■ 山西 陈俊祺

编者按： 一般在小型单位中，其IT系统较为简单，加之单位自身客观条件限制，安全措施往往并不到位，因此，应随时加强自身网络安全建设，以防范网络威胁的发生。

网管值班人员在例行的机房常规检查中，发现两台业务服务器的关键服务异常关闭，经过仔细检查确认该服务器被非法用户远程控制，不仅停了关键服务，破坏中间件，还从数据库中删除了部分关键数据。针对这一情况，网管部门立即召开紧急会议明确应急措施，经过一上午努力，系统恢复正常访问，但丢失的数据直到一周后才恢复正常。综合此次故障中的种种现象（数据库数据被非法删除、关键服务被中止和中间件部分文件丢失），大家一致认为：被黑客攻击的可能性极大，但是由于技术设备的限制，未能有效地阻止黑客的攻击，且缺乏事后相关日志的数据分析，难以拿出科学的证据。

事后，网管部门对这次事件进行了反思，发现这次事故的出现并不是偶然的，是因为我们先前对网络安全重视不到位，网络安全措施存在一定的缺陷。

之后，针对这些不足和缺陷，我们及时采取了多方面的安全措施，来保障业务应用系统的安全稳定运行。

加强入侵防御检测措施

这是网络安全防护的常规措施，强化配置入侵防御系统(IPS)，加强网络边界的安全防护，对入侵活动和攻击性网络异常行为进行预先判断并主动拦截，避免其造成损失。

加强防火墙的配置与应用

在这次事件中，我们发现现有的硬件防火墙并没有发挥到很好的防御效果，没有将威胁防御在防火墙外。

经过与防火墙厂商的沟通，对防火墙做了以下两点措施：将现有的防火墙系统版本升级，以便抵御最新的攻击和入侵。对防火墙制定了更严格的策略和设置，将原来忽略的一些安全问题都进行了严格控制。

加强木马检测，严格控制移动存储设备的使用

这次事件中，服务器被入侵，防火墙没有起到很好的防御效果，很可能是在内部局域网中植入了木马，而黑客也很可能通过木马进入了服务器，对服务器进行了破坏活动。

经过认真分析，服务器通过网络中木马的可能性不大，因为服务器只是作为提供应用服务的设备，并不主动去连接网络。那么另外一种可能就是通过移动存储人为地感染了木马。

为了避免再次出现类似的情况，我们制定了相关安全制度：要求单位内部所有电脑、服务器都安装相关的“机关网络终端安全管理系统”，可以查杀病毒木马。严格控制个人移动存储设备直接与服务器相连来传输数据，如果服务器确实有数据需要更新，相关的移动设备也必须进过扫描并确认没有感染病毒和木马后，才可以与服务器相连。

构筑安全的服务器环境

在构建安全网络环境的同时，还必须构筑安全的服务器环境，这是服务器安全的最后一道屏障。

针对服务器采取了以下几个措施：制定操作系统升级策略，确保操作系统及时打上最新补丁，不留任何系统漏洞；给系统装了防病毒、防木马安全软件，确保出现问题及时查杀，关闭系统所有无关的服务和端口，避免黑客利用这类服务和端口对服务器进行攻击；对部署在服务器上的中间件和其他应用程序也定期升级，修复系统漏洞，排除各种隐患。

加强准入措施

加强单位使用计算机的控制，严格控制外来计算机接入内网。本单位的计算机强制安装了“机关网络终端安全管理系统客户端”强制性身份认证系统，否则内网不能访问。

这样就解决了非法用户入网的问题。辅之以入网计算机与楼层交换机端口固定、VLAN固定、IP固定等手段，确认核实用户身份。新入网计算机必须到网管部门办理相关手续，在计算机上安装“机关网络终端安全管理客户端”，在网管人员确认后，在“机关网络终端安全管理系统”服务器端启用该设备，方能激活入网。这样不仅方便管理及溯源，而且解决了长期以来入网资产不清的问题，强化了网管部门“管”的力度。

通过以上措施，有效加强了单位的网络安全，保障了服务器的稳定运行。在部署完以上所有措施后的一段时间内，服务器运行正常，并没有再遭到攻击，达到了预期效果。