■ 河北廣播電視臺：褚立強

1.網(wǎng)絡(luò)安全涉及的基本概念

1.1 什么是木馬?

木馬是一種帶有惡意性質(zhì)的遠程控制軟件。木馬一般分為客戶端（client）和服務(wù)器端（server）。客戶端就是本地使用的各種命令的控制臺，服務(wù)器端則是要給別人運行，只有運行過服務(wù)器端的計算機才能夠完全受控。木馬不會像病毒那樣去感染文件。

1.2 什么是防火墻?它是如何確保網(wǎng)絡(luò)安全的？

使用防火墻（Firewall）是一種確保網(wǎng)絡(luò)安全的方法。防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。

1.3 什么是計算機病毒及其危害?

計算機病毒（）是指編制者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼。危害：破壞計算機數(shù)據(jù)信息；占用磁盤空間和對信息的破壞。

1.4 什么是惡意代碼及其分類？

（1）惡意代碼是一種程序，通常在人們無法察覺的情況下，把代碼寄宿到另一段程序，從而達到破壞目標(biāo)計算機的數(shù)據(jù)完全性和完整性的目的。

（2）惡意代碼的分類

①木馬：木馬程序表面上沒有任務(wù)異常，實際上隱含惡意企圖。一些木馬程序以覆蓋系統(tǒng)文件的方式潛伏于系統(tǒng)，一些木馬以正常軟件的形式出現(xiàn)。木馬類的惡意代碼不容易被發(fā)現(xiàn)，因為它們通常披著“正常程序”的外衣。

②網(wǎng)絡(luò)蠕蟲：它是一種可以自我復(fù)制的完全獨立的程序。網(wǎng)絡(luò)蠕蟲可以自動創(chuàng)建與其功能完全相同的副本，并在不需要人工干涉的情況下自動運行。它是利用系統(tǒng)中的安全漏洞和設(shè)置缺陷進行自動傳播，通過局域網(wǎng)或者國際互聯(lián)網(wǎng)從一個結(jié)點傳播到另一個結(jié)點，因此速度非常快。

③移動代碼：它通常是作為病毒蠕蟲或木馬的一部分被傳送到目標(biāo)計算機，竊取賬戶密碼等非法系統(tǒng)資源。

④復(fù)合型病毒：通過多種方式傳播，如E-mail、網(wǎng)絡(luò)共享、WEB服務(wù)器等。

2.網(wǎng)絡(luò)拓撲分析

我臺網(wǎng)絡(luò)拓撲圖結(jié)構(gòu)如下圖所示，A部門和總部不在一起，辦公電腦需要上內(nèi)網(wǎng)，安防監(jiān)控和發(fā)射機監(jiān)控數(shù)據(jù)需要回傳，所有數(shù)據(jù)經(jīng)防火墻之后通過微波系統(tǒng)進行信號傳輸，所有辦公電腦都非涉密。A部門和B部門的安防監(jiān)控和發(fā)射機監(jiān)控需要集中顯示。所有辦公電腦操作系統(tǒng)是win7和xp系統(tǒng)，IP與mac綁定，個別電腦上沒有安裝殺毒軟件。

我們的數(shù)據(jù)可分為三類：發(fā)射機監(jiān)控數(shù)據(jù)、安防監(jiān)控數(shù)據(jù)、辦公網(wǎng)數(shù)據(jù)，之前在匯聚交換機（2#）上并未做數(shù)據(jù)隔離，發(fā)射機監(jiān)控軟件的用戶名和密碼基本是常用、最簡單的，非播出機房值班人員也可以通過自己電腦的網(wǎng)線或者監(jiān)控探頭的網(wǎng)線連接上電腦，來登錄發(fā)射機監(jiān)控軟件，甚至互聯(lián)網(wǎng)黑客可以很簡單的控制我們本地的辦公電腦進入我們的發(fā)射機監(jiān)控系統(tǒng)，存在很大的安全隱患。后來2#交換機劃分了VLAN，購置了防火墻，防火墻購買了病毒實時更新服務(wù)。

xp和win7系統(tǒng)微軟官方都不再提供技術(shù)支持，但是在企事業(yè)單位這兩者的使用比重非常的大，所以從網(wǎng)絡(luò)安全的角度采取加固措施意義非常大。

