发射台站网络安全工作的探索
2022-08-09河北广播电视台褚立强
■ 河北广播电视台:褚立强
1.网络安全涉及的基本概念
1.1 什么是木马?
木马是一种带有恶意性质的远程控制软件。木马一般分为客户端(client)和服务器端(server)。客户端就是本地使用的各种命令的控制台,服务器端则是要给别人运行,只有运行过服务器端的计算机才能够完全受控。木马不会像病毒那样去感染文件。
1.2 什么是防火墙?它是如何确保网络安全的?
使用防火墙(Firewall)是一种确保网络安全的方法。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。
1.3 什么是计算机病毒及其危害?
计算机病毒()是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。危害:破坏计算机数据信息;占用磁盘空间和对信息的破坏。
1.4 什么是恶意代码及其分类?
(1)恶意代码是一种程序,通常在人们无法察觉的情况下,把代码寄宿到另一段程序,从而达到破坏目标计算机的数据完全性和完整性的目的。
(2)恶意代码的分类
①木马:木马程序表面上没有任务异常,实际上隐含恶意企图。一些木马程序以覆盖系统文件的方式潜伏于系统,一些木马以正常软件的形式出现。木马类的恶意代码不容易被发现,因为它们通常披着“正常程序”的外衣。
②网络蠕虫:它是一种可以自我复制的完全独立的程序。网络蠕虫可以自动创建与其功能完全相同的副本,并在不需要人工干涉的情况下自动运行。它是利用系统中的安全漏洞和设置缺陷进行自动传播,通过局域网或者国际互联网从一个结点传播到另一个结点,因此速度非常快。
③移动代码:它通常是作为病毒蠕虫或木马的一部分被传送到目标计算机,窃取账户密码等非法系统资源。
④复合型病毒:通过多种方式传播,如E-mail、网络共享、WEB服务器等。
2.网络拓扑分析
我台网络拓扑图结构如下图所示,A部门和总部不在一起,办公电脑需要上内网,安防监控和发射机监控数据需要回传,所有数据经防火墙之后通过微波系统进行信号传输,所有办公电脑都非涉密。A部门和B部门的安防监控和发射机监控需要集中显示。所有办公电脑操作系统是win7和xp系统,IP与mac绑定,个别电脑上没有安装杀毒软件。
我们的数据可分为三类:发射机监控数据、安防监控数据、办公网数据,之前在汇聚交换机(2#)上并未做数据隔离,发射机监控软件的用户名和密码基本是常用、最简单的,非播出机房值班人员也可以通过自己电脑的网线或者监控探头的网线连接上电脑,来登录发射机监控软件,甚至互联网黑客可以很简单的控制我们本地的办公电脑进入我们的发射机监控系统,存在很大的安全隐患。后来2#交换机划分了VLAN,购置了防火墙,防火墙购买了病毒实时更新服务。
xp和win7系统微软官方都不再提供技术支持,但是在企事业单位这两者的使用比重非常的大,所以从网络安全的角度采取加固措施意义非常大。
3.按等保二级要求,我们应该做到的
3.1 物理环境要求
(1)网络设备物理位置选择:防震、防风、防水、防潮;(2)物理访问控制:电子门禁或人为身份鉴别登记;(3)防盗、防破坏;(4)防雷击、防火、防静电;(5)温湿度控制;(6)电力供应:配稳压器、过压保护、后备电源;(7)电源线和信号线隔离铺设、防干扰。
3.2 安全通信网络
(1)网络架构:①应划分不同的网络区域来分配地址;②重要的区域与其它网络区域采取可靠的技术隔离手段。
3.3 安全计算环境
3.3.1 身份鉴别
①应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息满足复杂度要求,并定期更换;②具有登录失败处理功能,限制非法登录次数,当登录连接超时自动退出。
③不需要远程登录管理的,关闭相关功能
3.3.2 访问控制
①第登录用户分配账户和权限
②应重命名或删除默认账户,修改默认账户的默认口令
③及时删除过期账户,避免共享账户
3.3.3 安全审计覆盖到每个用户
3.3.4 入侵防护
①遵循最小安装原则,仅安装需要的组件和应用程序
②关闭不需要的服务和端口,删除默认共享
③及时修补漏洞
3.3.5 恶意代码防护
安装防恶意代码软件或具有相当功能的软件,并定期升级。
3.3.6 数据的备份
3.4 安全管理中心
(1)系统管理
(2)审计管理
3.5 安全管理制度
应对安全管理活动的主要管理内容建立安全管理制度;
应对管理人员或操作人员执行的日常管理操作建立操作规程
3.6 安全管理机构
(1)岗位设置
应设立网络安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;
应设置系统管理员、审计管理员和安全管理员等岗位,并定义部门及各个工作岗位的职责。
(2)人员配备
应配备一定数量的系统管理员、审计管理员和安全管理员。
图一
3.7 安全建设管理
3.7.1 安全方案设计
