互聯網的(Of)發展，帶動了(Got it)政府電子政務建設，各部門、各系統都推進網上(Superior)辦公，以(By)提高工作(Do)效率，更好地爲(For)公衆提供服務;由于(At)互聯網存在(Exist)諸多安全隐患，近期政府内部無意識洩密事件日漸增多，大(Big)多由于(At)木馬防控不(No)嚴、外設U盤使用(Use)不(No)當、非法外聯造成的(Of)，内網的(Of)安全管理成了(Got it)政府網絡管理人(People)員的(Of)難解之題;本文力圖從辦公電腦和(And)網絡出(Out)口兩方面入手，給大(Big)家提供構建木馬防控體系的(Of)思路，杜絕無意識洩密事件，建設安全的(Of)内網使用(Use)環境。 

　　安全事件現象 

　　以(By)下兩起案例，是(Yes)近期發生的(Of)真實洩密事件，都屬于(At)典型的(Of)由木馬病毒造成的(Of)無意識洩密事件。 

　　小劉是(Yes)某機關一(One)名幹部，平時(Hour)好學上(Superior)進，表現突出(Out)，被組織上(Superior)定爲(For)政工幹部培養苗子。2006年經組織推薦，小劉被送政工班培訓。去學習前，小劉特意将自己平時(Hour)在(Exist)機關撰寫的(Of)計劃、總結等涉密資料存入U盤，準備在(Exist)學習期間進行學術交流。學習期間，小劉多次上(Superior)網查閱資料，并用(Use)該U盤下載參考資料。在(Exist)此過程中，“輪渡”木馬病毒自動駐存于(At)U盤中，将小劉存儲的(Of)涉密資料悉數“盜”入國(Country)際互聯網。事後查明，小劉洩密的(Of)資料達32份，他(He)因此受到降職、降銜的(Of)嚴肅處理。 

　　董教授，是(Yes)某大(Big)學知名教授，平時(Hour)工作(Do)兢兢業業，經常加班加點在(Exist)家備課。由于(At)需要(Want)查閱資料，他(He)家中的(Of)電腦接入了(Got it)國(Country)際互聯網。董教授白天在(Exist)辦公室辦公電腦上(Superior)工作(Do)，晚上(Superior)在(Exist)家用(Use)個(Indivual)人(People)電腦工作(Do)，經常用(Use)U盤将未完成的(Of)工作(Do)内容在(Exist)兩個(Indivual)電腦間相互拷貝。自2005年以(By)來(Come)，董教授辦公電腦内的(Of)二百多份文件資料竟鬼使神差般地“跑”進了(Got it)互聯網，造成重大(Big)洩密。經上(Superior)級保密委員會審查鑒定，涉密文件資料達三十多份，董教授受到降職降銜、降職稱的(Of)嚴肅處理。 

　　由于(At)在(Exist)日常工作(Do)中，部分公職人(People)員想在(Exist)因特網上(Superior)進行數據查詢，貪圖方便，該職員使用(Use)U盤在(Exist)兩個(Indivual)不(No)同的(Of)電腦間拷貝文件，或者就在(Exist)涉密網終端上(Superior)通過撥号、無線上(Superior)網等的(Of)方式，訪問了(Got it)因特網。該職員在(Exist)浏覽網頁時(Hour)，訪問了(Got it)某個(Indivual)網站，而這(This)個(Indivual)網站正好被黑客攻擊了(Got it)，網頁被挂馬。木馬利用(Use)“自動下載技術”，讓該職員在(Exist)未察覺的(Of)情況下潛入了(Got it)用(Use)戶電腦、移動硬盤、U盤。 
 
