前言:中文期刊网精心挑选了小型企业网络安全解决方案范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
小型企业网络安全解决方案范文1
关键词:linux;iptables;网络安全;负载均衡
中图分类号:TP316 文献标识码:A文章编号:1009-3044(2011)23-5606-02
Linux System Iptables under in the Application of Network Security
WANG Jian-qiang, YANG Hua, SUN Xue-feng, ZHANG Xiu-yun
(Nanyang Science and Technology Information Center, Nanyang 473000, China)
Abstract: In nanyang information center as an example, in order to strengthen the network security save the network investment for the purpose, completed a Linux system for the platform iptables defense of network security system. This system USES Linux open source stable characteristics, providing a high performance, high security, low cost of network security solutions.
Key words: linux; iptables; network security; load balance
Iptables由Netfilter项目开发,自2001年1月Linux 2.4内核以来,它就成为Linux的一部分了。多年来,iptables已发展成为一个功能强大的防火墙,它已具备通常只会在专有的商业防火墙中才能发现的大多数功能。例如,iptables提供了全面的协议状态跟踪、数据包的应用层检查、速率限制和一个功能强大的机制以指定过滤策略。
由于iptables完全免费、功能强大、使用灵活、可以对流入和流出的数据包进行细化控制,也可以在一台低配置的机器上很好的运行。所以linux系统下iptables为平台的网络安全解决方案,对于中小型企业都具有重要的意义。
1 需求分析
网络安全是企业网络正常运行的前提。网络安全不单是单点的安全,而是整个企业信息网的安全,需要从物理、网络、系统、应用和管理方面进行立体的防护。要知道如何防护,首先需要了解安全风险来自于何处。网络安全系统必须包括技术和管理两方面,涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。无论哪个层面上的安全措施不到位,都会存在很大的安全隐患,都有可能造成业务网络的中断。因此企业的网络安全在企业中具有非常重要的作用。
本平台最突出的特点是网络运营成本低,比较适合中小型企业、学校等。目前,许多企业网络采用电信级别的硬件安全设备,其昂贵的设备费用、维护费用、设备更新费用成为企业的重要负担。本方案与以上所比具有以下优势:
1)对企业现有网络没有影响。
2)节省昂贵的电信级硬件安全设备费用、维护费用。
3)系统升级管理方便、升级费用低廉。
4)对管理员的技术能力要求不高,系统容易被掌握。
5)本方案的源代码全部是公开的系统,可以有效的后门等存在的网络安全隐患。
6)所有网络应用放置在内网服务器上,加强网络安全性。
2 解决方案
本平台放置在网络出口,平台分为内网和外网。所有的企业应用放置在内网服务器上,所有的上网用户也分配虚拟ip地址通过服务器上网。示意图如图1。
搭建平台前准备,计算机一台(需要双网卡),安装带有iptables的linux系统、交换机2台、服务器和终端若干。以我单位的现状为例:
2.1 内部公共服务(DNS、WEB、Email、ftp、数据库等)的实现
1)平台服务器绑定公共服务器需要的ip地址
假设需要绑定多IP的网卡是eth0,在/etc/sysconfig/network-scripts目录里面创建一个名为ifcfg-eth0:0的文件,
内容样例为:
DEVICE=”eth0:0″
IPADDR=”218.1.1.1″
BROADCAST=”218.1.1.255″
NETMASK=”255.255.255.0″
ONBOOT=”yes”
其中的DEVICE为设备的名称,IPADDR为此设备的IP地址,BROADCAST是广播地址,NETMASK为子网掩码,ONBOOT 表示在系统启动时自动启动。如果需要再绑定多一个IP地址,只需要把文件名和文件内的DEVICE中的eth0:x加一即可。LINUX最多可以支持255个IP别名。
可以把下述命令加在启动自运行文件里面,在Gentoo下是/etc/conf.d/local.start,而某些版本的Linux是/etc/rc.d/rc.local。
ifconfig eth0:1 228.1.1.2 broadcast 218.1.1.255 netmask 255.255.255.0