①应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施;②应根据保护对象的安全保护等级进行安全方案的设计;③应组织相关部门和有关安全专家对安全方案的合理性和正确性进行论证和审定,经过批准后才能正式实施。
3.7.2 自行软件开发
①应对开发环境和实际运行的环境物理分开,测试数据和测试结果受到控制;②应有安全性检测;
3.7.3 外包软件开发
①应在软件交付前检测其可能存在的恶意代码;②保证开发单位提供软件设计文档和使用指南。
3.7.4 等级测评
①应定期进行等级测评,发现不符合相应等级保护标准要求的及时整改;②应在发生重大变更或级别发生变化时进行等级测评;③应确保测评机构的选择符合国家有关规定。
4.从技术层面的系统加固措施(以windows7操作系统为例)
安全防护加固包括三方面的内容,首先,要及时安装微软官方已经发布的针对系统漏洞的补丁,防止恶意攻击利用已知漏洞的攻击;其次,针对一些新出现的漏洞且没有官方补丁的情况,可以采用网络安全厂商提供的热补丁或虚拟补丁、系统加固方案等作为缓解措施,但热补丁或虚拟补丁的有效性建议由专业机构进行验证;同时这些补丁与用户业务系统的兼容性等需要用户根据自身的实际情况进行验证、修补;最后,可以利用系统本身的安全配置以及安装网络安全厂商提供的恶意代码防范软件,以达到安全加固的目的。
4.1 账户管理
(1)禁用账户。禁用或删除其他无用账户(建议先禁用账户三个月,待确认没有问题后删除。)
打开控制面板>管理工具>计算机管理,在系统工具>本地用户和组>用户中,双击帐户,在属性中选中帐户已禁用,单击确定。
(2)按照用户分配帐户
按照用户分配帐户。根据业务要求,设定不同的用户和用户组。例如,管理员用户,数据库用户,审计用户,来宾用户等。
打开控制面板>管理工具>计算机管理,在系统工具>本地用户和组中,根据
您的业务要求设定不同的用户和用户组,包括管理员用户、数据库用户、审计用户、来宾用户等。
(3)定期检查并删除与无关帐户
定期删除或锁定与设备运行、维护等与工作无关的帐户。
打开控制面板>管理工具>计算机管理,在系统工具>本地用户和组中,删除或锁定与设备运行、维护等与工作无关的帐户。
(4)不显示最后的用户名
配置登录登出后,不显示用户名称。
打开控制面板>管理工具>本地安全策略,在本地策略>安全选项中,双击交互式登录:不显示最后的用户名,选择已启用并单击确定。
4.2 认证授权
4.2.1 密码复杂度
密码复杂度要求必须满足以下策略:
最短密码长度要求八个字符。
启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的两种:
英语大写字母A,B,C,…Z
英语小写字母a,b,c,…z
西方阿拉伯数字0,1,2,…9
非字母数字字符,如标点符号,@,#,$,%,&,*等
打开控制面板>管理工具>本地安全策略,在帐户策略>密码策略中,确认密码必须符合复杂性要求策略已启用。
4.2.2 密码最长留存期
对于采用静态口令认证技术的设备,帐户口令的留存期不应长于90天。
打开控制面板>管理工具>本地安全策略,在帐户策略>密码策略中,配置密码最长使用期限不大于90天。
4.2.3 帐户锁定策略
对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过10次后,锁定该用户使用的帐户。
打开控制面板>管理工具>本地安全策略,在帐户策略>帐户锁定策略中,配置帐户锁定阈值不大于10次。
4.2.4 远程关机
在本地安全设置中,从远端系统强制关机权限只分配给组。
打开控制面板>管理工具>本地安全策略,在本地策略>用户权限分配中,配置从远端系统强制关机权限只分配给组。
4.2.5 本地关机
在本地安全设置中关闭系统权限只分配给组。
打开控制面板>管理工具>本地安全策略,在本地策略>用户权限分配中,配置关闭系统权限只分配给组。
4.2.6 用户权限指派
在本地安全设置中,取得文件或其它对象的所有权权限只分配给组。
打开控制面板>管理工具>本地安全策略,在本地策略>用户权限分配中,配置取得文件或其它对象的所有权权限只分配给组。
4.2.7 授权帐户登录
在本地安全设置中,配置指定授权用户允许本地登录此计算机。
打开控制面板>管理工具>本地安全策略,在本地策略>用户权限分配中,配置允许本地登录权限给指定授权用户。
4.2.8 授权帐户从网络访问
在本地安全设置中,只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务)此计算机。
打开控制面板>管理工具>本地安全策略,在本地策略>用户权限分配中,配置从网络访问此计算机权限设置为“组。
4.2.9 匿名远程连接
控制面板->管理工具->本地安全策略,在“本地策略->安全选项”,在右边窗格中找到“网络访问:可匿名访问的共享”、“网络访问:可匿名访问的命名管道”将其值设置为空。
