下載并打包保存在隱藏文件中，當該移動U盤插入B電腦時，就會將從A電腦中下載的文件傳入到B電腦。這樣，如果是移動U盤在內網中使用，就有可能造成加密文擋在內網不同電腦間的傳播;如果將移動U盤插入外網電腦，加密文襠就可能通過互聯網，被竊密者遠程下載。

構建木馬控免體系

綠盟科技根據用戶的安全需求及當前的安全形勢，建議在政府內部辦公網構建木馬控免體系，如下圖所示，從辦公電腦和網絡出口兩方面入手，在辦公電腦上安裝內網安全管理系統代理，在網絡出口部署安全網關，在木馬傳播過程中可能的關鍵點上，進行有效防護和控制;

(1) 首先確保辦公電腦安全，對受控的內網辦公電腦進行基線安全檢查，對不滿足基線安全要求的辦公電腦通過內網安全管理系統和補丁系統、殺毒軟件聯動，主動進行補丁更新、病毒庫升級，防止辦公電腦自身存在安全漏洞被木馬、病毒利用;利用內網安全管理系統的主機入侵保護、主機防火墻、防ARP木馬欺騙等功能保護政府辦公電腦，防止木馬入侵及木馬傳播等;近來網頁掛馬愈演愈烈，內網安全管理系統的網頁防掛馬可以防止用戶在用IE瀏覽網頁時系統被悄無聲息地注入木馬。

(2) 對辦公電腦應用系統的防護也是很重要的，通過軟件名稱關鍵字監控指定軟件的安裝使用行為，對非法安裝使用的軟件實時監控并告警;一旦發現木馬入侵運行即可及時通知管理員進行處理;利用內網安全管理系統中終端審計功能，包括文件、系統、日志三部分，系統一旦發現內部員工違規操作、越權訪問等行為，能及時報警;

(3) 控制U盤、移動硬盤、光驅等外設的使用，管理員可以對USB外設進行注冊授權認證，注冊認證過的USB外設才可以在內網使用，而加密的U盤則無法在別的電腦上打開，這樣能有效地管理控制USB外設濫用行為;在安全控制方面，系統能夠對存放于U盤或光盤上的Windows“自動播放”進行控制，防止autorun病毒木馬傳播與擴散。

(4) 利用內網安全管理系統中的非法外聯檢測功能，管理內網辦公電腦的modem、無線網卡使用，防止私自撥號上網，防止非法外聯泄密。

(5) 系統執行準入控制，設置準入的安全策略對接入設備進行驗證，保證認證通過的機器才能接入網絡，防止存在安全隱患或未經授權的機器接入內網，對第三方要求接入的設備都要進行木馬、病毒查殺。

(6) 網絡出口安全是最后的防線，通過在政府網絡出口及各委辦局接入網的網絡出口部署安全網關，能夠很好地控制不同網段的訪問，隔離互聯網，防范黑客的攻擊及木馬、蠕蟲等惡意軟件入侵;作為綠盟自主研發的兩個產品，內網安全管理系統和安全網關可以實現聯動，可以實現在網關出口限制未安裝代理軟件終端對外網連接，從而禁止非法終端通過網關出口泄露內網信息。

據綠盟科技客戶服務中心對用戶回訪報告顯示，安裝了內網安全管理系統和安全網關的客戶，內網安全得到大幅度的提升，可以有效應對目前常見的網頁掛馬、外設使用控制，杜絕了無意識泄密的情況;網絡系統運行平穩，內部辦公使用效率得以提高，用戶滿意度也有較大提升。

綜上所述，政府木馬控免解決方案從主機安全防護、應用軟件監控、外設訪問控制、非法外聯檢測、安全準入控制、出口安全防護等多個角度構建一套完整的木馬控免體系;通過技術手段保障內部網絡系統不受木馬侵擾，安全管理制度有效落實在行動上，可以有效斬斷木馬、病毒等惡意軟件的傳播，防止機密信息泄露。