前言：中文期刊網精心挑選了小型企業網絡安全解決方案范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

小型企業網絡安全解決方案范文1

關鍵詞：linux；iptables；網絡安全；負載均衡

中圖分類號：TP316 文獻標識碼：A文章編號：1009-3044(2011)23-5606-02

Linux System Iptables under in the Application of Network Security

WANG Jian-qiang, YANG Hua, SUN Xue-feng, ZHANG Xiu-yun

(Nanyang Science and Technology Information Center, Nanyang 473000, China)

Abstract: In nanyang information center as an example, in order to strengthen the network security save the network investment for the purpose, completed a Linux system for the platform iptables defense of network security system. This system USES Linux open source stable characteristics, providing a high performance, high security, low cost of network security solutions.

Key words: linux; iptables; network security; load balance

Iptables由Netfilter項目開發，自2001年1月Linux 2.4內核以來，它就成為Linux的一部分了。多年來，iptables已發展成為一個功能強大的防火墻，它已具備通常只會在專有的商業防火墻中才能發現的大多數功能。例如，iptables提供了全面的協議狀態跟蹤、數據包的應用層檢查、速率限制和一個功能強大的機制以指定過濾策略。

由于iptables完全免費、功能強大、使用靈活、可以對流入和流出的數據包進行細化控制，也可以在一臺低配置的機器上很好的運行。所以linux系統下iptables為平臺的網絡安全解決方案，對于中小型企業都具有重要的意義。

1 需求分析

網絡安全是企業網絡正常運行的前提。網絡安全不單是單點的安全，而是整個企業信息網的安全，需要從物理、網絡、系統、應用和管理方面進行立體的防護。要知道如何防護，首先需要了解安全風險來自于何處。網絡安全系統必須包括技術和管理兩方面，涵蓋物理層、系統層、網絡層、應用層和管理層各個層面上的諸多風險類。無論哪個層面上的安全措施不到位，都會存在很大的安全隱患，都有可能造成業務網絡的中斷。因此企業的網絡安全在企業中具有非常重要的作用。

本平臺最突出的特點是網絡運營成本低,比較適合中小型企業、學校等。目前，許多企業網絡采用電信級別的硬件安全設備，其昂貴的設備費用、維護費用、設備更新費用成為企業的重要負擔。本方案與以上所比具有以下優勢：

1）對企業現有網絡沒有影響。

2）節省昂貴的電信級硬件安全設備費用、維護費用。

3）系統升級管理方便、升級費用低廉。

4）對管理員的技術能力要求不高，系統容易被掌握。

5）本方案的源代碼全部是公開的系統，可以有效的后門等存在的網絡安全隱患。

6）所有網絡應用放置在內網服務器上，加強網絡安全性。

2 解決方案

本平臺放置在網絡出口，平臺分為內網和外網。所有的企業應用放置在內網服務器上，所有的上網用戶也分配虛擬ip地址通過服務器上網。示意圖如圖1。

搭建平臺前準備，計算機一臺（需要雙網卡），安裝帶有iptables的linux系統、交換機2臺、服務器和終端若干。以我單位的現狀為例：

2.1 內部公共服務（DNS、WEB、Email、ftp、數據庫等）的實現

1）平臺服務器綁定公共服務器需要的ip地址

假設需要綁定多IP的網卡是eth0，在/etc/sysconfig/network-scripts目錄里面創建一個名為ifcfg-eth0:0的文件，

內容樣例為:

DEVICE=”eth0:0″

IPADDR=”218.1.1.1″

BROADCAST=”218.1.1.255″

NETMASK=”255.255.255.0″

ONBOOT=”yes”

其中的DEVICE為設備的名稱，IPADDR為此設備的IP地址，BROADCAST是廣播地址，NETMASK為子網掩碼，ONBOOT 表示在系統啟動時自動啟動。如果需要再綁定多一個IP地址，只需要把文件名和文件內的DEVICE中的eth0:x加一即可。LINUX最多可以支持255個IP別名。

可以把下述命令加在啟動自運行文件里面，在Gentoo下是/etc/conf.d/local.start，而某些版本的Linux是/etc/rc.d/rc.local。

ifconfig eth0:1 228.1.1.2 broadcast 218.1.1.255 netmask 255.255.255.0

2）在平臺服務器上面映射服務端口

Iptables Ct nat CA POSTROUTING Cs 172.16.1.0/24 Co eht0 Cj SNAT Cto 218.1.1.2

Iptables Ct nat CA PREROUTING Ci eth1 Cd 218.1.1.1 Cp tcp Cdport 80 Cj DNAT Cto 172.16.1.6

