網絡間諜案調查中，有關部門從政府某部門的內部電腦網絡發行了非法外聯的情況，并在許多內部電腦中檢測出了不少特制的木馬程序，檢測結果表明，所有入侵木馬的連接都指向境外的特定間諜機構。 

案例 

某政府網絡包括涉密網、內部網（業務網）、外部網（公開網站等）三個部分。其中，政務內網、外網承載著財政、審計等功能。總的節點有數千臺，院內網段有40 多個。而涉密網中存儲著政務中的各種機要文件，如全省的核心經濟數據、省重要干部信息、中央下發的涉密工作文件等。 

出于安全的考慮，該政務網絡中的涉密網與政務內、外網進行了物理隔離。兩個網絡的數據不能相互通信。而涉密網也與因特網隔離，保證了涉密數據不外泄。 

然而在日常工作中，涉密網中的的某個職員想在因特網上進行數據查詢，考慮到去政務外網中查詢不太方便，該職員就在涉密網終端上通過連接政務外網網線的方式，訪問了因特網。該職員在因特網上瀏覽網頁時，訪問了某個論壇，而這個論壇正好被黑客攻擊了，網頁上被掛了利用“網頁木馬生成器”打包進去的灰鴿子變種病毒。黑客利用“自動下載程序技術”，讓該職員在未察覺的情況下被種植了木馬。 

“灰鴿子”是反彈型木馬，能繞過天網等大多數防火墻的攔截，中木馬后，一旦中毒的電腦連接到Internet，遠程攻擊者就可以完全控制中馬后的電腦，可以輕易地復制、刪除、上傳、下載被控電腦上的文件。機密文件在該涉密網職員毫不知情的情況下被竊取，最終造成了重大泄密事件。

隨著政府上網工程的不斷開展，我國計算機及網絡泄密案件也在逐年增加。據報道，在上年的一起網絡間諜案調查中，有關部門從政府某部門的內部電腦網絡發行了非法外聯的情況，并在許多內部電腦中檢測出了不少特制的木馬程序，檢測結果表明，所有入侵木馬的連接都指向境外的特定間諜機構。專業部門進行檢測時，測出的木馬很多還正在下載、外傳資料，專業人員當即采取措施，制止了進一步的危害。 

非法外聯的威脅 

現在，一些安全性較高的內部網絡（如政府部門、軍事部門的網絡）常常與外部網絡（如Internet）實施物理隔離，以確保其網絡的安全性。物理隔離確保了外部網絡和內部網絡之間不存在任何可能的物理鏈路，因此這種安全手段對付外部攻擊是十分高效的。但是，假如這樣的網絡中有某個主機通過撥號或其他形式私自接入外部網絡，這種物理隔離就會被破壞。黑客極可能通過該主機進入內部網絡，進而通過嗅探、破解密碼等方式對內部的關鍵信息或敏感數據進行收集，或以該主機為“跳板”對內部網絡的其他主機進行攻擊。 

一直以來，安全防御理念局限在常規的網關級別（ 防火墻等）、網絡邊界（ 漏洞掃描、安全審計、防病毒、IDS） 等方面的防御，重要的安全設施大致集中于機房、網絡入口處，在這些設備的嚴密監控下，來自網絡外部的安全威脅大大減小。于是，來自網絡內部的安全威脅成了多數網絡管理人員真正需要面對的問題。 

在實施物理隔離的工作中，工作量最大的部分來自客戶端的安全管理部分，對網絡的正常運轉威脅最大的也同樣是客戶端安全管理。我們知道，內網的客戶端構成了內網90％以上的組成，當之無愧地成為內網安全的重中之重。實踐證明，單純的物理隔離手段還不足以完全將內部網絡與外部網絡隔離開來，對內網客戶端機器使用、管理還存在眾多安全隱患，特別是非法外聯的隱患。 

“非法外聯”主要表現為內網客戶端機器內外網線交叉錯接；內網客戶端機器使用撥號、無線網卡、雙網卡等方式接入外網；方便攜帶的筆記本電腦按入內部網絡使用，事后又接入外部網絡使用。這些人為故意或無意的疏忽，在內網與外網間開出了新的連接通道，外部的黑客攻擊或者病毒就能夠繞過內、外網之間的防護屏障，順利侵入非法外聯的計算機，盜竊內網的敏感信息和機密數據，甚至利用該機作為跳板，攻擊、傳染內網的重要服務器，導致整個內網工作癱瘓。 