    　引發的(Of)危害 

　　目前，随着新技術的(Of)發展，移動存儲介質的(Of)種類日趨多樣，軟盤、U盤、移動硬盤、MP3、MP4、數碼相機、記憶棒等在(Exist)工作(Do)中的(Of)應用(Use)十分廣泛，移動存儲設備在(Exist)爲(For)我(I)們的(Of)工作(Do)帶來(Come)便利的(Of)同時(Hour)，也帶來(Come)了(Got it)不(No)容忽視的(Of)信息安全保密隐患，大(Big)大(Big)增加了(Got it)保密管理的(Of)難度。特别是(Yes)U盤，越來(Come)越多地出(Out)現在(Exist)我(I)們的(Of)工作(Do)中。由于(At)其便于(At)攜帶、方便存取，不(No)少人(People)用(Use)它私自下載和(And)保存涉密文件，非法拷貝現象難以(By)控制;還有的(Of)人(People)将工作(Do)U盤帶回家中，甚至帶着涉密的(Of)U盤逛街、訪友，一(One)旦丢失，損失巨大(Big)。除了(Got it)這(This)些洩密隐患外，U盤一(One)旦被植入病毒，特别是(Yes)木馬病毒後，如果接入涉密計算機，我(I)們的(Of)涉密文件就會在(Exist)不(No)知不(No)覺中被别有用(Use)心者竊取。 

　　工作(Do)秘密的(Of)洩露會使政府機關工作(Do)遭受損失，帶來(Come)不(No)必要(Want)的(Of)被動;國(Country)家秘密的(Of)洩露會使國(Country)家的(Of)安全和(And)利益遭到嚴重損害;而洩密者受到降職、降銜的(Of)嚴肅處理，上(Superior)文中提到的(Of)小劉和(And)董教授由于(At)安全意識薄弱，或單位技術保障不(No)到位，多年政績毀于(At)一(One)旦，實在(Exist)是(Yes)可惜之至。亡羊補牢，新時(Hour)代裏是(Yes)悔之晚矣

    産生的(Of)原理 

　　特洛伊木馬，原指古希臘士兵藏在(Exist)木馬内進入敵方城市從而占領敵方城市的(Of)故事。古希臘傳說，特洛伊王子帕裏斯訪問希臘，誘走了(Got it)王後海倫，希臘人(People)因此遠征特洛伊。圍攻9年後，到第10年，希臘将領奧德修斯獻了(Got it)一(One)計，就是(Yes)把一(One)批勇士埋伏在(Exist)一(One)匹巨大(Big)的(Of)木馬腹内，放在(Exist)城外後，佯作(Do)退兵。特洛伊人(People)以(By)爲(For)敵兵已退，就把木馬作(Do)爲(For)戰利品搬入城中。到了(Got it)夜間，埋伏在(Exist)木馬中的(Of)勇士跳出(Out)來(Come)，打開了(Got it)城門，希臘将士一(One)擁而入攻下了(Got it)城池。後來(Come)，人(People)們在(Exist)寫文章時(Hour)就常用(Use)“特洛伊木馬”這(This)一(One)典故，用(Use)來(Come)比喻在(Exist)敵方營壘裏埋下伏兵裏應外合的(Of)活動。在(Exist)Internet上(Superior)，“木馬”指一(One)類小的(Of)應用(Use)軟件，這(This)個(Indivual)軟件表面上(Superior)是(Yes)一(One)個(Indivual)郵件的(Of)附件、一(One)個(Indivual)遊戲、一(One)張圖片，但其中包含了(Got it)對使用(Use)者造成危害的(Of)功能，如：控制用(Use)戶的(Of)計算機系統，洩密，竊取網銀或遊戲帳号，有可能造成用(Use)戶的(Of)系統被破壞甚至癱瘓。 

　　一(One)般的(Of)木馬程序都包括客戶端和(And)服務端兩個(Indivual)程序，其中客戶端是(Yes)用(Use)于(At)攻擊者遠程控制植入木馬的(Of)機器，服務器端程序即是(Yes)木馬程序;攻擊者要(Want)做的(Of)第一(One)步是(Yes)要(Want)把木馬的(Of)服務器端程序植入到你的(Of)電腦裏面。 