Iptables Ct nat CA PREROUTING Ci eth1 Cd 218.1.1.1 Cp tcp Cdport 25 Cj DNAT Cto 172.16.1.7

Iptables Ct nat CA PREROUTING Ci eth1 Cd 218.1.1.1 Cp tcp Cdport 22 Cj DNAT Cto 172.16.1.8

2.2 建立網絡安全數據過濾規則

在linux命令行下鍵入并加入到/etc/rc.d/rc.local中去

##清空所有規則

iptables CF

iptables Ct nat CF

##設定允許通過的端口

iptables -t nat -A PREROUTING -p tcp --dport 21-j ACCEPT -i eth0

小型企業網絡安全解決方案范文2

網絡不僅是一種高深的科技，而且成為人們必不可少的工具。企業上網大大提高了企業運作效益，降低了企業成本。應該看到，企業在經營發展過程中，除了內部的運轉管理外，還有大量的外部業務活動，包括與合作伙伴，上、下游企業，客戶甚至競爭對手的各式各樣的業務往來。過去這些業務活動多半是通過電話、傳真、信件等傳統通信方式輔助進行，而在因特網出現后的今天，這些業務活動幾乎無一例外地正在轉移到因特網上，并且這種轉變的速度和程度都是非常驚人的。也就是說，過去傳統意義上的企業內外部經營活動包括業務信息溝通，訂貨訂單處理，庫存物流管理，客戶服務，批發或零售等等已經全部可以在因特網上實現了。所有這些應用都可以稱之為企業上網，又被業界稱為電子商務應用，它被認為是21世紀企業的必由之路。

二、行業分析

（一）企業上網的緊迫性

對于中國的企業來說，企業網的來臨可謂恰逢其時。隨著中國向混合市場經濟的加速發展，中國各行各業的公司企業都在積極準備迎接國內外市場中日益激烈的競爭形勢。這些公司深知：如果想在這個白熱化的市場競爭中獲得成功，就必須最大限度地提高企業生產力和降低生產成本。因此，各大企業都迫切需要建立自己的信息技術基礎設施，以便將分散在各地的業務部門聯系在一起并加快整個企業內部的信息交流和服務速度，從而加強自己在市場中的競爭優勢。

（二）、企業上網的需求

企業網絡信息系統建設應該以用戶的需求為著眼點。目前，隨著網絡技術的飛速發展和應用水平的逐步提高，企業用戶的需求，主要體現為：

（1）先進性，要求網絡采用先進的技術，以保證整個企業網絡系統在技術上的先進性；

（2）穩定性與可靠性，要求網絡高度穩定、可靠，這是網絡建設成功的關鍵，而高度穩定、可靠的網絡系統有利于維護和管理，可減少網絡系統的擁有成本；

（3）高性能，要求網絡系統具有高性能，以滿足計算機網絡系統運行大量關鍵業務（如項目設計、項目管理、CAD、OA、MIS、ERP及多媒體應用等）的需要；

（4）vlan劃分的靈活性，因為網絡系統站點數和運行的應用都在增多，所以要求網絡平臺具有靈活的虛網（VLAN）劃分能力；

（5）由于網絡系統可能要傳輸多媒體信息，因此要求網絡平臺具有良好的服務質量和較小的延遲；

（6）要求網絡平臺具有良好的易管理性，減少運行、維護及管理成本；

（7）要求選擇具有良好發展前景的網絡廠商的產品，這樣才能保證平臺具有良好的售后服務、投資保護，更為關鍵的是能夠保證網絡系統持久的先進性。

三、企業網絡主干技術選擇：

企業局域網絡技術的選擇主要是主干技術的選擇，現今適合作局域網絡主干技術的主要有千兆以太網及ATM兩種。

千兆以太網是網絡界公認的技術發展方向之一，它是對成功的10M和100MIEEE802.3以太網標準的擴展，仍然沿用以太網IEEE802.3幀格式，全雙工操作和流控制方法。在半雙工模式下，千兆以太網使用同樣的CSMA/CD訪問方法來解決媒體的通信競爭問題，并使用由IEEE802.3小組定義的同樣的管理對象。概括起來，千兆以太網的優點在于：網絡技術可靠，易于管理，具有可伸縮性，且它相對于ATM的價格水平要低得多；缺點為部分標準不統一。