木馬入侵靜悄悄 

內部終端非法外聯到外部網絡后，常碰到各種安全威脅，如病毒、木馬、非授權訪問、數據竊聽、暴力破解等。其中木馬是目前威脅比較廣、威脅后果比較嚴重、常導致涉密信息泄漏的一種威脅。 

木馬具有高度的隱蔽性，入侵后用戶毫無察覺，這也給黑客盜取用戶私人信息提供了“有利”條件。黑客往往通過郵件、IM工具以及網頁掛馬等方式將木馬植入用戶電腦，進而獲得用戶電腦的控制權，對用戶電腦內的私人信息為所欲為。 

調查表明，木馬入侵的重要的途徑是涉密網絡終端不遵守保密管理辦法，例如非法接入到外部網絡，移動介質和非移動介質混用等情況，境外間諜部門專門設計了各種各樣的木馬，并且搜集了我國大量保密單位工作人員的個人網址或在許多站點網頁掛馬，只要這些人當中有非法連接到互聯網，擺渡木馬就有可能悄悄植入內部網絡終端，立刻感染內網，把保密資料傳輸到攻擊者指定地方，從而實現保密信息的竊取。 

可以看出，在保密內網的安全建設中，非法外聯和木馬攻擊是兩大突出問題，需要在安全措施上提供完成全面的應對手段。 

安全需求分析 

泄密事件是由一系列事件構成的，包括內網非法外聯、木馬通過外部網絡進入內部網絡、木馬感染主機、泄密、發現泄密事件等階段。要防止泄密事件的發生，就要阻斷木馬傳播、主動預防、檢測和清除木馬，形成一個縱深的防御體系。 

1對邊界防護的需求 

木馬都是由外部網絡傳入內部網絡的，必須在邊界處進行有效的控制，防止惡意行為的發生，實現拒敵于國門之外。針對邊界防護，需要考慮加強防護的方面有： 

1）內網和外網間的邊界防護 

在條件允許的情況下，實現保密內網與外網的物理隔離，從而將攻擊者、攻擊途徑徹底隔斷。即使在部分單位，內網、外網有交換數據的需求，也必須部署安全隔離和信息交換系統，從而實現單向信息交換，即只允許外網數據傳輸到內網，禁止內網信息流出到外網。 

2）對核心內部服務器的邊界防護 

內網中常包括核心服務器群、內網終端兩大部分，核心服務器保存著大部分保密信息。為避免內網終端非法外聯、竊密者非法獲取核心服務器上的保密數據，就要實現核心服務器與內網終端間的邊界防護。感染木馬時，核心服務器的邊界安全網關能夠阻止終端的越權訪問，并檢查是否含有木馬，然后進行清除。 

但在實現網關的封堵、查殺木馬的同時，要防止對系統帶寬資源的嚴重損耗。 

3）防止不安全的在線非法外聯 

內網與外網的連接點必須做到可管、可控，必須有效監控內網是否存在違規撥號行為、無線上網行為、搭線上網行為，避免內用戶采取私自撥號等方式的訪問互聯網而造成的安全風險。 

4）防止離線非法外聯或不安全的接入行為 

要限制終端設備，如PC機、筆記本，直接接入并訪問內網區域，對于不符合安全條件的設備（比如沒有安裝防病毒軟件，操作系統沒有及時升級補丁，沒有獲得合法分配的IP地址或離線外聯過），則必須禁止進入。 

2對主機安全的需求 

內網終端非法外聯后木馬入侵的目的都是最終的主機。主機的防護必須全面、及時。 

1）木馬病毒的查殺和檢測能力的需求 

由于內部網絡中的計算機數量很多，要確保網絡中所有計算機都安裝防木馬軟件，并實施實施統一的防木馬策略。防木馬軟件至少應能掃描內存、驅動器、目錄、文件和Lotus Notes數據庫和郵件系統；具備良好的檢測和清除能力；支持網絡遠程自動安裝功能和自動升級功能。 