3.按等保二級要求，我們應(yīng)該做到的

3.1 物理環(huán)境要求

（1）網(wǎng)絡(luò)設(shè)備物理位置選擇：防震、防風(fēng)、防水、防潮；（2）物理訪問控制：電子門禁或人為身份鑒別登記；（3）防盜、防破壞；（4）防雷擊、防火、防靜電；（5）溫濕度控制；（6）電力供應(yīng)：配穩(wěn)壓器、過壓保護、后備電源；（7）電源線和信號線隔離鋪設(shè)、防干擾。

3.2 安全通信網(wǎng)絡(luò)

（1）網(wǎng)絡(luò)架構(gòu)：①應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域來分配地址；②重要的區(qū)域與其它網(wǎng)絡(luò)區(qū)域采取可靠的技術(shù)隔離手段。

3.3 安全計算環(huán)境

3.3.1 身份鑒別

①應(yīng)對登錄的用戶進行身份標(biāo)識和鑒別，身份標(biāo)識具有唯一性，身份鑒別信息滿足復(fù)雜度要求，并定期更換；②具有登錄失敗處理功能，限制非法登錄次數(shù)，當(dāng)?shù)卿涍B接超時自動退出。

③不需要遠程登錄管理的，關(guān)閉相關(guān)功能

3.3.2 訪問控制

①第登錄用戶分配賬戶和權(quán)限

②應(yīng)重命名或刪除默認賬戶，修改默認賬戶的默認口令

③及時刪除過期賬戶，避免共享賬戶

3.3.3 安全審計覆蓋到每個用戶

3.3.4 入侵防護

①遵循最小安裝原則，僅安裝需要的組件和應(yīng)用程序

②關(guān)閉不需要的服務(wù)和端口，刪除默認共享

③及時修補漏洞

3.3.5 惡意代碼防護

安裝防惡意代碼軟件或具有相當(dāng)功能的軟件，并定期升級。

3.3.6 數(shù)據(jù)的備份

3.4 安全管理中心

（1）系統(tǒng)管理

（2）審計管理

3.5 安全管理制度

應(yīng)對安全管理活動的主要管理內(nèi)容建立安全管理制度；

應(yīng)對管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程

3.6 安全管理機構(gòu)

（1）崗位設(shè)置

應(yīng)設(shè)立網(wǎng)絡(luò)安全管理工作的職能部門，設(shè)立安全主管、安全管理各個方面的負責(zé)人崗位，并定義各負責(zé)人的職責(zé)；

應(yīng)設(shè)置系統(tǒng)管理員、審計管理員和安全管理員等崗位，并定義部門及各個工作崗位的職責(zé)。

（2）人員配備

應(yīng)配備一定數(shù)量的系統(tǒng)管理員、審計管理員和安全管理員。

圖一

3.7 安全建設(shè)管理

3.7.1 安全方案設(shè)計

①應(yīng)根據(jù)安全保護等級選擇基本安全措施，依據(jù)風(fēng)險分析的結(jié)果補充和調(diào)整安全措施；②應(yīng)根據(jù)保護對象的安全保護等級進行安全方案的設(shè)計；③應(yīng)組織相關(guān)部門和有關(guān)安全專家對安全方案的合理性和正確性進行論證和審定，經(jīng)過批準(zhǔn)后才能正式實施。

3.7.2 自行軟件開發(fā)

①應(yīng)對開發(fā)環(huán)境和實際運行的環(huán)境物理分開，測試數(shù)據(jù)和測試結(jié)果受到控制；②應(yīng)有安全性檢測；

3.7.3 外包軟件開發(fā)

①應(yīng)在軟件交付前檢測其可能存在的惡意代碼；②保證開發(fā)單位提供軟件設(shè)計文檔和使用指南。

3.7.4 等級測評

①應(yīng)定期進行等級測評，發(fā)現(xiàn)不符合相應(yīng)等級保護標(biāo)準(zhǔn)要求的及時整改；②應(yīng)在發(fā)生重大變更或級別發(fā)生變化時進行等級測評；③應(yīng)確保測評機構(gòu)的選擇符合國家有關(guān)規(guī)定。