ATM規定各種類型的服務（聲音、圖像、數據）信息都由大小固定的53字節的信元進行傳輸。ATM優點為：支持線路交換和分組交換；對廣域網和局域網采用相同的技術；在普通線路上同時傳輸視頻、語音和數據；對多種業務可保證服務質量，按需分配帶寬。缺點為：管理和維護復雜；基于ATM的應用較少；ATM產品相對于以太網產品價格昂貴；部分標準不統一。

千兆以太網能與桌面的以太網和快速以太網無縫銜接，因為他們采用的協議是相同的。ATM網絡與以太網共存時，需在幀和信元之間進行轉換。在企業園區網，90％的應用都是基于以太網或快速以太網的，千兆以太網以其從以太網及快速以太網升級方便、易管理和低廉的價格使ATM舉步維艱，ATM的傳統優勢如傳輸多媒體和傳輸的距離長也日漸遜色。千兆以太網支持資源預留協議（RSVP）、IEEE802.3、IEEE802.1Q、Irecedence、獨立組播路由協議（PIM）、國際互聯網成組管理協議（IGMP）等，這就使得千兆以太網傳輸多媒體成為可能，已有廠家的千兆以太網產品傳輸距離超過100公里。因此建議，企業園區網在主要傳輸數據的情況下，應選擇千兆以太網作主干技術。

四、企業網絡構架的基本方案

企業網中大部分是中小企業，中小型企業最大的特點是小規模與高效率的結合。他們往往不擁有完備的信息技術部門，但是網絡應用對他們同樣關鍵。因此，中小企業需要量身定做的解決方案。面對這一情況，上海廣電應確信公司針對不同規模企業，推出了一系列解決方案，以幫助中小企業提升其競爭力。

4．1基本網絡方案簡述

根據企業網站可提供的內容和它的實際應用情況，企業上網可分為兩部分，一部分是實現各企業部門內部辦公功能的內部網，即Intranet。另一部分是各企業部門網站在Internet上信息與交流的外部網。

一旦企業建立了Intranet，就可用它來信息、增強企業的通信能力、建立合作的環境。有些應用很簡單，只是用HTML語言建立內部的環球網服務器信息；有些應用較復雜，需要連接數據庫。下面列出一些Intranet的應用： 銷售報告、財務報告、客戶信息、季度統計、廠商信息、產品信息、市場信息小冊子、產品開發信息、物資和元部件目錄、倉庫信息、網絡管理、資產管理、新聞組、電子郵件、培訓。

4．2具體方案實施：

按照網絡的規模可具體劃分為以下幾個方案：

（1）小型企業信息系統方案：通常指在20－30個工作站以內的小型辦公室(辦公環境較集中)網絡環境的方案。

（2）中型企業信息系統方案：即指在30個工作站以上的中型辦公園區（辦公環境較分散，距離教遠）網絡環境的方案。

（3）大型企業信息系統方案：即指在超過幾百個工作站以上的大型辦公園區并有外地分支機構網絡環境的方案。

4.2.1小型企業信息系統方案

小企業辦公室網絡，相對于大、中型企業網絡，可以說是麻雀雖小，五臟俱全，同樣有著文件共享、打印共享、電子郵件、財務管理、庫房管理、Web等大型網絡所具有的需求。

由于小型企業網絡站點數較少，而且聯網的站點較集中（例如，在一幢樓內）。因此，結構化布線時就可以只采用雙絞線就足夠了，每個站點（計算機）與集線器或交換機之間的距離不能超過100米。

方案說明

網絡配置：中心選用InfiniteSwitch5024機架型快速以太網交換機(24口10/100M自適應以太網交換機)，采用10/100M自適應端口連接服務器及工作站。針對小型企業用戶我們推出桌面型硬件安全設備I1102，嵌入式的硬件安全架構，使其性價比很高。簡單配置的防火墻安全規則，方便客戶應用。同時可以作為DHCP服務器，具有本地路由器功能，支持以太網方式/CABLEMODEM/ADSL等方式接入INTERNET，方便的實現共享上網。

方案特點：

(1)　性價比高；在方案中，沒有使用很多高端的設備，但已經完全可以滿足小型企業網絡的需求。

（2）功能齊全；提供了文件共享、打印共享、電子郵件、電子公告、庫房管理、遠程辦公、工資管理、財務分析、采購管理、資金管理、庫存管理、銷售管理等較齊全的功能，很適合于小型企業網絡環境。

（3）安全性高；采用InfiniteSwitch5024智能以太網交換機交換機，可以將單一的局域網劃分為多個相對獨立、互不干擾的VLAN（虛擬子網），可以方便地控制不同部門對某些資源的訪問權限，并能夠縮小廣播域，減少不必要的帶寬占用，有效提高網絡的安全性和性能。I1102通過IP過濾提供防火墻功能。可以對IP地址、端口號、協議種類等進行設置并加以控制。

