首页 > 论文范文 > 社会科学论文 > 科技论文 > 网络安全论文 > 消防信息内网系统威胁分析及对策思考

消防信息内网系统威胁分析及对策思考

2021-06-12 215 上传者：管理员

摘要：随着信息化技术的蓬勃发展,近年来,消防系统的日常行政办公、事项审批等业务均在内网系统中运行。内网的防护等级直接关系到业务系统和内部资料的数据安全。网络办公给我们带来了极大的便利,同时也存在着信息网络的安全威胁。本文以消防系统某单位为例,分析了内网安全现状和存在的问题,探究应对和防护对策。

关键词：
信息化技术
信息管理系统
消防内网安全
消防系统
防护等级
加入收藏

1、引言

随着信息技术的发展和网络应用的普及，消防系统构建了政务办公网、指挥调度网两大业务信息网络，采用内网方式运行，在网络内部署了独立的信息管理系统和数据库。

近年来，网络入侵事件也时有发生。主要方式有黑客攻击、病毒扩散、木马植入、后门软件监控等，利用系统漏洞、未屏蔽端口等可乘之机伪装入侵到内部网络中，盗取内网的重要信息，损坏重要数据和文档，给系统造成难以挽回的损失。2017年5月就爆发过一次大规模的勒索软件病毒事件，我国大量行业内网发生大规模感染，包括医疗、电力、能源、银行、交通、企业等多个系统均遭受不同程度的影响。该勒索软件是一个名称为“WannaCry”的木马，利用445端口的SMB漏洞MS17-010传播扩散，造成损失最大的不是暴露在开放区域的互联网用户，而是防护级别更高的基于物理隔离保护下的行业内网终端，造成各行各业的数据损失难以估计。

2、消防系统内网安全威胁类型

我们利用威胁分析系统对消防系统某单位的内网数据出口网络安全威胁情况进行了一段时间的检测及分析。在1个月的时间内，共发现记录了4.87亿次攻击或异常行为。其中最多的行为是尝试获取用户权限，发生了4.82亿次，其次是有280万次密码暴力破解的行为被记录。根据信息分析，*.*.*.0/24网段和IP为*.*.*.204\205\206的设备异常行为较多，需做重点排查和深度检测。根据检测分析，内网网络安全威胁主要有恶意样本投递、漏洞攻击、Web应用攻击、密码暴力破解、情报外联、蠕毒木马活动等几类攻击威胁类型。

3、内网系统威胁分析及对策思考

3.1 恶意样本投递

3.1.1 统计分析

在统计期间内，共发现恶意文件下载行为有1761个，其中有131个高危，1629个危急。识别的文件恶意病毒类型主要有MALWARE::HackTool.Win32.RemOxec.、AIHENE::Trojan.Swizzor.Gen.1、MALWARE::Trojan.GenericKD.31716701等5类病毒。

3.1.2 恶意样本投递处置对策

(1）在内部重要主机如服务器、数据库存储上安装终端安全保护软件。

(2）检查被攻击的服务器是否运行正常，对服务系统进行全盘杀毒，查杀结束后重启设备，并检查重启后是否有其他新的文件或进程生成。

(3）检测内部是否有其他存在异常行为的主机，如：内存突然飙升，CPU一直保持峰值等，对不正常主机进行排查。

3.2 漏洞攻击

3.2.1 统计分析

系统漏洞攻击就是指攻击者利用已知的系统安全漏洞或者系统已经暴露出来的弱点对主机进行针对性攻击。依据攻击载荷和攻击过程分析，共涉及有154万余次攻击，涉及的攻击主要有3类，SMBGhostscan(CVE-2020-0796）攻击76万次，OS-WINDOWSMicrosoftWindowsColorManagementModulebufferoverflowattempt攻击75万次，MS17-010漏洞攻击2万次。

3.2.2 漏洞攻击处置对策

(1）根据被攻击IP统计，检查相关主机的进程及日志，并验证相关漏洞攻击是否成功，立即下线进行安全修复；

(2）增强企员工安全意识。对不明邮件附件和不明站点谨慎点击访问；

(3）定期及时更新系统安全补丁，并定期做安全巡检。

(4）对内部攻击源进行追溯，以确认攻击行为发生原因。

(5）对内部被攻击者进行安全查验。

3.3 Web应用攻击

3.3.1 统计分析

在统计时段内，发现31,022次Web应用攻击。常见Web应用攻击类型有：Web明文口令泄露，CVE漏洞攻击，信息泄露，特洛伊木马通信，疑似正常SQL语句，潜在隐私策略违反，WebShell检测等。受到Web应用攻击可能导致数据被窃取、更改、删除，甚至执行系统命令等，以及进一步导致产生网站被嵌入恶意代码、被植入后门程序等危害。在分析中，发现传输载荷里明文传输了一些用户名和密码。这可能导致劫持后直接获取到相关系统账户权限，造成权限外泄。