　　目前木馬入侵的(Of)主要(Want)途徑有郵件附件、下載軟件、網頁挂馬、U盤自動執行、msn或QQ文件傳送等，然後通過一(One)定的(Of)提示故意誤導用(Use)戶打開執行文件，比如某天你在(Exist)上(Superior)網時(Hour)，突然msn彈出(Out)個(Indivual)窗口，有個(Indivual)朋友給你發了(Got it)條短消息“KAN WO DE ZHAOPIAN ”，并随後發送一(One)個(Indivual)zip壓縮文件包，你以(By)爲(For)是(Yes)好友發過來(Come)的(Of)照片文件，一(One)旦點擊就會中招，木馬已經悄悄在(Exist)你的(Of)後台運行，之後向你的(Of)msn好友列表大(Big)肆濫發消息傳播，中毒的(Of)機器還會在(Exist)你的(Of)電腦上(Superior)留有後門，可供黑客遠程控制。一(One)般的(Of)木馬執行文件非常小，大(Big)部分都是(Yes)幾K到幾十K，如果把木馬捆綁到其他(He)正常文件上(Superior)，你很難發現，所以(By)，有一(One)些網站提供的(Of)軟件下載往往是(Yes)捆綁了(Got it)木馬文件的(Of)，你執行這(This)些下載的(Of)文件，也同時(Hour)運行了(Got it)木馬。國(Country)家計算機病毒應急處理中心近來(Come)通過對互聯網監測發現，很多計算機用(Use)戶受到一(One)些惡意木馬程序的(Of)威脅。目前，惡意木馬程序有以(By)下幾個(Indivual)特點：(1)惡意木馬會利用(Use)系統漏洞或第三方軟件漏洞進行傳播感染，(2)惡意木馬傳播途徑大(Big)部分會采用(Use)網頁挂馬的(Of)形式，(3)惡意木馬具有很強的(Of)隐蔽性和(And)破壞力。 

　　木馬具有多種特性，典型的(Of)有：隐蔽性、自動運行性、自動恢複功能、能自動打開特别的(Of)端口、包含具有未公開并且可能産生危險後果的(Of)功能的(Of)程序等。 

　　典型的(Of)“輪渡”木馬，其程序的(Of)特征就是(Yes)：在(Exist)移動U盤内駐存隐藏文件AutoRun.Inf和(And)sys.exe，當該移動U盤接入A電腦時(Hour)，病毒程序自動運行，将A電腦内的(Of)涉密文檔下載并打包保存在(Exist)隐藏文件中，當該移動U盤插入B電腦時(Hour)，就會将從A電腦中下載的(Of)文件傳入到B電腦。這(This)樣，如果是(Yes)移動U盤在(Exist)内網中使用(Use)，就有可能造成加密文擋在(Exist)内網不(No)同電腦間的(Of)傳播;如果将移動U盤插入外網電腦，加密文裆就可能通過互聯網，被竊密者遠程下載。 

    構建木馬控免體系 

　　綠盟科技根據用(Use)戶的(Of)安全需求及當前的(Of)安全形勢，建議在(Exist)政府内部辦公網構建木馬控免體系，如下圖所示，從辦公電腦和(And)網絡出(Out)口兩方面入手，在(Exist)辦公電腦上(Superior)安裝内網安全管理系統代理，在(Exist)網絡出(Out)口部署安全網關，在(Exist)木馬傳播過程中可能的(Of)關鍵點上(Superior)，進行有效防護和(And)控制; 

　　(1) 首先确保辦公電腦安全，對受控的(Of)内網辦公電腦進行基線安全檢查，對不(No)滿足基線安全要(Want)求的(Of)辦公電腦通過内網安全管理系統和(And)補丁系統、殺毒軟件聯動，主動進行補丁更新、病毒庫升級，防止辦公電腦自身存在(Exist)安全漏洞被木馬、病毒利用(Use);利用(Use)内網安全管理系統的(Of)主機入侵保護、主機防火牆、防ARP木馬欺騙等功能保護政府辦公電腦，防止木馬入侵及木馬傳播等;近來(Come)網頁挂馬愈演愈烈，内網安全管理系統的(Of)網頁防挂馬可以(By)防止用(Use)戶在(Exist)用(Use)IE浏覽網頁時(Hour)系統被悄無聲息地注入木馬。 

　　(2) 對辦公電腦應用(Use)系統的(Of)防護也是(Yes)很重要(Want)的(Of)，通過軟件名稱關鍵字監控指定軟件的(Of)安裝使用(Use)行爲(For)，對非法安裝使用(Use)的(Of)軟件實時(Hour)監控并告警;一(One)旦發現木馬入侵運行即可及時(Hour)通知管理員進行處理;利用(Use)内網安全管理系統中終端審計功能，包括文件、系統、日志三部分，系統一(One)旦發現内部員工違規操作(Do)、越權訪問等行爲(For)，能及時(Hour)報警; 