2)在平台服务器上面映射服务端口
Iptables Ct nat CA POSTROUTING Cs 172.16.1.0/24 Co eht0 Cj SNAT Cto 218.1.1.2
Iptables Ct nat CA PREROUTING Ci eth1 Cd 218.1.1.1 Cp tcp Cdport 80 Cj DNAT Cto 172.16.1.6
Iptables Ct nat CA PREROUTING Ci eth1 Cd 218.1.1.1 Cp tcp Cdport 25 Cj DNAT Cto 172.16.1.7
Iptables Ct nat CA PREROUTING Ci eth1 Cd 218.1.1.1 Cp tcp Cdport 22 Cj DNAT Cto 172.16.1.8
2.2 建立网络安全数据过滤规则
在linux命令行下键入并加入到/etc/rc.d/rc.local中去
##清空所有规则
iptables CF
iptables Ct nat CF
##设定允许通过的端口
iptables -t nat -A PREROUTING -p tcp --dport 21-j ACCEPT -i eth0
小型企业网络安全解决方案范文2
网络不仅是一种高深的科技,而且成为人们必不可少的工具。企业上网大大提高了企业运作效益,降低了企业成本。应该看到,企业在经营发展过程中,除了内部的运转管理外,还有大量的外部业务活动,包括与合作伙伴,上、下游企业,客户甚至竞争对手的各式各样的业务往来。过去这些业务活动多半是通过电话、传真、信件等传统通信方式辅助进行,而在因特网出现后的今天,这些业务活动几乎无一例外地正在转移到因特网上,并且这种转变的速度和程度都是非常惊人的。也就是说,过去传统意义上的企业内外部经营活动包括业务信息沟通,订货订单处理,库存物流管理,客户服务,批发或零售等等已经全部可以在因特网上实现了。所有这些应用都可以称之为企业上网,又被业界称为电子商务应用,它被认为是21世纪企业的必由之路。
二、行业分析
(一)企业上网的紧迫性
对于中国的企业来说,企业网的来临可谓恰逢其时。随着中国向混合市场经济的加速发展,中国各行各业的公司企业都在积极准备迎接国内外市场中日益激烈的竞争形势。这些公司深知:如果想在这个白热化的市场竞争中获得成功,就必须最大限度地提高企业生产力和降低生产成本。因此,各大企业都迫切需要建立自己的信息技术基础设施,以便将分散在各地的业务部门联系在一起并加快整个企业内部的信息交流和服务速度,从而加强自己在市场中的竞争优势。
(二)、企业上网的需求
企业网络信息系统建设应该以用户的需求为着眼点。目前,随着网络技术的飞速发展和应用水平的逐步提高,企业用户的需求,主要体现为:
(1)先进性,要求网络采用先进的技术,以保证整个企业网络系统在技术上的先进性;
(2)稳定性与可靠性,要求网络高度稳定、可靠,这是网络建设成功的关键,而高度稳定、可靠的网络系统有利于维护和管理,可减少网络系统的拥有成本;
(3)高性能,要求网络系统具有高性能,以满足计算机网络系统运行大量关键业务(如项目设计、项目管理、CAD、OA、MIS、ERP及多媒体应用等)的需要;
(4)vlan划分的灵活性,因为网络系统站点数和运行的应用都在增多,所以要求网络平台具有灵活的虚网(VLAN)划分能力;
(5)由于网络系统可能要传输多媒体信息,因此要求网络平台具有良好的服务质量和较小的延迟;
(6)要求网络平台具有良好的易管理性,减少运行、维护及管理成本;
(7)要求选择具有良好发展前景的网络厂商的产品,这样才能保证平台具有良好的售后服务、投资保护,更为关键的是能够保证网络系统持久的先进性。
三、企业网络主干技术选择:
企业局域网络技术的选择主要是主干技术的选择,现今适合作局域网络主干技术的主要有千兆以太网及ATM两种。
千兆以太网是网络界公认的技术发展方向之一,它是对成功的10M和100MIEEE802.3以太网标准的扩展,仍然沿用以太网IEEE802.3帧格式,全双工操作和流控制方法。在半双工模式下,千兆以太网使用同样的CSMA/CD访问方法来解决媒体的通信竞争问题,并使用由IEEE802.3小组定义的同样的管理对象。概括起来,千兆以太网的优点在于:网络技术可靠,易于管理,具有可伸缩性,且它相对于ATM的价格水平要低得多;缺点为部分标准不统一。
ATM规定各种类型的服务(声音、图像、数据)信息都由大小固定的53字节的信元进行传输。ATM优点为:支持线路交换和分组交换;对广域网和局域网采用相同的技术;在普通线路上同时传输视频、语音和数据;对多种业务可保证服务质量,按需分配带宽。缺点为:管理和维护复杂;基于ATM的应用较少;ATM产品相对于以太网产品价格昂贵;部分标准不统一。
千兆以太网能与桌面的以太网和快速以太网无缝衔接,因为他们采用的协议是相同的。ATM网络与以太网共存时,需在帧和信元之间进行转换。在企业园区网,90%的应用都是基于以太网或快速以太网的,千兆以太网以其从以太网及快速以太网升级方便、易管理和低廉的价格使ATM举步维艰,ATM的传统优势如传输多媒体和传输的距离长也日渐逊色。千兆以太网支持资源预留协议(RSVP)、IEEE802.3、IEEE802.1Q、Irecedence、独立组播路由协议(PIM)、国际互联网成组管理协议(IGMP)等,这就使得千兆以太网传输多媒体成为可能,已有厂家的千兆以太网产品传输距离超过100公里。因此建议,企业园区网在主要传输数据的情况下,应选择千兆以太网作主干技术。