3.3.2 Web应用攻击处置对策

(1）验证是否存在对应漏洞，查看主机异常端口请求、CPU使用率是否正常；

(2）删除启动项异常进程，安装木马查杀等专业防护软件；

(3）更新服务器补丁和各类中间件版本；

(4）进行漏扫扫描、专业人工渗透或代码审计和漏洞修复工作。

3.4 密码暴力破解

3.4.1 统计分析

在统计时段内，发现了2,810,938条暴力破解行为记录，且存在有疑似密码爆破成功纪录。根据溯源调取发现，大部分目标为使用TCP协议的445端口，也混杂有SSH等其他爆破手段。暴力破解是指攻击者通过组合所有可能性，例如登录账户名、密码等，尝试所有的可能性破解用户的账户名、密码等敏感信息。攻击者会经常使用自动化脚本组合出正确的用户名和密码。一旦破解成功，攻击者将能使用合法账号登录系统获取权限，危害极大。

3.4.2 密码暴力破解处置对策

(1）可以采取限制用户登录失败次数的方式，例如：用户一小时内连续登录失败5次，就锁定该用户，禁止继续登录。可以通过管理员手动解锁或者几小时后自动解锁；

(2）增加验证码拦截器，验证码验证成功后才能请求到登录接口；

(3）增加密码的强度，尽量使用复杂的密码数字、字母或特殊字符组合的密码；

(4）增加密码定期修改功能，避免密码长时间未修改而导致隐患。

(5）对高危设备进行安全状况追溯，确保是否在被渗透后存在木马后门或其他危害行为，清除木马后门后，应加强防爆破的防护安全策略。

(6）对发起爆破的设备进行跟踪，确保是否是被控行为或其他异常行为过程导致监测到爆破结果。

3.5 情报外联

3.5.1 统计分析

通过采用威胁事件—APT威胁—过滤APT恶意样本的筛查发现，在统计期间内，共有异常行为次数达36,263次，追溯次数靠前的几个目的IP的第三方威胁记录，发现均是外省的IDC设备，且都有或多或少的威胁行为记录。

建议进一步追溯调研事件排名较前的几个源IP的真实业务和真实行为，根据实际情况核实异常行为产生原因，以消除相应隐患。

3.5.2 情报外联处置对策

需要进一步追溯调研事件排名较前的几个源IP的真实业务和真实行为，根据实际情况核实异常行为产生的原因，以消除相应隐患。

3.6 僵尸网络

3.6.1 威胁分析

在僵尸主机中，发现内网主机有非法外联行为，连接的目标设备IP共有50个，被识别为僵尸主机。同时去第三方威胁情报平台查询该目标IP，也已被多次标记识别为恶意主机，疑似有内网设备或系统被控。系统分析的过程主要按以下策略进行：（1）排除域名解析结果为空的所有数据（代表域名解析不成功）；（2）排除所有会话状态“尝试建立连接，未回复”的所有数据（代表TCP连接不成功）；（3）排除所有HTTP返回内容长度为空的所有的数据（代表服务端不响应）；（4）根据IOC在第三方情报库进行交叉验证；（5）溯源僵尸主机与C2通信行为查看payload。在真实流量环境中进行排除，最终筛选出疑似受威胁的IP列表。

3.6.2 僵尸网络处置对策

(1）对筛选出的IP设备执行全盘病毒查杀；

(2）更新服务器补丁和各类中间件版本；

(3）进一步跟踪分析告警IP的行为，看病毒查杀后外联是否有递减，如无成效应格式化设备后进行重新部署。

4、结束语

在信息化应用的过程中，消防系统内网的安全性尤为重要，决定着办公文件、内部资料、用户权限等的安全健康运行。但是内网建设的标准不统一，保护等级参差不齐，在运行的过程中，面临着较大的安全隐患。需要从以下三个方面加强建设：一是建立多层次的网络安全防护体系，在内网中部署防火墙、审计系统、运行维护管理系统等安全保障设备，具备访问控制、入侵防御、防病毒、带宽管理、加密流量检测、应用识别、流量探针、安全策略调优等能力，结合安全态势感知、身份认证、应用和数据的授权访问控制、安全审计机制，打造内网“纵深防御、主动防御、安全韧性”的安全保障体系。

二是建立完善的内网管理制度和机制，对内网系统中的管理人员、维护人员、系统用户的操作进行有效的规范和记录。三是建立监测预警机制，通过对访问项目过程中所产生的网络流量进行深入的分析，对网络监测中的文件、邮件、网页等行为进行分析，结合大数据等方式，对各种高级病毒、特种木马的威胁等进行有效的分析，并对内网空间中存在的威胁进行有效的挖掘，进而对内网中存在的安全隐患进行有效的预警，并建立相应的预警机制，以保障内网的安全。

参考文献:

[1]屈宏亮.企业内网安全管理分析及应对措施研究[J].信息安全与数字化管理,2019(16).60-61.

[2]路坤桥,王金和,邓涛,李红.石油企业内网安全隐患及控制策略分析[J].计算机科学,2015,42(81):451-452+478.

[3]张强,周建平.公安信息网络安全问题及解决对策探究[J].科技创新导报,2018,15(29):116-117.

文章来源：倪斌,李怀义,李文棣,童话.消防信息内网安全现状与防范对策分析[J].网络安全技术与应用,2021(06):134-135.