2）系統自身安全防護的需求 

木馬在主機中的隱藏、執行和攻擊最后都是體現在操作系統層面。要確保操作系統及時升級，防止漏洞被木馬和病毒利用。在及時升級操作系統的基礎上，要實時對計算機進程、訪問端口的進行監控，以及時發現異常與木馬；同時要有注冊表防護手段，保障木馬不能修改系統信息，從而使木馬不能隱藏與自動運行。 

3）移動存儲介質控制的需求 

木馬傳播重要一個渠道是移動存儲介質。主機系統要在移動介質接入系統時立即截獲該事件，然后根據策略或者拒絕接入，或者立即對移動介質進行掃描，以阻斷移動介質病毒的自動運行與傳播。 

4）安全審計的需求 

系統的日志記錄了系統的工作情況，也反應了工作人員的操作行為。審計關鍵主機的訪問行為，可判斷內部人員是否有違規的行為；同時，還可以實時發現木馬的行蹤，并找出深層次的安全威脅。 

3對安全管理的需求 

為防止泄密事件的發生，除了加強安全技術的管控外，也要加強安全管理。首先，要引入第三方安全服務，定期查看關鍵計算機設備的狀態，以發現與解決計算機中的木馬；其次，要建立應急響應機制，使得在泄密事件發生后，能及時定位與隔離涉及的主機，使安全事件能夠追查到責任人。 

邊界防護的措施對應措施設計 

如何滿足這些安全需求？下面是對應的措施。 

1 邊界防護的措施 

1）防火墻技術 

防火墻是實現內網終端與內網核心服務器隔離的基本手段。防火墻通常位于不同網絡或網絡安全域間的唯一連接處，根據組織的業務特點、管理制度所制定的安全策略，運用包過濾、代理網關、NAT轉換、IP+MAC地址綁定等技術，實現對出入核心服務器網絡的信息流進行全面的控制（允許通過、拒絕通過、過程監測），控制類別包括IP地址、TCP/UDP端口、協議、服務、連接狀態等網絡信息的各個方面，從而實現對不良網站的封堵。 

但是，傳統單一的防火墻無法有效對抗更隱蔽的攻擊行為，如欺騙攻擊、木馬攻擊等，因此，有必要在這些邊界采取防護能力更強的技術。 

2）防病毒網關技術 

隨著網絡的飛速發展，單機版的防病毒軟件面臨著集中管理、智能更新等多方面的問題，無法對木馬、蠕蟲、郵件性病毒進行全網整體的防護，已經不能滿足復雜應用環境，所以，構建整體病毒防護體系已成為必然。 

完整的防毒體系包括： 

網關級防病毒――部署在網絡入口處，對木馬、病毒、蠕蟲和垃圾郵件進行有效過濾； 

服務器防病毒――服務器為資源共享和信息交換提供了便利條件，但同時也給病毒的傳播和擴散以可乘之機； 

桌面級防病毒――在客戶端安裝，將病毒在本地清除而不至于擴散到其他主機或服務器； 

病毒管理中心――能實現防病毒軟件的集中管理和分發、病毒庫分發、病毒事件集中審計等。 

在不與外網連接的內部保密網中，可將防病毒網關部署在核心服務器區和終端區之間，通過網關把病毒拒于核心服務器區網絡之外。 

在與外網連接的內部保密網中，可將防病毒網關部署在外網和內網連接邊界中之間，通過網關把病毒拒于內部保密網絡之外。這要求網關防毒產品部署簡便、能承受防病毒網關的數據流量、能檢測并清除病毒。 

3）終端防護系統 

為了防止不安全的在線非法外聯、離線非法外聯或不安全的接入行為，必須把終端防護系統與其它網關防護技術結合起來。 

通過終端防護系統的統一策略配置的主機防火墻和主機IDS，能實現對桌面系統的網絡安全檢測和防護，當IDS檢測到威脅后，能與主機防火墻進行聯動，自動阻斷外部攻擊行為。 

通過終端防護系統，可對桌面系統的遠程撥號行為、無線上網行為、搭線上網行為進行控制，發現存在違規外聯的主機，給出報警，通過防火墻切斷該主機與網絡的連接，避免導致內網遭到更大的破壞。 