四、企业网络构架的基本方案
企业网中大部分是中小企业,中小型企业最大的特点是小规模与高效率的结合。他们往往不拥有完备的信息技术部门,但是网络应用对他们同样关键。因此,中小企业需要量身定做的解决方案。面对这一情况,上海广电应确信公司针对不同规模企业,推出了一系列解决方案,以帮助中小企业提升其竞争力。
4.1基本网络方案简述
根据企业网站可提供的内容和它的实际应用情况,企业上网可分为两部分,一部分是实现各企业部门内部办公功能的内部网,即Intranet。另一部分是各企业部门网站在Internet上信息与交流的外部网。
一旦企业建立了Intranet,就可用它来信息、增强企业的通信能力、建立合作的环境。有些应用很简单,只是用HTML语言建立内部的环球网服务器信息;有些应用较复杂,需要连接数据库。下面列出一些Intranet的应用: 销售报告、财务报告、客户信息、季度统计、厂商信息、产品信息、市场信息小册子、产品开发信息、物资和元部件目录、仓库信息、网络管理、资产管理、新闻组、电子邮件、培训。
4.2具体方案实施:
按照网络的规模可具体划分为以下几个方案:
(1)小型企业信息系统方案:通常指在20-30个工作站以内的小型办公室(办公环境较集中)网络环境的方案。
(2)中型企业信息系统方案:即指在30个工作站以上的中型办公园区(办公环境较分散,距离教远)网络环境的方案。
(3)大型企业信息系统方案:即指在超过几百个工作站以上的大型办公园区并有外地分支机构网络环境的方案。
4.2.1小型企业信息系统方案
小企业办公室网络,相对于大、中型企业网络,可以说是麻雀虽小,五脏俱全,同样有着文件共享、打印共享、电子邮件、财务管理、库房管理、Web等大型网络所具有的需求。
由于小型企业网络站点数较少,而且联网的站点较集中(例如,在一幢楼内)。因此,结构化布线时就可以只采用双绞线就足够了,每个站点(计算机)与集线器或交换机之间的距离不能超过100米。
方案说明
网络配置:中心选用InfiniteSwitch5024机架型快速以太网交换机(24口10/100M自适应以太网交换机),采用10/100M自适应端口连接服务器及工作站。针对小型企业用户我们推出桌面型硬件安全设备I1102,嵌入式的硬件安全架构,使其性价比很高。简单配置的防火墙安全规则,方便客户应用。同时可以作为DHCP服务器,具有本地路由器功能,支持以太网方式/CABLEMODEM/ADSL等方式接入INTERNET,方便的实现共享上网。
方案特点:
(1) 性价比高;在方案中,没有使用很多高端的设备,但已经完全可以满足小型企业网络的需求。
(2)功能齐全;提供了文件共享、打印共享、电子邮件、电子公告、库房管理、远程办公、工资管理、财务分析、采购管理、资金管理、库存管理、销售管理等较齐全的功能,很适合于小型企业网络环境。
(3)安全性高;采用InfiniteSwitch5024智能以太网交换机交换机,可以将单一的局域网划分为多个相对独立、互不干扰的VLAN(虚拟子网),可以方便地控制不同部门对某些资源的访问权限,并能够缩小广播域,减少不必要的带宽占用,有效提高网络的安全性和性能。I1102通过IP过滤提供防火墙功能。可以对IP地址、端口号、协议种类等进行设置并加以控制。
5.2.2中型企业信息系统方案
由于中型企业办公环境较分散,距离教远,对网络的性能要求较高(数据交换的安全性,设备运行的可靠性,网络管理的全面性),对网络的速度亦有提高。同时,每个网段最长只能100米的有效距离的双绞线传输介质已经不能满足中型企业网络的使用需求,有时必须使用多模光纤或单模光纤做为布线时所采用的传输线缆,使得有效传输距离能够延伸至2公里(多模光纤)或更远(单模光纤)。
方案说明
中心选用InfiniteSwitch5000系列交换机,根据用户数量及功能要求选用IS5048/5024/5024s .为了保护企业内部网络的安全,在接入Internet时采用上海广电应确信的防火墙I91XX,可以防止来自外部的非法的、恶意的攻击。
由于中型企业办公环境较分散,距离教远,则在中心交换机上配置100Base-FX或1000Base-LX/SX光纤模块.企业内部采用SVAI91XX通过DDN、FrameRlay、X.25等广域网专线接入Internet,提供安全、快捷、简便的企业外部网站方案。I91XX适用于中小型企业用户,利用CheckPoint软件及其OEC合作伙伴构成顶级配置,为用户提供一个完整的网络安全解决方案。
应用二:
方案说明
对于一个中型企业,如果公司内部有较多的部门,位置比较分散,而且相互之间要独立的工作,对于用户的访问权限可以限制(如要求划分vlan),所有的部门通过公司的网络中心的一台三层交换机来接入internet,采用SVAHammerHead9300/9500/9800来对进行对网络的安全进行保护。对于一些移动用户可以采用无线接入设备(2020/1011/1001)来连入企业内部网及上INTERNET.