5.2.2中型企業信息系統方案

由于中型企業辦公環境較分散，距離教遠，對網絡的性能要求較高（數據交換的安全性，設備運行的可靠性，網絡管理的全面性），對網絡的速度亦有提高。同時，每個網段最長只能100米的有效距離的雙絞線傳輸介質已經不能滿足中型企業網絡的使用需求，有時必須使用多模光纖或單模光纖做為布線時所采用的傳輸線纜，使得有效傳輸距離能夠延伸至2公里（多模光纖）或更遠（單模光纖）。

方案說明

中心選用InfiniteSwitch5000系列交換機，根據用戶數量及功能要求選用IS5048/5024/5024s .為了保護企業內部網絡的安全，在接入Internet時采用上海廣電應確信的防火墻I91XX，可以防止來自外部的非法的、惡意的攻擊。

由于中型企業辦公環境較分散，距離教遠，則在中心交換機上配置100Base-FX或1000Base-LX/SX光纖模塊.企業內部采用SVAI91XX通過DDN、FrameRlay、X.25等廣域網專線接入Internet，提供安全、快捷、簡便的企業外部網站方案。I91XX適用于中小型企業用戶，利用CheckPoint軟件及其OEC合作伙伴構成頂級配置，為用戶提供一個完整的網絡安全解決方案。

應用二：

方案說明

對于一個中型企業，如果公司內部有較多的部門，位置比較分散，而且相互之間要獨立的工作，對于用戶的訪問權限可以限制（如要求劃分vlan）,所有的部門通過公司的網絡中心的一臺三層交換機來接入internet，采用SVAHammerHead9300/9500/9800來對進行對網絡的安全進行保護。對于一些移動用戶可以采用無線接入設備(2020/1011/1001)來連入企業內部網及上INTERNET.

在公司的各個部門中采用的交換機均支持vlan的劃分，根據每個部門的規劃及距離網絡中心的遠近采用100MUTP或者100/1000M光纖接入。隨著員工數的增多，可以利用5024S/5024S 堆疊來擴展網絡，5024S/5024S 最多分別可堆疊至4臺/16臺，因此網絡有很好的擴展性及可管理性。

接入internet可以采用多種方式,通過TN/ISDN/DDN線路等多種方式，用戶可能根據需要來實現企業網接入公用網。

中型企業方案特點：

（1）較充分發揮了Internet/Intranet應用的特性

除了傳統的文件共享、打印共享等功能外，電子郵件、Web、電子公告、庫房管理、遠程辦公等功能都是基于Internet/Intranet應用實現的。使得整個網絡系統充分發揮了Internet/Intranet應用的跨平臺、與硬件無關、標準統一等特點，使得中小型企業可以與外界透明地通訊。

（2）維護小、投入少

中型企業網絡系統使用了較少的高端產品，投入少而功能齊。由于使用了Internet/Intranet結構構造中小辦公室網絡系統，使得網絡結構更加Client/Server化，作為網絡的管理維護，只需對Server端進行維護工作，對Client的維護工作大大減少，所以總體上也就大大減少了維護工作量，并節省了投資。

（4）提高工作效率、節省開支。

在此方案中，提供了電子郵件、電子公告、Web等實用、快捷的功能，大大提高了企業的辦公效率。同時提供了網絡內用戶對Internet的透明訪問，使企業內部可以充分利用Internet這個巨大的信息資源，更加提高了企業的辦公效率和資源利用。

5.2.3大型企業信息系統方案

大型企業辦公環境即指在超過幾百個工作站以上的大型辦公園區并有外地分支機構網絡環境。對網絡的性能要求很高，同時對網絡的速 度亦有很高的要求。大型企業網支持各種網絡功能，能夠通過廣域網接口實現Internet接入，建立企業主頁，為園區用戶提供E-mail電子郵件、WWW、FTP服務，同時支持網絡管理和電子信息的存儲、訪問管理。推薦采用局域網專線接入方式，此方式需要配備接入路由器,防火墻等網絡設備，租用電信部門的專線并向CERNET管理部門申請IP地址及注冊域名。接入路由器可以通過DDN專線、FrameRelay等與Internet相連。還可以按照需要組合配置多種WAN廣域網端口模塊，提供寬帶、QoS保證的遠程多媒體服務。為了保證企業網的安全，方案中提供SVAHammerHead9000安全平臺，SVAHammerHead9000系列是業界唯一模塊化網絡安全平臺和應用系統，在單一的設備上集成了路由、防火墻、入侵檢測、V、LAN連接和其他安全應用，為用戶提供可擴容及可靠的網絡安全整體解決方案。