4.從技術(shù)層面的系統(tǒng)加固措施（以windows7操作系統(tǒng)為例）

安全防護加固包括三方面的內(nèi)容，首先，要及時安裝微軟官方已經(jīng)發(fā)布的針對系統(tǒng)漏洞的補丁，防止惡意攻擊利用已知漏洞的攻擊；其次，針對一些新出現(xiàn)的漏洞且沒有官方補丁的情況，可以采用網(wǎng)絡(luò)安全廠商提供的熱補丁或虛擬補丁、系統(tǒng)加固方案等作為緩解措施，但熱補丁或虛擬補丁的有效性建議由專業(yè)機構(gòu)進行驗證；同時這些補丁與用戶業(yè)務(wù)系統(tǒng)的兼容性等需要用戶根據(jù)自身的實際情況進行驗證、修補；最后，可以利用系統(tǒng)本身的安全配置以及安裝網(wǎng)絡(luò)安全廠商提供的惡意代碼防范軟件，以達到安全加固的目的。

4.1 賬戶管理

（1）禁用賬戶。禁用或刪除其他無用賬戶（建議先禁用賬戶三個月，待確認沒有問題后刪除。）

打開控制面板>管理工具>計算機管理，在系統(tǒng)工具>本地用戶和組>用戶中，雙擊帳戶，在屬性中選中帳戶已禁用，單擊確定。

（2）按照用戶分配帳戶

按照用戶分配帳戶。根據(jù)業(yè)務(wù)要求，設(shè)定不同的用戶和用戶組。例如，管理員用戶，數(shù)據(jù)庫用戶，審計用戶，來賓用戶等。

打開控制面板>管理工具>計算機管理，在系統(tǒng)工具>本地用戶和組中，根據(jù)

您的業(yè)務(wù)要求設(shè)定不同的用戶和用戶組，包括管理員用戶、數(shù)據(jù)庫用戶、審計用戶、來賓用戶等。

（3）定期檢查并刪除與無關(guān)帳戶

定期刪除或鎖定與設(shè)備運行、維護等與工作無關(guān)的帳戶。

打開控制面板>管理工具>計算機管理，在系統(tǒng)工具>本地用戶和組中，刪除或鎖定與設(shè)備運行、維護等與工作無關(guān)的帳戶。

（4）不顯示最后的用戶名

配置登錄登出后，不顯示用戶名稱。

打開控制面板>管理工具>本地安全策略，在本地策略>安全選項中，雙擊交互式登錄：不顯示最后的用戶名，選擇已啟用并單擊確定。

4.2 認證授權(quán)

4.2.1 密碼復(fù)雜度

密碼復(fù)雜度要求必須滿足以下策略：

最短密碼長度要求八個字符。

啟用本機組策略中密碼必須符合復(fù)雜性要求的策略。即密碼至少包含以下四種類別的字符中的兩種：

英語大寫字母A，B，C，…Z

英語小寫字母a，b，c，…z

西方阿拉伯?dāng)?shù)字0，1，2，…9

非字母數(shù)字字符，如標(biāo)點符號，@，#，$，%，&，*等

打開控制面板>管理工具>本地安全策略，在帳戶策略>密碼策略中，確認密碼必須符合復(fù)雜性要求策略已啟用。

4.2.2 密碼最長留存期

對于采用靜態(tài)口令認證技術(shù)的設(shè)備，帳戶口令的留存期不應(yīng)長于90天。

打開控制面板>管理工具>本地安全策略，在帳戶策略>密碼策略中，配置密碼最長使用期限不大于90天。

4.2.3 帳戶鎖定策略

對于采用靜態(tài)口令認證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認證失敗次數(shù)超過10次后，鎖定該用戶使用的帳戶。