在公司的各个部门中采用的交换机均支持vlan的划分,根据每个部门的规划及距离网络中心的远近采用100MUTP或者100/1000M光纤接入。随着员工数的增多,可以利用5024S/5024S 堆叠来扩展网络,5024S/5024S 最多分别可堆叠至4台/16台,因此网络有很好的扩展性及可管理性。
接入internet可以采用多种方式,通过TN/ISDN/DDN线路等多种方式,用户可能根据需要来实现企业网接入公用网。
中型企业方案特点:
(1)较充分发挥了Internet/Intranet应用的特性
除了传统的文件共享、打印共享等功能外,电子邮件、Web、电子公告、库房管理、远程办公等功能都是基于Internet/Intranet应用实现的。使得整个网络系统充分发挥了Internet/Intranet应用的跨平台、与硬件无关、标准统一等特点,使得中小型企业可以与外界透明地通讯。
(2)维护小、投入少
中型企业网络系统使用了较少的高端产品,投入少而功能齐。由于使用了Internet/Intranet结构构造中小办公室网络系统,使得网络结构更加Client/Server化,作为网络的管理维护,只需对Server端进行维护工作,对Client的维护工作大大减少,所以总体上也就大大减少了维护工作量,并节省了投资。
(4)提高工作效率、节省开支。
在此方案中,提供了电子邮件、电子公告、Web等实用、快捷的功能,大大提高了企业的办公效率。同时提供了网络内用户对Internet的透明访问,使企业内部可以充分利用Internet这个巨大的信息资源,更加提高了企业的办公效率和资源利用。
5.2.3大型企业信息系统方案
大型企业办公环境即指在超过几百个工作站以上的大型办公园区并有外地分支机构网络环境。对网络的性能要求很高,同时对网络的速 度亦有很高的要求。大型企业网支持各种网络功能,能够通过广域网接口实现Internet接入,建立企业主页,为园区用户提供E-mail电子邮件、WWW、FTP服务,同时支持网络管理和电子信息的存储、访问管理。推荐采用局域网专线接入方式,此方式需要配备接入路由器,防火墙等网络设备,租用电信部门的专线并向CERNET管理部门申请IP地址及注册域名。接入路由器可以通过DDN专线、FrameRelay等与Internet相连。还可以按照需要组合配置多种WAN广域网端口模块,提供宽带、QoS保证的远程多媒体服务。为了保证企业网的安全,方案中提供SVAHammerHead9000安全平台,SVAHammerHead9000系列是业界唯一模块化网络安全平台和应用系统,在单一的设备上集成了路由、防火墙、入侵检测、V、LAN连接和其他安全应用,为用户提供可扩容及可靠的网络安全整体解决方案。
在布线上,除了采用多模或单模光纤之外,甚至还需要从电信部门租用DDN、帧中继、X.25、ISDN等专线,或者利用无线微波方式进行远距离连接。
方案说明
在网络中心选择上海广电应确信的InfiniteSwitch7508三层交换机和5024交换机。在各分部门或者分公司根据信息点数选择InfiniteSwitch4000/5000系列交换机。
在网络中心的核心层配置的InfiniteSwitch7508G第三层交换机,可完成高带宽、大容量网络层路由交换功能交换,是一种功能强大的企业网主干交换机,使网络管理者能方便的监督和管理网络,同时,又能将主干网带宽提升到千兆速度,InfiniteSwitch7000/7500系列是可网管的,高端口密度,配置灵活的高性能路由交换机。提供7个扩展插槽,22G交换背板上。网络管理员能够随时通过任意一个端口配置以上功能,以消除传统路由器的瓶颈,设置优先级给不同类型的网络传输及保证某些应用的流量带宽,如视频传输。
InfiniteSwitch7508G提供了广泛的管理选择,包括HPOpenView和其他的MP管理系统,或者InfiniteSwitch7508G自己提供的网络管理系统。InfiniteSwitch7508G提供到与InfiniteSwitch4000/5000系列以太网交换机、防火墙和服务器群(其中包括主域服务器、备份域服务器、文件服务器、数据库服务器、应用服务器、WWW服务器等)、网管终端的高速连接,重要的服务器及主干链路均可采用千兆模块进行生成树(aingTree)冗余链路连接。