　　(3) 控制U盤、移動硬盤、光驅等外設的(Of)使用(Use)，管理員可以(By)對USB外設進行注冊授權認證，注冊認證過的(Of)USB外設才可以(By)在(Exist)内網使用(Use)，而加密的(Of)U盤則無法在(Exist)别的(Of)電腦上(Superior)打開，這(This)樣能有效地管理控制USB外設濫用(Use)行爲(For);在(Exist)安全控制方面，系統能夠對存放于(At)U盤或光盤上(Superior)的(Of)Windows“自動播放”進行控制，防止autorun病毒木馬傳播與擴散。 

　　(4) 利用(Use)内網安全管理系統中的(Of)非法外聯檢測功能，管理内網辦公電腦的(Of)modem、無線網卡使用(Use)，防止私自撥号上(Superior)網，防止非法外聯洩密。 

　　(5) 系統執行準入控制，設置準入的(Of)安全策略對接入設備進行驗證，保證認證通過的(Of)機器才能接入網絡，防止存在(Exist)安全隐患或未經授權的(Of)機器接入内網，對第三方要(Want)求接入的(Of)設備都要(Want)進行木馬、病毒查殺。 

　　(6) 網絡出(Out)口安全是(Yes)最後的(Of)防線，通過在(Exist)政府網絡出(Out)口及各委辦局接入網的(Of)網絡出(Out)口部署安全網關，能夠很好地控制不(No)同網段的(Of)訪問，隔離互聯網，防範黑客的(Of)攻擊及木馬、蠕蟲等惡意軟件入侵;作(Do)爲(For)綠盟自主研發的(Of)兩個(Indivual)産品，内網安全管理系統和(And)安全網關可以(By)實現聯動，可以(By)實現在(Exist)網關出(Out)口限制未安裝代理軟件終端對外網連接，從而禁止非法終端通過網關出(Out)口洩露内網信息。 

　　據綠盟科技客戶服務中心對用(Use)戶回訪報告顯示，安裝了(Got it)内網安全管理系統和(And)安全網關的(Of)客戶，内網安全得到大(Big)幅度的(Of)提升，可以(By)有效應對目前常見的(Of)網頁挂馬、外設使用(Use)控制，杜絕了(Got it)無意識洩密的(Of)情況;網絡系統運行平穩，内部辦公使用(Use)效率得以(By)提高，用(Use)戶滿意度也有較大(Big)提升。 

　　綜上(Superior)所述，政府木馬控免解決方案從主機安全防護、應用(Use)軟件監控、外設訪問控制、非法外聯檢測、安全準入控制、出(Out)口安全防護等多個(Indivual)角度構建一(One)套完整的(Of)木馬控免體系;通過技術手段保障内部網絡系統不(No)受木馬侵擾，安全管理制度有效落實在(Exist)行動上(Superior)，可以(By)有效斬斷木馬、病毒等惡意軟件的(Of)傳播，防止機密信息洩露。 

嘉興雷鳥是(Yes)一(One)家集企業軟件開發，WEB網站建設，移動APP制作(Do)等綜合型的(Of)互聯網公司，爲(For)嘉興顧客提供一(One)站式的(Of)企業軟件開發，安卓app開發，ios開發服務，同時(Hour)爲(For)嘉興企業提供全面移動互聯軟件技術解決方案，是(Yes)嘉興知名的(Of)綜合型APP軟件外包開發公司。根據前期調研方案和(And)客戶實際需求，以(By)專業獨到的(Of)設計理念、精益求精的(Of)技術精神、嚴格完善的(Of)品控系統，爲(For)嘉興每一(One)位客戶提供專屬的(Of)移動互聯軟件技術解決方案。經過不(No)斷積累，嘉興雷鳥陸續推出(Out)視頻直播APP、電商商城APP、P2P網貸APP、智能硬件APP開發、移動APP開發、微信公衆平台開發、一(One)元購APP、智慧社區服務APP、生活服務O2O系統APP等各類APP産品，爲(For)嘉興各行企業向移動互聯網轉型奠定了(Got it)堅實基礎。在(Exist)激烈的(Of)市場競争中，嘉興雷鳥創造了(Got it)嘉興軟件定制開發行業的(Of)卓越口碑，是(Yes)具有更高品質的(Of)移動互聯網軟件技術定制服務商。