在布線上，除了采用多模或單模光纖之外，甚至還需要從電信部門租用DDN、幀中繼、X.25、ISDN等專線，或者利用無線微波方式進行遠距離連接。

方案說明

在網絡中心選擇上海廣電應確信的InfiniteSwitch7508三層交換機和5024交換機。在各分部門或者分公司根據信息點數選擇InfiniteSwitch4000/5000系列交換機。

在網絡中心的核心層配置的InfiniteSwitch7508G第三層交換機，可完成高帶寬、大容量網絡層路由交換功能交換，是一種功能強大的企業網主干交換機，使網絡管理者能方便的監督和管理網絡，同時，又能將主干網帶寬提升到千兆速度，InfiniteSwitch7000/7500系列是可網管的，高端口密度，配置靈活的高性能路由交換機。提供7個擴展插槽，22G交換背板上。網絡管理員能夠隨時通過任意一個端口配置以上功能，以消除傳統路由器的瓶頸，設置優先級給不同類型的網絡傳輸及保證某些應用的流量帶寬，如視頻傳輸。

InfiniteSwitch7508G提供了廣泛的管理選擇，包括HPOpenView和其他的MP管理系統，或者InfiniteSwitch7508G自己提供的網絡管理系統。InfiniteSwitch7508G提供到與InfiniteSwitch4000/5000系列以太網交換機、防火墻和服務器群（其中包括主域服務器、備份域服務器、文件服務器、數據庫服務器、應用服務器、WWW服務器等）、網管終端的高速連接，重要的服務器及主干鏈路均可采用千兆模塊進行生成樹（aingTree）冗余鏈路連接。

接入層交換機，在本方案設計中，為了保證網絡的高性能，可采用InfiniteSwitch　4000/5000系列智能以太網交換機，根據具體實際需求，接入層交換機可選用InfiniteSwitch4024/4032/5024/5024s/5048交換機。

在方案中的防火墻，選用SVAHammerHead9300.HammerHead9300是3插槽機箱式的安全平臺，用戶可以根據需求選擇服務器、交換機、路由器等模塊。SVAHammerHead9000的多種應用模塊能支持Linux,HP/UX,DUNIX,WindowT和Suolaris等系統，它能為用戶提供防火墻保護、入侵偵測、身份認證、安全報告、內容安全、高可靠性。SVAHammerHead9000的有多種網絡模塊，它可支持多種的LAN/WAN互連，包括：Frame、ISDN、ATM、以太網。實現完整的一體化的網絡安全解決方案。

方案特點：

1、高性能；網絡中采用了第三層交換機，第三層交換不僅擁有高速的交換功能，同時也具有全部的第三層控制功能，可以對流量基于IP地址、IP的協議類型、以及TCP/UDP的端口進行交換控制，從而在提高網絡處理效率的同時，保障了VLAN之間通訊的安全性。

2、可擴展性；網絡設計具有層次結構，用戶能靈活地接入到相應的層次當中。可擴展的網絡接口。

3、靈活性；適當的建立VLAN，方便地理位置不同的用戶的網絡連接.

4、安全性；VLAN的建立，可以控制廣播和應用的信息流動，從而防止用戶非法在網絡上截獲其它用戶或它們的資源。HammerHead9000網絡安全產品保護企業內部資源，防止外部入侵，控制和監督外部用戶對企業內部網的訪問；控制、監督和管理企業內部對外部Internet的訪問。

5、層次化、模塊化；本網絡設計的特點為層次化、模塊化設計。

6、優良的性價比

六、總結

小型企業網絡安全解決方案范文3

此前，勒索軟件侵害的對象主要是一些有充裕資金的企業，但近期形勢發生了一些變化，中小企業、個人也都成為受災群體。隨著智能移動端設備的廣泛使用，勒索軟件感染的途徑更加多樣化，并且已經從傳統的PC端逐漸蔓延到手機端。在同一個商業網絡中，通過被勒索軟件感染的手機也有可能對網絡中其他設備造成不良影響，網絡中其他設備也可能遭受勒索軟件感染。

大型企業或機構中可能有一些專職IT管理人員會處理被勒索軟件感染的設備，但任何一位IT管理人員都不愿企業或機構的數百臺設備遭受勒索軟件感染。勒索軟件感染會致使關鍵系統處于離線狀態，以至于企業或機構的全部運營活動都處于危險境地。很多安全解決方案提供商對此做出分析，運用新技術，推出了一些安全防御解決方案，并且提出了一些可行的安全防御建議，供大眾參考。