接入层交换机,在本方案设计中,为了保证网络的高性能,可采用InfiniteSwitch 4000/5000系列智能以太网交换机,根据具体实际需求,接入层交换机可选用InfiniteSwitch4024/4032/5024/5024s/5048交换机。
在方案中的防火墙,选用SVAHammerHead9300.HammerHead9300是3插槽机箱式的安全平台,用户可以根据需求选择服务器、交换机、路由器等模块。SVAHammerHead9000的多种应用模块能支持Linux,HP/UX,DUNIX,WindowT和Suolaris等系统,它能为用户提供防火墙保护、入侵侦测、身份认证、安全报告、内容安全、高可靠性。SVAHammerHead9000的有多种网络模块,它可支持多种的LAN/WAN互连,包括:Frame、ISDN、ATM、以太网。实现完整的一体化的网络安全解决方案。
方案特点:
1、高性能;网络中采用了第三层交换机,第三层交换不仅拥有高速的交换功能,同时也具有全部的第三层控制功能,可以对流量基于IP地址、IP的协议类型、以及TCP/UDP的端口进行交换控制,从而在提高网络处理效率的同时,保障了VLAN之间通讯的安全性。
2、可扩展性;网络设计具有层次结构,用户能灵活地接入到相应的层次当中。可扩展的网络接口。
3、灵活性;适当的建立VLAN,方便地理位置不同的用户的网络连接.
4、安全性;VLAN的建立,可以控制广播和应用的信息流动,从而防止用户非法在网络上截获其它用户或它们的资源。HammerHead9000网络安全产品保护企业内部资源,防止外部入侵,控制和监督外部用户对企业内部网的访问;控制、监督和管理企业内部对外部Internet的访问。
5、层次化、模块化;本网络设计的特点为层次化、模块化设计。
6、优良的性价比
六、总结
小型企业网络安全解决方案范文3
此前,勒索软件侵害的对象主要是一些有充裕资金的企业,但近期形势发生了一些变化,中小企业、个人也都成为受灾群体。随着智能移动端设备的广泛使用,勒索软件感染的途径更加多样化,并且已经从传统的PC端逐渐蔓延到手机端。在同一个商业网络中,通过被勒索软件感染的手机也有可能对网络中其他设备造成不良影响,网络中其他设备也可能遭受勒索软件感染。
大型企业或机构中可能有一些专职IT管理人员会处理被勒索软件感染的设备,但任何一位IT管理人员都不愿企业或机构的数百台设备遭受勒索软件感染。勒索软件感染会致使关键系统处于离线状态,以至于企业或机构的全部运营活动都处于危险境地。很多安全解决方案提供商对此做出分析,运用新技术,推出了一些安全防御解决方案,并且提出了一些可行的安全防御建议,供大众参考。
持续跟踪分析
在近期的一些勒索事件中,尽管大多数的勒索软件犯罪组织并没有特定的攻击目标,但是,赛门铁克的安全团队发现,一部分犯罪组织已经将攻击目标转向特定企业,试图通过破坏企业的整体运营以获得巨额赎金。在今年年初,一家大型企业所遭受的精心策划的勒索软件攻击事件正是犯罪组织针对特定企业发起攻击的典型案例。在此类针对企业的攻击中,攻击者像网络间谍一样拥有高级专业知识,能够利用包含软件漏洞和合法软件的攻击工具包侵入企业网络。勒索软件攻击者与网络间谍之间并无区别,他们都是利用服务器上尚未修补的漏洞,在企业网络中获得立足点。通过使用多种公开的黑客工具,网络攻击者能够看到企业的网络结构,并使用未知的勒索软件变种尽可能多地感染企业内的计算机。
此前,卡巴斯基也对勒索攻击事件进行过持续的跟踪分析。卡巴斯基发现,这种勒索软件感染事件并非仅出现在局部地区,而是全球性的。因此,卡巴斯基提出了打击勒索软件的倡议,表示“打击这种全球威胁需要国际间合作”。
不断爆发的勒索软件攻击对企业造成了相当严重的影响,所幸企业的关键系统和大部分被勒索软件加密的数据可以通过备份恢复过来。未来,我们可能会看到更多针对资金雄厚的企业发起的勒索软件攻击,以索要巨额赎金。
令人担忧的趋势
赛门铁克最新的《勒索软件与企业2016》调查报告中指出,勒索软件已经成为当今企业和消费者面临的最大网络安全威胁之一。在2015 年,赛门铁克共发现100种新型勒索软件,创下历史新高。在被发现的新型勒索软件中,大多数为更危险的“加密勒索软件”,这类恶意软件可以通过强效加密锁定目标的文件。