4.2.10 禁止用户开机自动登陆
①开始->运行->键入
②修订注册表项:
,新建一个名称为,类型为,值为0的键值。如果存在则直接将键值改为0
4.2.11 防火墙配置
进入“控制面板->网络连接->本地连接”,在高级选项的设置中启用Windows防火墙,在“例外”中配置允许业务所需的程序接入网络。在“例外->编辑->更改范围”编辑允许接入的网络地址范围。
135 137 138 139 455端口要关闭,有共享不关445。
4.3 日志配置操作
4.3.1 审核登录
设备应配置日志功能,对用户登录进行记录。记录内容包括用户登录使用的帐户、登录是否成功、登录时间、以及远程登录时、及用户使用的IP地址。
打开控制面板>管理工具>本地安全策略,在本地策略>审核策略中,设置审核登录事件。
4.3.2 审核策略
启用本地安全策略中对系统的审核策略更改,成功和失败操作都需要审核。
打开控制面板>管理工具>本地安全策略,在本地策略>审核策略中,设置审核策略更改。
4.3.3 审核对象访问
启用本地安全策略中对Windows系统的审核对象访问,成功和失败操作都需要审核。
打开控制面板>管理工具>本地安全策略,在本地策略>审核策略中,设置审核对象访问。
4.3.4 审核事件目录服务访问
启用本地安全策略中对Windows系统的审核目录服务访问,仅需要审核失败操作。
打开控制面板>管理工具>本地安全策略,在本地策略>审核策略中,设置审核目录服务器访问。
4.3.5 审核特权使用
启用本地安全策略中对Windows系统的审核特权使用,成功和失败操作都需要审核。
打开控制面板>管理工具>本地安全策略,在本地策略>审核策略中,设置审核特权使用。
4.3.6 审核系统事件
启用本地安全策略中对Windows系统的审核系统事件,成功和失败操作都需要审核。
打开控制面板>管理工具>本地安全策略,在本地策略>审核策略中,设置审核系统事件。
4.3.7 审核帐户管理
启用本地安全策略中对Windows系统的审核帐户管理,成功和失败操作都要审核。
打开控制面板>管理工具>本地安全策略,在本地策略>审核策略中,设置审核帐户管理。
4.3.8 审核过程追踪
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:查看是否“审核过程追踪”设置为“失败”需要审核。
4.4 恶意代码的防范
恶意代码与传统的计算机病毒有许多相似的特征,因此在恶意代码防范方面,传统的反病毒技术依然可以发挥重要的作用,事实上许多杀毒软件直接将恶意代码当作普通病毒对待。
4.4.1 及时更新系统,修补安全漏洞
许多恶意代码的入侵和传播都是利用系统(操作系统和应用系统)的特定安全漏洞进行的。
4.4.2 设置安全策略,限制脚本程序的运行
通过网页浏览器传播的恶意代码,即利用J、、和等技术传播恶意代码的主要途径,是普通上网用户的主要安全隐患。但是该类恶意代码必须在浏览器允许脚本程序执行的条件下才可运行。因此只要设置适当的安全策略,限制相应脚本程序的运行,可以很大程度的避免移动代码的危害。在浏览器安全设置里,对以上脚本设置运行提示或者禁止运行。
4.4.3 启用防火墙,过滤不必要的服务和系统信息
4.4.4 养成良好的上网习惯
单靠技术手段很难完全杜绝恶意代码的危害,因此养成良好的习惯非常重要。
①不随意打开来历不明的电子邮件;②不随意下载来历不明的电子邮件;③不随意流量来历不明的网站;④不随意使用移动终端设备连接不可信的无线热点。
5.建立网络安全体系
有人觉得网络攻击离我们发射系统很遥远,我们不是高端行业,不是政府部门,我们是“听众逐渐减少”的无线发射行业,我想说,我们的安全播出任务没有改变,政治要求没有改变,还有老百姓在通过我们发出去的声音了解着党的政策、了解着国家大事、我们的文化发展和我们的交通情况。也很有可能我们不是没有被攻击而是还没有触发他们攻击,可能我们的信息一直在被窃取着,可能恶意代码一直存在,只是我们缺少专业的设备和人员,一直没有发现。所以我们一定要引起足够的重视,自我评估风险项,能弥补的要及时采取措施,不能短时间弥补的要有应急预案。要建立网络安全体系,有配套的管理措施和技术措施。
安全体系的建立,涉及到管理和技术两个层面,而管理层面的体系建设是首当其冲的。当前很多单位没有养成主动维护系统安全的习惯,同时也缺乏安全方面良好的管理机制。对于合格的信息安全管理员来说,保证网络系统安全的第一步,首先要做到重视安全管理,绝对不能坐等问题出现,才扑上去“救火"。
如何正确、全面、科学的建立自己的网络安全体系,需要我们根据各自的实际情况,经过专业人士的指导,慢慢去创建。
6.总结
本文只是根据自己单位及所掌握知识的情况,对发射台站网络安全工作的开展进行了初步的探索,由于知识所限,可能有不足之处,但对于发射台站的网络安全工作具有有一定的指导意义。