通過終端防護系統的安全狀態檢測策略，可監測進入內網的終端設備，對于不符合安全條件的設備，可不允許其接入內網。 

4）網閘技術 

在安全性要求很高，但又有內部網絡和外網數據交換的情況下，必須采取網閘技術，以實現內網和外網的單向安全隔離和數據交換。 

2 主機安全的防護 

1）桌面木馬與病毒查殺技術 

在一個整體病毒防護方案中，桌面級防病毒是重要的支點。對木馬的防范，除了通常的桌面防病毒產品外，還有一些專門的木馬查殺產品，象瑞星卡卡、360安全衛士等。桌面查殺產品擁有查殺流行木馬、清理惡評及系統插件、管理應用軟件、系統實時保護，修復系統漏洞等數個強勁功能，同時還提供系統全面診斷，彈出插件免疫，清理使用痕跡以及系統還原等特定輔助功能，并且提供對系統的全面診斷報告，方便用戶及時定位問題所在，為用戶提供全方位的系統桌面保護。 

2）終端防護技術 

終端管理系統是對局域網內部的網絡行為進行全面監管，檢測并保障桌面系統的安全產品。系統一般共分四大模塊：桌面行為監管、桌面系統監管、系統資源管理，通過統一定制、下發安全策略并強制執行的機制，實現對局域網內部桌面系統的管理和維護，能有效保障桌面系統及機密數據的安全。 

終端管理系統自動檢測桌面系統的安全狀態，能針對桌面系統的補丁自動檢測、下發和安裝，修復存在的安全漏洞，防止漏洞被木馬和病毒利用。 

終端管理系統監管桌面行為，對桌面系統上撥號行為、打印行為、外存使用行為、文件操作行為的監控，通過策略定制限制主機是否允許使用外存設備，確保機密數據的安全，避免了內部保密數據的泄漏。 

終端管理系統桌面監管系統，解決了難以及時、準確掌控桌面系統基礎信息的問題，規范了客戶端操作行為，提高了桌面系統的安全等級。 

通過系統監管模塊管理員能夠遠程查看桌面系統當前的詳細信息，包括：已安裝軟件、已安裝硬件、進程、端口、CPU、磁盤、內存等，及時發現異常。 

終端管理系統為管理員提供了Agent管理、IP管理等功能，能對網絡內的Agent進行有效管理，避免IP地址混亂、非法接入、木馬運行等情況。 

終端管理系統在對收集的事件進行詳盡的分析和統計的基礎上，支持豐富的報表功能，實現了分析結果的可視化。為幫助網絡管理員對網絡中的情況進行深度挖掘分析，系統提供了多種報表模板，支持管理員從不同方面進行網絡事件和用戶行為的可視化分析，滿足了安全審計的需求。 

3 安全管理 

1）安全審計系統 

安全審計既是發現安全問題的重要手段，也是管理內部人員行為的威懾手段。如果不計劃部署安全管理平臺，就一定要安裝安全審計系統。推薦通過引入集中日志審計的技術手段，對網絡運行日志、操作系統運行日志、數據庫訪問日志、業務應用系統運行日志、安全設施運行日志等進行統一的安全審計，及時自動分析系統安全事件，實現系統安全運行管理。 

2）安全管理平臺系統 

在內部部署了防病毒等一系列安全設備后，可以在一定程度上提高安全防御水平，降低發生泄密事件的概率。但同時也要加強安全管理，引入安全管理平臺。 

信息安全管理平臺，能實時對網絡設備、服務器、安全設備、數據庫、中間件、應用系統的安全狀況進行統一監控、采集安全事件和日志信息、進行整合和關聯分析、評估安全風險、審計用戶行為、產生安全事故和告警、生成安全報告并及時進行應急響應，確保相關系統的業務持續運行，協助管理人員排除安全隱患和安全故障，同時為相關部門的信息安全審計和考核提供技術手段和依據，實現全網的安全集中監控、審計和應急響應，全面提升保密內網的信息安全保障能力。 

對于內網泄密事件而言，安全管理平臺可以對關鍵主機的訪問行為進行記錄，一方面形成威懾，另一方面方便事后取證；安全管理平臺還可以找出系統內感染木馬病毒的機器。 

3）定期巡檢服務 

定期巡檢服務是一種第三方安全服務，可以定期查看并發現系統的安全漏洞，檢測關鍵計算機設備的狀態，發現并定位計算機中已經感染的木馬，防止木馬的泄密等破壞行為發生。