无独有偶,卡巴斯基也发现,最近几年,勒索软件正在成为一个非常严重的问题。欧盟执法机关将其视为一种头号威胁,约三分之二的欧盟成员国正在对这种形式的恶意软件攻击进行调查。
同2014年4月至2015年3月这段时间相比,在2015年4月至2016年3月遭遇所有类型勒索软件攻击的用户总数增长了17.7%,全球受攻击用户从196.7784万个增长到231.5931万个;遭遇加密勒索软件攻击的用户数量增长了5.5倍,从2014年―2015年的13.1111万个增加到2015年―2016年的71.8536万个;至少遭遇一次勒索软件攻击的用户占所有遭遇恶意软件攻击的用户总数的比例增长了0.7个百分点,从2014年―2015年的3.63%增长到2015年―2016年的4.34%;遭遇加密勒索软件的用户占所有遭遇勒索软件攻击的用户数量比例显著上升,上升了25个百分点,从2014年―2015年的6.6%上升到2015年―2016年间的31.6%;遭遇锁定软件(锁定用户屏幕的勒索软件)的用户数量下降了13.03%,从2014年―2015年的183.6673万个减少到2015年―2016年间的159.7395万个;德国、意大利和美国的用户遭遇加密勒索软件的比例最高。
再来看一看遭受勒索软件感染后,用户交付赎金的数额变化情况。赛门铁克的《勒索软件与企业2016》报告中指出,从2015年年末至今,勒索软件的平均赎金增长超过2倍,从294美元增长至679美元。2016年,一种名为7ev3n-HONE$T的恶意软件(Trojan.Cryptolocker.AD)要求每台计算机支付13个比特币的赎金,换算约为5083美元(根据发现的时间),成为最高的勒索金额。
勒索软件的影响范围
根据赛门铁克的调查报告,美国成为感染勒索软件最严重的国家,占全球的28%。排名前十的国家还包括加拿大、澳大利亚、印度、日本、意大利、英国、德国、荷兰和马来西亚。现在,个人消费者仍然是勒索软件的主要攻击目标(57%)。但长期趋势表明,以企业为攻击目标的勒索软件攻击次数正在缓慢且稳步地增长。
或许有人会提出这样的问题,为什么目前勒索软件的主要攻击目标会有57%是个人用户,而非企业用户,攻击这些目标群体真会获得很多利润吗?企业对于自身信息应该更为看重,更应该愿意支付赎金,攻击它们应该比攻击个人用户更有利可图。赛门铁克公司大中华区首席运营官罗少辉表示,不同的黑客发动攻击时,所选择的目标不尽相同。有些黑客仅针对个人用户进行攻击,因为个人用户的安全意识比较低、防护措施也比较薄弱,黑客通过简单的勒索软件就能够轻易地实施攻击。同时,由于黑客对个人用户的勒索金额较小,个人用户为了尽快获得密钥会更加倾向于支付赎金。所以,现在的勒索软件攻击的对象大部分针对个人用户。
而针对企业的攻击,由于攻击规模相对较大,因此黑客需要采用一些专业攻击工具,花费较多的时间,因此黑客索要的赎金也是相当可观的。“我认为,正是由于勒索软件针对企业的攻击数量上升,企业才会更加关注安全防护,逐步增强安全防御措施。”罗少辉补充道。
赛门铁克的《勒索软件与企业2016》调查报告还指出,当前受勒索软件影响较大的行业为服务业(38%)、制造业(17%)、金融、保险和房地产业(10%),以及公共管理(10%)。
过去,黑客攻击的主要方式是通过电子邮件进行传播。但如今,黑客通常不再使用单一手法进行攻击,黑客也会在同一时间,利用电子邮件、社交媒体和短信等多种不同方式队攻击目标。此外,勒索软件会出现很多变种。因此,即便用户对电子邮件保持谨慎,也有可能通过其他途径感染勒索软件。正是由于黑客的攻击方式更加多样化,赛门铁克对勒索软件的攻击模式和途径进行统一分析与整理还存在一定困难,无法全面对其梳理,绘制一个全面的图表。
以邮件和URL传播为主
由于勒索软件可以通过多种途径来传播,因此基于单一层面的防护机制都无法有效防范勒索软件。亚信安全的勒索软件风险研究报告同样显示,在综合部署电子邮件、URL、文件等多层防护机制之后,在防护边界对于勒索软件的检测率可以达到99%。
亚信安全技术总经理蔡N钦指出:“勒索软件作者会不断改变程序代码来绕过过滤程序,并且尝试通过电子邮件、URL链接、文件等多种方式来入侵网络。同样,黑客也开始将恶意软件目标放到服务器基础设施上,与最近攻击医疗行业的‘SAMSAM’雷同,它们无需与 C&C 服务器联系也能加密档案。简言之,并没有万灵丹来防止这类网络威胁,企业用户需要尽可能地降低风险,并通过多层防护机制来进行检查和拦截。”
