◆倪斌 李怀义 李文棣 童话

（应急管理部消防救援局昆明训练总队 云南 650000）

1 引言

随着信息技术的发展和网络应用的普及，消防系统构建了政务办公网、指挥调度网两大业务信息网络，采用内网方式运行，在网络内部署了独立的信息管理系统和数据库。

近年来，网络入侵事件也时有发生。主要方式有黑客攻击、病毒扩散、木马植入、后门软件监控等，利用系统漏洞、未屏蔽端口等可乘之机伪装入侵到内部网络中，盗取内网的重要信息，损坏重要数据和文档，给系统造成难以挽回的损失。2017年5月就爆发过一次大规模的勒索软件病毒事件，我国大量行业内网发生大规模感染，包括医疗、电力、能源、银行、交通、企业等多个系统均遭受不同程度的影响。该勒索软件是一个名称为“WannaCry”的木马，利用445 端口的SMB 漏洞MS17-010 传播扩散，造成损失最大的不是暴露在开放区域的互联网用户，而是防护级别更高的基于物理隔离保护下的行业内网终端，造成各行各业的数据损失难以估计。

2 消防系统内网安全威胁类型

我们利用威胁分析系统对消防系统某单位的内网数据出口网络安全威胁情况进行了一段时间的检测及分析。在1 个月的时间内，共发现记录了4.87 亿次攻击或异常行为。其中最多的行为是尝试获取用户权限，发生了4.82 亿次，其次是有280 万次密码暴力破解的行为被记录。根据信息分析，*.*.*.0/24 网段和IP 为*.*.*.204205206的设备异常行为较多，需做重点排查和深度检测。根据检测分析，内网网络安全威胁主要有恶意样本投递、漏洞攻击、Web 应用攻击、密码暴力破解、情报外联、蠕毒木马活动等几类攻击威胁类型。

图1 内网网络安全威胁情况监测统计图

3 内网系统威胁分析及对策思考

3.1 恶意样本投递

3.1.1 统计分析

在统计期间内，共发现恶意文件下载行为有1761 个，其中有13 1 个高危，1629 个危急。识别的文件恶意病毒类型主要有MALWAR E::HackTool.Win32.RemOxec.、AIHENE::Trojan.Swizzor.Gen.1、MAL WARE::Trojan.GenericKD.31716701 等5 类病毒。

3.1.2 恶意样本投递处置对策

（1）在内部重要主机如服务器、数据库存储上安装终端安全保护软件。

（2）检查被攻击的服务器是否运行正常，对服务系统进行全盘杀毒，查杀结束后重启设备，并检查重启后是否有其他新的文件或进程生成。

（3）检测内部是否有其他存在异常行为的主机，如：内存突然飙升，CPU 一直保持峰值等，对不正常主机进行排查。

3.2 漏洞攻击

3.2.1 统计分析

系统漏洞攻击就是指攻击者利用已知的系统安全漏洞或者系统已经暴露出来的弱点对主机进行针对性攻击。依据攻击载荷和攻击过程分析，共涉及有154 万余次攻击，涉及的攻击主要有3 类，SMBGhost scan（CVE-2020-0796）攻击76 万次，OS-WINDOWS Microsoft Windows Color Management Module buffer overflow attempt攻击75 万次，MS17-010 漏洞攻击2 万次。

3.2.2 漏洞攻击处置对策

（1）根据被攻击IP 统计，检查相关主机的进程及日志，并验证相关漏洞攻击是否成功，立即下线进行安全修复；

（2）增强企员工安全意识。对不明邮件附件和不明站点谨慎点击访问；

（3）定期及时更新系统安全补丁，并定期做安全巡检。

（4）对内部攻击源进行追溯，以确认攻击行为发生原因。

（5）对内部被攻击者进行安全查验。

3.3 Web 应用攻击

3.3.1 统计分析

在统计时段内，发现31，022 次Web 应用攻击。常见Web 应用攻击类型有：Web 明文口令泄露，CVE 漏洞攻击，信息泄露，特洛伊木马通信，疑似正常SQL 语句，潜在隐私策略违反，WebShell 检测等。受到Web 应用攻击可能导致数据被窃取、更改、删除，甚至执行系统命令等，以及进一步导致产生网站被嵌入恶意代码、被植入后门程序等危害。在分析中，发现传输载荷里明文传输了一些用户名和密码。这可能导致劫持后直接获取到相关系统账户权限，造成权限外泄。