持續跟蹤分析

在近期的一些勒索事件中，盡管大多數的勒索軟件犯罪組織并沒有特定的攻擊目標，但是，賽門鐵克的安全團隊發現，一部分犯罪組織已經將攻擊目標轉向特定企業，試圖通過破壞企業的整體運營以獲得巨額贖金。在今年年初，一家大型企業所遭受的精心策劃的勒索軟件攻擊事件正是犯罪組織針對特定企業發起攻擊的典型案例。在此類針對企業的攻擊中，攻擊者像網絡間諜一樣擁有高級專業知識，能夠利用包含軟件漏洞和合法軟件的攻擊工具包侵入企業網絡。勒索軟件攻擊者與網絡間諜之間并無區別，他們都是利用服務器上尚未修補的漏洞，在企業網絡中獲得立足點。通過使用多種公開的黑客工具，網絡攻擊者能夠看到企業的網絡結構，并使用未知的勒索軟件變種盡可能多地感染企業內的計算機。

此前，卡巴斯基也對勒索攻擊事件進行過持續的跟蹤分析。卡巴斯基發現，這種勒索軟件感染事件并非僅出現在局部地區，而是全球性的。因此，卡巴斯基提出了打擊勒索軟件的倡議，表示“打擊這種全球威脅需要國際間合作”。

不斷爆發的勒索軟件攻擊對企業造成了相當嚴重的影響，所幸企業的關鍵系統和大部分被勒索軟件加密的數據可以通過備份恢復過來。未來，我們可能會看到更多針對資金雄厚的企業發起的勒索軟件攻擊，以索要巨額贖金。

令人擔憂的趨勢

賽門鐵克最新的《勒索軟件與企業2016》調查報告中指出，勒索軟件已經成為當今企業和消費者面臨的最大網絡安全威脅之一。在2015 年，賽門鐵克共發現100種新型勒索軟件，創下歷史新高。在被發現的新型勒索軟件中，大多數為更危險的“加密勒索軟件”，這類惡意軟件可以通過強效加密鎖定目標的文件。

無獨有偶，卡巴斯基也發現，最近幾年，勒索軟件正在成為一個非常嚴重的問題。歐盟執法機關將其視為一種頭號威脅，約三分之二的歐盟成員國正在對這種形式的惡意軟件攻擊進行調查。

同2014年4月至2015年3月這段時間相比，在2015年4月至2016年3月遭遇所有類型勒索軟件攻擊的用戶總數增長了17.7%，全球受攻擊用戶從196.7784萬個增長到231.5931萬個；遭遇加密勒索軟件攻擊的用戶數量增長了5.5倍，從2014年―2015年的13.1111萬個增加到2015年―2016年的71.8536萬個；至少遭遇一次勒索軟件攻擊的用戶占所有遭遇惡意軟件攻擊的用戶總數的比例增長了0.7個百分點，從2014年―2015年的3.63%增長到2015年―2016年的4.34%；遭遇加密勒索軟件的用戶占所有遭遇勒索軟件攻擊的用戶數量比例顯著上升，上升了25個百分點，從2014年―2015年的6.6%上升到2015年―2016年間的31.6%；遭遇鎖定軟件（鎖定用戶屏幕的勒索軟件）的用戶數量下降了13.03%，從2014年―2015年的183.6673萬個減少到2015年―2016年間的159.7395萬個；德國、意大利和美國的用戶遭遇加密勒索軟件的比例最高。

再來看一看遭受勒索軟件感染后，用戶交付贖金的數額變化情況。賽門鐵克的《勒索軟件與企業2016》報告中指出，從2015年年末至今，勒索軟件的平均贖金增長超過2倍，從294美元增長至679美元。2016年，一種名為7ev3n-HONE$T的惡意軟件（Trojan.Cryptolocker.AD）要求每臺計算機支付13個比特幣的贖金，換算約為5083美元（根據發現的時間），成為最高的勒索金額。

勒索軟件的影響范圍

根據賽門鐵克的調查報告，美國成為感染勒索軟件最嚴重的國家，占全球的28%。排名前十的國家還包括加拿大、澳大利亞、印度、日本、意大利、英國、德國、荷蘭和馬來西亞。現在，個人消費者仍然是勒索軟件的主要攻擊目標（57%）。但長期趨勢表明，以企業為攻擊目標的勒索軟件攻擊次數正在緩慢且穩步地增長。