从亚信安全7月的《勒索软件风险研究报告》中还可以发现,在过去的10个月中,勒索软件主要是通过电子邮件、URL、文件这三种方式进行传播。其中,通过电子邮件传播的勒索软件数量出现了较为显著的增长,占比从不足5%增长到46%,仅次于通过URL传播的比例(52%)。
据亚信安全病毒监测实验室分析:电子邮件与URL是勒索软件传播者尤为喜欢的两种传播途径,主要是因为这两种方式简单有效,通过大规模群发的方式,不仅能够降低传播成本,还便于利用社交工程攻击的方式来吸引更多人点击。而且,这两种方式要比很多人想象的更有效果,因为黑客会利用漏洞攻击套件(Exploit Kit)攻击操作系统及应用程序的漏洞,若用户电脑没有更新补丁,只是浏览一般网页就可能会被勒索软件感染。
对此,赛门铁克也提出了几条建议:
1. 新型勒索软件变体会定期更新,赛门铁克建议用户及时更新安全防护软件,确保防御能力。
2. 软件更新通常包含最新发现的可被勒索软件利用的安全漏洞补丁,用户应该及时更新操作系统和其它应用软件。
3. 电子邮件是感染勒索软件的主要途径之一。赛门铁克建议用户及时删除所收到的任何可疑邮件,特别是包含链接或附件的邮件。
4. 谨慎对待任何建议启用宏查看内容的Microsoft Office电子邮件附件。若无法确定电子邮件的来源是否可信,不要启用宏并立即删除该邮件。
5. 应对勒索软件攻击的最有效方式是对重要数据进行备份。攻击者通过对重要文件进行加密,使受害者无法访问。如果受害者拥有备份副本,可以在清除感染后立刻恢复文件。
与此类似,卡巴斯基也提出了一些安全解决方案和建议:
1. 必须进行数据备份。越早地将备份当作是日常使用计算机时必须做的事,能够越早地对各种类型的勒索软件免疫。这与赛门铁克给出的第五条建议类似。
2. 使用一款可靠的安全解决方案。使用安全解决方案时,不要将高级安全功能关闭。通常,这些高级功能能够基于程序的行为检测最新的勒索软件。
3. 保持计算机上的软件更新。大多数常用的应用程序(Flash、Java、Chrome、Firefox、Internet Explorer、Microsoft Office)和操作系统(例如Windows)都具有自动更新功能。保持自动更新功能开启,不要忽略这些应用程序安装更新的请求。
4. 当心自己从互联网上下载的文件,以及通过电子邮件收到的文件。尤其是来自不受信任来源的文件。换句话说,如果你想要下载的是一个mp3文件,但是却得到了一个扩展名为.exe的文件,那这个文件绝对不是音频文件,而是一个恶意软件。要确保下载的内容没有问题,最好的办法是检查其扩展名是否正确,同时要确保其能够通过反病毒解决方案的扫描。
5. 如果某些原因导致你的文件被勒索软件加密,并且要求你支付赎金,请不要支付。你付给网络罪犯的每一分钱都会增强他们利用这种网络犯罪形式获利的信心,而这些钱会被用来制造新的勒索软件。
同时,很多安全解决方案提供商,每天都在为对抗勒索软件这种威胁努力工作。有时候,安全解决方案提供商开发出一些针对某些特定勒索软件的解密工具,并且通过同执法机关合作,它们可以获取到特定恶意软件家族的加密密匙,可用帮助遭受勒索软件加密的用户来解密被加密的文件。最后一点,制造、传播,以及索要赎金解密文件等行为,在全球大多数国家都属于犯罪行为。如果遭遇攻击,请向警方报案,以便开始调查。
健全防御机制
当企业中的一台电脑(或智能设备)感染了勒索软件后,如果员工将其接入其他商业或者家庭网络中,是否意味着采用该网络的相关设备也会陷入勒索软件的威胁之中?对此,罗少辉表示:“部分勒索软件会经由感染的终端扩散传染至局域网和互联网上的其他设备,这主要由勒索软件的具体行为决定。尽管无法完全确定这种情况的发生,但采用该网络的其他电脑或者智能设备陷入勒索软件的威胁的可能性非常高。部分勒索软件自身会在感染用户电脑后进行扩散,从而使相连设备感染病毒,以此达到勒索更多赎金的目的。赛门铁克建议,当发现一台终端感染勒索软件后,立刻将该终端与网络隔离,减少大范围感染的几率。”