3.3.2 Web 应用攻击处置对策

（1）验证是否存在对应漏洞，查看主机异常端口请求、CPU 使用率是否正常；

（2）删除启动项异常进程，安装木马查杀等专业防护软件；

（3）更新服务器补丁和各类中间件版本；

（4）进行漏扫扫描、专业人工渗透或代码审计和漏洞修复工作。

3.4 密码暴力破解

3.4.1 统计分析

在统计时段内，发现了2，810，938 条暴力破解行为记录，且存在有疑似密码爆破成功纪录。根据溯源调取发现，大部分目标为使用TCP 协议的445 端口，也混杂有SSH 等其他爆破手段。暴力破解是指攻击者通过组合所有可能性，例如登录账户名、密码等，尝试所有的可能性破解用户的账户名、密码等敏感信息。攻击者会经常使用自动化脚本组合出正确的用户名和密码。一旦破解成功，攻击者将能使用合法账号登录系统获取权限，危害极大。

3.4.2 密码暴力破解处置对策

（1）可以采取限制用户登录失败次数的方式，例如：用户一小时内连续登录失败5 次，就锁定该用户，禁止继续登录。可以通过管理员手动解锁或者几小时后自动解锁；

（2）增加验证码拦截器，验证码验证成功后才能请求到登录接口；

（3）增加密码的强度，尽量使用复杂的密码数字、字母或特殊字符组合的密码；

（4）增加密码定期修改功能，避免密码长时间未修改而导致隐患。

（5）对高危设备进行安全状况追溯，确保是否在被渗透后存在木马后门或其他危害行为，清除木马后门后，应加强防爆破的防护安全策略。

（6）对发起爆破的设备进行跟踪，确保是否是被控行为或其他异常行为过程导致监测到爆破结果。

3.5 情报外联

3.5.1 统计分析

通过采用威胁事件—APT 威胁—过滤APT 恶意样本的筛查发现，在统计期间内，共有异常行为次数达36，263 次，追溯次数靠前的几个目的IP 的第三方威胁记录，发现均是外省的IDC 设备，且都有或多或少的威胁行为记录。

建议进一步追溯调研事件排名较前的几个源IP 的真实业务和真实行为，根据实际情况核实异常行为产生原因，以消除相应隐患。

3.5.2 情报外联处置对策

需要进一步追溯调研事件排名较前的几个源IP 的真实业务和真实行为，根据实际情况核实异常行为产生的原因，以消除相应隐患。

3.6 僵尸网络

3.6.1 威胁分析

在僵尸主机中，发现内网主机有非法外联行为，连接的目标设备IP 共有50 个，被识别为僵尸主机。同时去第三方威胁情报平台查询该目标IP，也已被多次标记识别为恶意主机，疑似有内网设备或系统被控。系统分析的过程主要按以下策略进行：（1）排除域名解析结果为空的所有数据（代表域名解析不成功）；（2）排除所有会话状态“尝试建立连接，未回复”的所有数据（代表TCP 连接不成功）；（3）排除所有HTTP 返回内容长度为空的所有的数据（代表服务端不响应）；（4）根据IOC 在第三方情报库进行交叉验证；（5）溯源僵尸主机与C2 通信行为查看payload。在真实流量环境中进行排除，最终筛选出疑似受威胁的IP 列表。

3.6.2 僵尸网络处置对策

（1）对筛选出的IP 设备执行全盘病毒查杀；

（2）更新服务器补丁和各类中间件版本；

（3）进一步跟踪分析告警IP 的行为，看病毒查杀后外联是否有递减，如无成效应格式化设备后进行重新部署。

4 结束语

在信息化应用的过程中，消防系统内网的安全性尤为重要，决定着办公文件、内部资料、用户权限等的安全健康运行。但是内网建设的标准不统一，保护等级参差不齐，在运行的过程中，面临着较大的安全隐患。需要从以下三个方面加强建设：一是建立多层次的网络安全防护体系，在内网中部署防火墙、审计系统、运行维护管理系统等安全保障设备，具备访问控制、入侵防御、防病毒、带宽管理、加密流量检测、应用识别、流量探针、安全策略调优等能力，结合安全态势感知、身份认证、应用和数据的授权访问控制、安全审计机制，打造内网“纵深防御、主动防御、安全韧性”的安全保障体系。二是建立完善的内网管理制度和机制，对内网系统中的管理人员、维护人员、系统用户的操作进行有效的规范和记录。三是建立监测预警机制，通过对访问项目过程中所产生的网络流量进行深入的分析，对网络监测中的文件、邮件、网页等行为进行分析，结合大数据等方式，对各种高级病毒、特种木马的威胁等进行有效的分析，并对内网空间中存在的威胁进行有效的挖掘，进而对内网中存在的安全隐患进行有效的预警，并建立相应的预警机制，以保障内网的安全。