打開控制面板>管理工具>本地安全策略，在帳戶策略>帳戶鎖定策略中，配置帳戶鎖定閾值不大于10次。

4.2.4 遠程關(guān)機

在本地安全設(shè)置中，從遠端系統(tǒng)強制關(guān)機權(quán)限只分配給組。

打開控制面板>管理工具>本地安全策略，在本地策略>用戶權(quán)限分配中，配置從遠端系統(tǒng)強制關(guān)機權(quán)限只分配給組。

4.2.5 本地關(guān)機

在本地安全設(shè)置中關(guān)閉系統(tǒng)權(quán)限只分配給組。

打開控制面板>管理工具>本地安全策略，在本地策略>用戶權(quán)限分配中，配置關(guān)閉系統(tǒng)權(quán)限只分配給組。

4.2.6 用戶權(quán)限指派

在本地安全設(shè)置中，取得文件或其它對象的所有權(quán)權(quán)限只分配給組。

打開控制面板>管理工具>本地安全策略，在本地策略>用戶權(quán)限分配中，配置取得文件或其它對象的所有權(quán)權(quán)限只分配給組。

4.2.7 授權(quán)帳戶登錄

在本地安全設(shè)置中，配置指定授權(quán)用戶允許本地登錄此計算機。

打開控制面板>管理工具>本地安全策略，在本地策略>用戶權(quán)限分配中，配置允許本地登錄權(quán)限給指定授權(quán)用戶。

4.2.8 授權(quán)帳戶從網(wǎng)絡(luò)訪問

在本地安全設(shè)置中，只允許授權(quán)帳號從網(wǎng)絡(luò)訪問（包括網(wǎng)絡(luò)共享等，但不包括終端服務(wù)）此計算機。

打開控制面板>管理工具>本地安全策略，在本地策略>用戶權(quán)限分配中，配置從網(wǎng)絡(luò)訪問此計算機權(quán)限設(shè)置為“組。

4.2.9 匿名遠程連接

控制面板->管理工具->本地安全策略，在“本地策略->安全選項”，在右邊窗格中找到“網(wǎng)絡(luò)訪問：可匿名訪問的共享”、“網(wǎng)絡(luò)訪問：可匿名訪問的命名管道”將其值設(shè)置為空。

4.2.10 禁止用戶開機自動登陸

①開始->運行->鍵入

②修訂注冊表項:

，新建一個名稱為，類型為，值為0的鍵值。如果存在則直接將鍵值改為0

4.2.11 防火墻配置

進入“控制面板－>網(wǎng)絡(luò)連接－>本地連接”，在高級選項的設(shè)置中啟用Windows防火墻，在“例外”中配置允許業(yè)務(wù)所需的程序接入網(wǎng)絡(luò)。在“例外->編輯->更改范圍”編輯允許接入的網(wǎng)絡(luò)地址范圍。

135 137 138 139 455端口要關(guān)閉，有共享不關(guān)445。

4.3 日志配置操作

4.3.1 審核登錄

設(shè)備應(yīng)配置日志功能，對用戶登錄進行記錄。記錄內(nèi)容包括用戶登錄使用的帳戶、登錄是否成功、登錄時間、以及遠程登錄時、及用戶使用的IP地址。

打開控制面板>管理工具>本地安全策略，在本地策略>審核策略中，設(shè)置審核登錄事件。

4.3.2 審核策略

啟用本地安全策略中對系統(tǒng)的審核策略更改，成功和失敗操作都需要審核。

打開控制面板>管理工具>本地安全策略，在本地策略>審核策略中，設(shè)置審核策略更改。

4.3.3 審核對象訪問

啟用本地安全策略中對Windows系統(tǒng)的審核對象訪問，成功和失敗操作都需要審核。

打開控制面板>管理工具>本地安全策略，在本地策略>審核策略中，設(shè)置審核對象訪問。

4.3.4 審核事件目錄服務(wù)訪問

啟用本地安全策略中對Windows系統(tǒng)的審核目錄服務(wù)訪問，僅需要審核失敗操作。

打開控制面板>管理工具>本地安全策略，在本地策略>審核策略中，設(shè)置審核目錄服務(wù)器訪問。

4.3.5 審核特權(quán)使用

啟用本地安全策略中對Windows系統(tǒng)的審核特權(quán)使用，成功和失敗操作都需要審核。

打開控制面板>管理工具>本地安全策略，在本地策略>審核策略中，設(shè)置審核特權(quán)使用。

4.3.6 審核系統(tǒng)事件

啟用本地安全策略中對Windows系統(tǒng)的審核系統(tǒng)事件，成功和失敗操作都需要審核。

打開控制面板>管理工具>本地安全策略，在本地策略>審核策略中，設(shè)置審核系統(tǒng)事件。

4.3.7 審核帳戶管理

啟用本地安全策略中對Windows系統(tǒng)的審核帳戶管理，成功和失敗操作都要審核。

打開控制面板>管理工具>本地安全策略，在本地策略>審核策略中，設(shè)置審核帳戶管理。

4.3.8 審核過程追蹤

進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看是否“審核過程追蹤”設(shè)置為“失敗”需要審核。