或許有人會提出這樣的問題，為什么目前勒索軟件的主要攻擊目標會有57%是個人用戶，而非企業用戶，攻擊這些目標群體真會獲得很多利潤嗎？企業對于自身信息應該更為看重，更應該愿意支付贖金，攻擊它們應該比攻擊個人用戶更有利可圖。賽門鐵克公司大中華區首席運營官羅少輝表示，不同的黑客發動攻擊時，所選擇的目標不盡相同。有些黑客僅針對個人用戶進行攻擊，因為個人用戶的安全意識比較低、防護措施也比較薄弱，黑客通過簡單的勒索軟件就能夠輕易地實施攻擊。同時，由于黑客對個人用戶的勒索金額較小，個人用戶為了盡快獲得密鑰會更加傾向于支付贖金。所以，現在的勒索軟件攻擊的對象大部分針對個人用戶。

而針對企業的攻擊，由于攻擊規模相對較大，因此黑客需要采用一些專業攻擊工具，花費較多的時間，因此黑客索要的贖金也是相當可觀的。“我認為，正是由于勒索軟件針對企業的攻擊數量上升，企業才會更加關注安全防護，逐步增強安全防御措施。”羅少輝補充道。

賽門鐵克的《勒索軟件與企業2016》調查報告還指出，當前受勒索軟件影響較大的行業為服務業（38%）、制造業（17%）、金融、保險和房地產業（10%），以及公共管理（10%）。

過去，黑客攻擊的主要方式是通過電子郵件進行傳播。但如今，黑客通常不再使用單一手法進行攻擊，黑客也會在同一時間，利用電子郵件、社交媒體和短信等多種不同方式隊攻擊目標。此外，勒索軟件會出現很多變種。因此，即便用戶對電子郵件保持謹慎，也有可能通過其他途徑感染勒索軟件。正是由于黑客的攻擊方式更加多樣化，賽門鐵克對勒索軟件的攻擊模式和途徑進行統一分析與整理還存在一定困難，無法全面對其梳理，繪制一個全面的圖表。

以郵件和URL傳播為主

由于勒索軟件可以通過多種途徑來傳播，因此基于單一層面的防護機制都無法有效防范勒索軟件。亞信安全的勒索軟件風險研究報告同樣顯示，在綜合部署電子郵件、URL、文件等多層防護機制之后，在防護邊界對于勒索軟件的檢測率可以達到99%。

亞信安全技術總經理蔡N欽指出：“勒索軟件作者會不斷改變程序代碼來繞過過濾程序，并且嘗試通過電子郵件、URL鏈接、文件等多種方式來入侵網絡。同樣，黑客也開始將惡意軟件目標放到服務器基礎設施上，與最近攻擊醫療行業的‘SAMSAM’雷同，它們無需與 C&C 服務器聯系也能加密檔案。簡言之，并沒有萬靈丹來防止這類網絡威脅，企業用戶需要盡可能地降低風險，并通過多層防護機制來進行檢查和攔截。”

從亞信安全7月的《勒索軟件風險研究報告》中還可以發現，在過去的10個月中，勒索軟件主要是通過電子郵件、URL、文件這三種方式進行傳播。其中，通過電子郵件傳播的勒索軟件數量出現了較為顯著的增長，占比從不足5%增長到46%，僅次于通過URL傳播的比例（52%）。

據亞信安全病毒監測實驗室分析：電子郵件與URL是勒索軟件傳播者尤為喜歡的兩種傳播途徑，主要是因為這兩種方式簡單有效，通過大規模群發的方式，不僅能夠降低傳播成本，還便于利用社交工程攻擊的方式來吸引更多人點擊。而且，這兩種方式要比很多人想象的更有效果，因為黑客會利用漏洞攻擊套件（Exploit Kit）攻擊操作系統及應用程序的漏洞，若用戶電腦沒有更新補丁，只是瀏覽一般網頁就可能會被勒索軟件感染。

