嘟嘟的手機(jī)鈴聲，驚擾了我午夜的酣睡，迷迷糊糊中隱約的聽到電話中急切的聲音：“我們政府網(wǎng)站遭受黑客攻擊了”，聽到這里我頓時(shí)睡意全無(wú)，細(xì)心的聆聽電話那頭的情況陳述……

掌握大致情況后，迅速爬上網(wǎng)絡(luò)打開受攻擊的站點(diǎn)，原來(lái)的頁(yè)面已經(jīng)被改得面目全非了。在網(wǎng)頁(yè)的首屏上是一個(gè)來(lái)回走動(dòng)的大螃蟹，下面附著一條標(biāo)語(yǔ)：“老子橫行江湖數(shù)年，偶而路過，只因最近十分煩躁，特拿此站練手”。

解決受攻擊站點(diǎn)實(shí)例

這種情況只有去查服務(wù)器記錄，半個(gè)小時(shí)后，我到了該政府的服務(wù)器機(jī)房。做的第一件事就是把服務(wù)器訪問日志下載到自己的筆記本上，(因?yàn)榱?xí)慣，對(duì)誰(shuí)的機(jī)器都不放心，只相信自己的)，經(jīng)過仔細(xì)分析日志，發(fā)現(xiàn)有人在主站的上傳了一個(gè)私人論壇。根據(jù)經(jīng)驗(yàn)判斷，這個(gè)論壇程序是罪魁禍?zhǔn)住Ｓ谑墙?jīng)過調(diào)查，發(fā)現(xiàn)論壇是負(fù)責(zé)維護(hù)該站的小李私自放上去的，這個(gè)論壇是免費(fèi)的動(dòng)網(wǎng)論壇，小李只是做了簡(jiǎn)單的修改，便把程序上傳到服務(wù)器。在業(yè)內(nèi)很多人都知道動(dòng)網(wǎng)=洞網(wǎng)，從日志的分析來(lái)看，入侵者就是利用某安全組織剛剛公布的動(dòng)網(wǎng)上傳漏洞，獲得了主服務(wù)器的控制權(quán)。隨后刪除了論壇程序，還原備份頁(yè)面，至此恢復(fù)了網(wǎng)站的原貌。從踏入機(jī)房到恢復(fù)站點(diǎn)，只有5分種。

企業(yè)網(wǎng)絡(luò)信息安全面臨不解的困惑

此事件引起了政府相關(guān)部門領(lǐng)導(dǎo)的高度重視，第二天，他們領(lǐng)導(dǎo)奇怪的問我：我們每年都花幾十萬(wàn)的政府采購(gòu)，更是把網(wǎng)絡(luò)安全放在了第一位，我們配備的有防火墻，IPS，IDS，為什么這么堅(jiān)固的城墻就不管用呢，早知道如此，就不去買這些設(shè)備了。這個(gè)問題也許是很多企業(yè)都面臨的困惑。

解惑一：缺乏技術(shù)培訓(xùn)，好刀使不到刃上

其實(shí)防火墻、IDS、IPS等硬件防護(hù)設(shè)備針對(duì)某些入侵手段有著很好的效果，只是企業(yè)部署后，沒有發(fā)揮真正的作用。如上面的實(shí)例中，我曾檢查過防火墻的配置，發(fā)現(xiàn)好多設(shè)置都是默認(rèn)狀態(tài)，竟然連登陸用戶名和密碼都是出廠默認(rèn)值。這可以說(shuō)明網(wǎng)絡(luò)管理人員缺乏相應(yīng)技能培訓(xùn)，才會(huì)造成很多設(shè)備無(wú)用武之地的尷尬局面，就好象廚子用青龍偃月刀切菜一樣，同樣一把刀，放在廚子手里只能切菜，而放在關(guān)羽手里則能過五關(guān)斬六將。所以，有了好設(shè)備不等于有了安全，需要把設(shè)備進(jìn)行合理的配置才能發(fā)揮它們應(yīng)有的性能。很多企業(yè)顯然把這些技術(shù)工作交給了集成商和廠家來(lái)完成。從資金投入角度考慮，這樣的做法非常適合中小企業(yè)。但政府的中心機(jī)構(gòu)和大型企業(yè)不缺的就是資金，想要實(shí)現(xiàn)網(wǎng)絡(luò)信息安全，這些大型企業(yè)就一定要有自己的運(yùn)行維護(hù)力量，只有自己的東西自己管才能真正的確保第一道安全防線。

解惑二：沒有安全意識(shí)，安全將無(wú)從談起

從上面的實(shí)例中，我們不難看出，企業(yè)員工的安全意識(shí)決定了企業(yè)網(wǎng)絡(luò)安全的健壯性。這一點(diǎn)對(duì)網(wǎng)絡(luò)管理人員來(lái)說(shuō)，尤其重要。作為單位的網(wǎng)絡(luò)管理者如果小李懂得起碼的安全常識(shí)，就不會(huì)把免費(fèi)的論壇放到服務(wù)器上；如果小李了解安全的重要性，也不會(huì)去下載這樣的程序，起碼不會(huì)在企業(yè)網(wǎng)絡(luò)內(nèi)下載。這些都是員工缺乏安全意識(shí)的表現(xiàn)。