4.4 惡意代碼的防范

惡意代碼與傳統(tǒng)的計算機病毒有許多相似的特征，因此在惡意代碼防范方面，傳統(tǒng)的反病毒技術(shù)依然可以發(fā)揮重要的作用，事實上許多殺毒軟件直接將惡意代碼當(dāng)作普通病毒對待。

4.4.1 及時更新系統(tǒng)，修補安全漏洞

許多惡意代碼的入侵和傳播都是利用系統(tǒng)（操作系統(tǒng)和應(yīng)用系統(tǒng)）的特定安全漏洞進行的。

4.4.2 設(shè)置安全策略，限制腳本程序的運行

通過網(wǎng)頁瀏覽器傳播的惡意代碼，即利用J、、和等技術(shù)傳播惡意代碼的主要途徑，是普通上網(wǎng)用戶的主要安全隱患。但是該類惡意代碼必須在瀏覽器允許腳本程序執(zhí)行的條件下才可運行。因此只要設(shè)置適當(dāng)?shù)陌踩呗?，限制相?yīng)腳本程序的運行，可以很大程度的避免移動代碼的危害。在瀏覽器安全設(shè)置里，對以上腳本設(shè)置運行提示或者禁止運行。

4.4.3 啟用防火墻，過濾不必要的服務(wù)和系統(tǒng)信息

4.4.4 養(yǎng)成良好的上網(wǎng)習(xí)慣

單靠技術(shù)手段很難完全杜絕惡意代碼的危害，因此養(yǎng)成良好的習(xí)慣非常重要。

①不隨意打開來歷不明的電子郵件；②不隨意下載來歷不明的電子郵件；③不隨意流量來歷不明的網(wǎng)站；④不隨意使用移動終端設(shè)備連接不可信的無線熱點。

5.建立網(wǎng)絡(luò)安全體系

有人覺得網(wǎng)絡(luò)攻擊離我們發(fā)射系統(tǒng)很遙遠，我們不是高端行業(yè)，不是政府部門，我們是“聽眾逐漸減少”的無線發(fā)射行業(yè)，我想說，我們的安全播出任務(wù)沒有改變，政治要求沒有改變，還有老百姓在通過我們發(fā)出去的聲音了解著黨的政策、了解著國家大事、我們的文化發(fā)展和我們的交通情況。也很有可能我們不是沒有被攻擊而是還沒有觸發(fā)他們攻擊，可能我們的信息一直在被竊取著，可能惡意代碼一直存在，只是我們?nèi)鄙賹I(yè)的設(shè)備和人員，一直沒有發(fā)現(xiàn)。所以我們一定要引起足夠的重視，自我評估風(fēng)險項，能彌補的要及時采取措施，不能短時間彌補的要有應(yīng)急預(yù)案。要建立網(wǎng)絡(luò)安全體系，有配套的管理措施和技術(shù)措施。

安全體系的建立，涉及到管理和技術(shù)兩個層面，而管理層面的體系建設(shè)是首當(dāng)其沖的。當(dāng)前很多單位沒有養(yǎng)成主動維護系統(tǒng)安全的習(xí)慣，同時也缺乏安全方面良好的管理機制。對于合格的信息安全管理員來說，保證網(wǎng)絡(luò)系統(tǒng)安全的第一步，首先要做到重視安全管理，絕對不能坐等問題出現(xiàn)，才撲上去“救火"。

如何正確、全面、科學(xué)的建立自己的網(wǎng)絡(luò)安全體系，需要我們根據(jù)各自的實際情況，經(jīng)過專業(yè)人士的指導(dǎo)，慢慢去創(chuàng)建。

6.總結(jié)

本文只是根據(jù)自己單位及所掌握知識的情況，對發(fā)射臺站網(wǎng)絡(luò)安全工作的開展進行了初步的探索，由于知識所限，可能有不足之處，但對于發(fā)射臺站的網(wǎng)絡(luò)安全工作具有有一定的指導(dǎo)意義。