在中国“互联网+”时代背景下,每个企业的发展都与互联网息息相关,每个企业都参与云计算或者享受着云服务。随着云应用的增长,云安全也变得尤为重要。近日,赛门铁克公司宣布与北京神州云科信息服务有限公司(以下简称云科)开启全面合作,共同打造企业云安全管理服务平台,应对中国市场不断激增的云和信息安全需求。
如今的安全防护已经从终端防御过渡到云端防御,赛门铁克是否有更好的架构或技术,能够从云端或者源头防控勒索软件等安全威胁呢?笔者就此询问了赛门铁克公司大中华区总裁威,他表示:“由于客户的规模不同,因此采取安全防护的方法也有所不同。许多机关单位、金融机构,或者大型企业,平时十分重视对于终端安全的维护,也会配备安全设备和人员进行全方位安全防护。”威补充道:“许多中小型用户,在IT方面的金钱和人员投入相对较少,一旦遇到恶意程序入侵或发现漏洞,很难及时实现终端防护。因此,中小型企业便可以将终端安全防御放在云上,借助云供应商的服务实现终端防护。云科拥有专业的安全团队,能够在云端为中小型企业提供安全服务,并对相关安全策略进行调优,以此来为中小企业提供更好的安全保障。如今,黑客攻击的手段不断更新,对于中小企业来讲,如果仅依靠一到两位安全人员进行安全管理,防护的效果较弱,也更容易受到黑客的攻击。因此,云安全服务能够为中小企业提供较为完善的安全保障,去弥补中小企业IT投入不足的问题。”
在防御策略上,很多安全解决方案提供商都认为要构建多层防御机制。赛门铁克的安全产品及解决方案采取多层防护,能够最大限度地降低勒索软件的感染率。亚信安全提醒企业用户,要将勒索软件治理摆在更重要的位置,并在电子邮件与网页、终端、网络、服务器等多个层面搭建完整的多层防护机制,以保护企业信息资产的安全不受侵犯。
赛门铁克所提供的综合策略能够在三个阶段抵御勒索软件的入侵:
1. 预防:电子邮件安全、入侵防御、下载洞察、浏览器保护、主动防御漏洞攻击(PEP)。
2. 控制:基于签名的高级反病毒引擎和具有机器学习的启发式技术,例如SONAR和Sapient。
3. 响应:专门的事件响应小组可以协助企业应对勒索软件攻击并进行恢复。
亚信安全建议用户从以下几个维度入手,构建深层次的防御体系:
1. 文件:企业最好采取3―2―1规则,对重要文件进行备份,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。此外,亚信安全还推出了针对勒索软件加密文件的解密工具,可以有效应对CryptXXX、TeslaCrypt、SNSLocker、AutoLocky等流行的勒索软件及其变种的加密行为。
2. 电子邮件和网页:部署涵盖恶意软件扫描和文件风险评估、沙箱恶意软件分析技术、文件漏洞攻击码侦测、网页信誉评估技术在内的防护技术,侦测并封堵通过电子邮件和网页进行攻击的勒索软件。
3. 终端:少部分勒索软件可能会绕过网络/电子邮件防护,这也是为什么终端安全防护十分重要的原因,终端防毒系统可以监视可疑行为、配置应用程序白名单和使用弱点防护来防止未经修补的漏洞被勒索软件利用。亚信安全防毒墙网络版(OfficeScan)的Aegis行为检测功能可以检测部分的勒索软件加密行为,并能够对未知勒索软件的防御起到积极作用。
4. 网络:勒索软件也可能通过其他网络协议进入企业网络进行散播,因此,企业最好部署能够对所有网络流量、端口和协议进行高级侦测的网络安全防护系统,来阻止其渗透和蔓延。
5. 服务器:通过虚拟补丁防护方案,来确保任何尚未修补漏洞的服务器,有效防范“零日攻击”。
6. 网关:在网关层面进行有效拦截,是企业最经济的防御体系。亚信安全深度威胁安全网关Deep Edge具有极其简洁的部署和管理方式,但却包含了最重要的勒索软件攻击抑制能力。其拥有专门针对加密勒索软件、C&C违规外联及可疑高级恶意程序的监控窗口,还改进了和亚信安全深度威胁发现设备(TDA)及亚信安全深度威胁分析设备(DDAN)的产品联动,能够通过侦测、分析和拦截功能的融合,建立针对加密勒索软件攻击路径的有效“抑制点”。
支付赎金与部署安全防御措施的性价比探讨
从攻防成本的角度来说,中小企业受到恶意攻击后,再采取的相应安全防护措施所造成的成本,远比赎金价格更高。在这种成本压力之下,很多中小企业都会选择支付赎金。对中小企业而言,采用整套安全解决方案的成本会不会太高?威认为:“攻击者选择攻击目标与实施攻击的难易程度及赎金回报率有关。因此,许多黑客会选择更高级的攻击手段去攻击大型企业,以得到更高的赎金。”