再舉個(gè)實(shí)例：某集團(tuán)也曾打來(lái)求助電話，他們的企業(yè)網(wǎng)絡(luò)頻繁的掉線，幾乎處于癱瘓狀態(tài)。我在檢查了設(shè)備信息和配置后，發(fā)現(xiàn)一臺(tái)華為交換機(jī)，全部都是死包，憑借經(jīng)驗(yàn)初步判斷應(yīng)該是遭到了蠕蟲攻擊，但這還需要事實(shí)來(lái)證明。捕獲數(shù)據(jù)包后，經(jīng)過分析，確定就是蠕蟲病毒惹的禍。而查找毒源卻遇到了麻煩，根據(jù)數(shù)據(jù)包的分析，很快能判斷出毒源機(jī)器的IP與MAC地址，但問管理人員這是哪臺(tái)機(jī)器時(shí)，他們沒有一個(gè)人知道的。這就只能從交換機(jī)處下手，但讓我郁悶的事情又來(lái)了，由于機(jī)房管理混亂，防靜電地板上的煙頭隨處可見，很多交換機(jī)上都沒有網(wǎng)線標(biāo)簽，布線也極亂無(wú)比，為了排查這臺(tái)機(jī)器，我們3個(gè)人用筆一個(gè)一個(gè)記錄，花了整整2個(gè)小時(shí)才把問題機(jī) 找到。在這個(gè)問題機(jī)上發(fā)現(xiàn)了大量的病毒，還有很多成人片。

無(wú)論政府還是企業(yè)都應(yīng)該有相應(yīng)的安全管理制度和規(guī)范，這些是指導(dǎo)員工行為的重要準(zhǔn)則。如 果該政府相關(guān)部門規(guī)定不允許下載任何程序，或是只限網(wǎng)絡(luò)管理人員下載，那政府站點(diǎn)的小李下載帶有安全隱患程序的情況就不會(huì)出現(xiàn)；如果規(guī)范機(jī)房的管理和使用，那我也不會(huì)在集團(tuán)公司浪費(fèi)2個(gè)小時(shí)整理線纜，如果規(guī)范的操作流程守則，如果有規(guī)范的網(wǎng)絡(luò)安全制度，如果……，有這些如果也會(huì)黑客入侵攻擊增加相當(dāng)大的 難度。這也印證了不知道誰(shuí)說(shuō)的那句古話：安全是三分技術(shù)，七分管理。

解惑三：如何規(guī)范配置網(wǎng)絡(luò)安全設(shè)備，制定合理的安全策略

1、要規(guī)范防火墻的安全策略，如增加防火墻的規(guī)則匹配，有些防火墻屬于嵌入式開發(fā)的設(shè)備，這就需要熟練使用linux命令和dos 命令，還有一些防火墻需要按自身情況具體配置，如Cisco的PIX防火墻，H3C的SecPath防火墻等。

2、然后最好能在網(wǎng)絡(luò)中計(jì)劃分出vlan和絕對(duì)獨(dú)立的安全域，即使有病毒蔓延，也不至于感染整個(gè)網(wǎng)絡(luò)。

3、對(duì)于工作站，要啟用組策略，并且在系統(tǒng)里面把自動(dòng)播放給完全禁用，根據(jù)目前流行的蠕蟲攻擊和移動(dòng)存儲(chǔ)設(shè)備感染來(lái)看，多數(shù)都是自動(dòng)訪問存儲(chǔ)設(shè)備的時(shí)造成了間接感染。刪除guest帳號(hào)，定期更改密碼等基本安全維護(hù)策略。最好能綁定工作站的mac地址和ip地址，具體落實(shí)到一機(jī)一人，達(dá)到規(guī)范使用計(jì)算機(jī)的目的。

4、把個(gè)人移動(dòng)存儲(chǔ)設(shè)備與企業(yè)辦公用存儲(chǔ)設(shè)備分開使用。人手一個(gè)，專人專用，定期殺毒。

其實(shí)從國(guó)內(nèi)信息安全的整體情況看，企業(yè)和政府依然存在很大的安全隱患，就是買了再好的網(wǎng)絡(luò)安全設(shè)備，沒有人調(diào)試和配置，那也是形同虛設(shè)，網(wǎng)絡(luò)管理不規(guī)范，員工的安全意識(shí)不夠高，都可能造成嚴(yán)重的惡果。

個(gè)人建議：

1、針對(duì)政府，制定規(guī)范的安全管理制度。上班期間禁止使用任何P2P軟件下載任何程序與電影；為了方便網(wǎng)絡(luò)管理，最好劃分合理的VLAN，在交換機(jī)上做相應(yīng)的管理策略；對(duì)防火墻進(jìn)行優(yōu)化管理，登陸密碼每星期都要更換。

2、針對(duì)企業(yè)，制定規(guī)范的安全管理制度，做好網(wǎng)絡(luò)管理人員的培訓(xùn)工作，盡量提高員工安全意識(shí)。企業(yè)郵箱要重點(diǎn)防護(hù)，因?yàn)楦嗟膬?nèi)部泄密和網(wǎng)絡(luò)攻擊的重要突破口就是利用企業(yè)郵箱來(lái)進(jìn)行攻擊，欺騙管理人員，達(dá)到滲透的目的。80%的網(wǎng)絡(luò)攻擊是在內(nèi)部發(fā)生的。