對此，賽門鐵克也提出了幾條建議：

1. 新型勒索軟件變體會定期更新，賽門鐵克建議用戶及時更新安全防護軟件，確保防御能力。

2. 軟件更新通常包含最新發現的可被勒索軟件利用的安全漏洞補丁，用戶應該及時更新操作系統和其它應用軟件。

3. 電子郵件是感染勒索軟件的主要途徑之一。賽門鐵克建議用戶及時刪除所收到的任何可疑郵件，特別是包含鏈接或附件的郵件。

4. 謹慎對待任何建議啟用宏查看內容的Microsoft Office電子郵件附件。若無法確定電子郵件的來源是否可信，不要啟用宏并立即刪除該郵件。

5. 應對勒索軟件攻擊的最有效方式是對重要數據進行備份。攻擊者通過對重要文件進行加密，使受害者無法訪問。如果受害者擁有備份副本，可以在清除感染后立刻恢復文件。

與此類似，卡巴斯基也提出了一些安全解決方案和建議：

1. 必須進行數據備份。越早地將備份當作是日常使用計算機時必須做的事，能夠越早地對各種類型的勒索軟件免疫。這與賽門鐵克給出的第五條建議類似。

2. 使用一款可靠的安全解決方案。使用安全解決方案時，不要將高級安全功能關閉。通常，這些高級功能能夠基于程序的行為檢測最新的勒索軟件。

3. 保持計算機上的軟件更新。大多數常用的應用程序（Flash、Java、Chrome、Firefox、Internet Explorer、Microsoft Office）和操作系統（例如Windows）都具有自動更新功能。保持自動更新功能開啟，不要忽略這些應用程序安裝更新的請求。

4. 當心自己從互聯網上下載的文件，以及通過電子郵件收到的文件。尤其是來自不受信任來源的文件。換句話說，如果你想要下載的是一個mp3文件，但是卻得到了一個擴展名為.exe的文件，那這個文件絕對不是音頻文件，而是一個惡意軟件。要確保下載的內容沒有問題，最好的辦法是檢查其擴展名是否正確，同時要確保其能夠通過反病毒解決方案的掃描。

5. 如果某些原因導致你的文件被勒索軟件加密，并且要求你支付贖金，請不要支付。你付給網絡罪犯的每一分錢都會增強他們利用這種網絡犯罪形式獲利的信心，而這些錢會被用來制造新的勒索軟件。

同時，很多安全解決方案提供商，每天都在為對抗勒索軟件這種威脅努力工作。有時候，安全解決方案提供商開發出一些針對某些特定勒索軟件的解密工具，并且通過同執法機關合作，它們可以獲取到特定惡意軟件家族的加密密匙，可用幫助遭受勒索軟件加密的用戶來解密被加密的文件。最后一點，制造、傳播，以及索要贖金解密文件等行為，在全球大多數國家都屬于犯罪行為。如果遭遇攻擊，請向警方報案，以便開始調查。

健全防御機制

當企業中的一臺電腦（或智能設備）感染了勒索軟件后，如果員工將其接入其他商業或者家庭網絡中，是否意味著采用該網絡的相關設備也會陷入勒索軟件的威脅之中？對此，羅少輝表示：“部分勒索軟件會經由感染的終端擴散傳染至局域網和互聯網上的其他設備，這主要由勒索軟件的具體行為決定。盡管無法完全確定這種情況的發生，但采用該網絡的其他電腦或者智能設備陷入勒索軟件的威脅的可能性非常高。部分勒索軟件自身會在感染用戶電腦后進行擴散，從而使相連設備感染病毒，以此達到勒索更多贖金的目的。賽門鐵克建議，當發現一臺終端感染勒索軟件后，立刻將該終端與網絡隔離，減少大范圍感染的幾率。”

在中國“互聯網+”時代背景下，每個企業的發展都與互聯網息息相關，每個企業都參與云計算或者享受著云服務。隨著云應用的增長，云安全也變得尤為重要。近日，賽門鐵克公司宣布與北京神州云科信息服務有限公司（以下簡稱云科）開啟全面合作，共同打造企業云安全管理服務平臺，應對中國市場不斷激增的云和信息安全需求。

如今的安全防護已經從終端防御過渡到云端防御，賽門鐵克是否有更好的架構或技術，能夠從云端或者源頭防控勒索軟件等安全威脅呢？筆者就此詢問了賽門鐵克公司大中華區總裁威，他表示：“由于客戶的規模不同，因此采取安全防護的方法也有所不同。許多機關單位、金融機構，或者大型企業，平時十分重視對于終端安全的維護，也會配備安全設備和人員進行全方位安全防護。”威補充道：“許多中小型用戶，在IT方面的金錢和人員投入相對較少，一旦遇到惡意程序入侵或發現漏洞，很難及時實現終端防護。因此，中小型企業便可以將終端安全防御放在云上，借助云供應商的服務實現終端防護。云科擁有專業的安全團隊，能夠在云端為中小型企業提供安全服務，并對相關安全策略進行調優，以此來為中小企業提供更好的安全保障。如今，黑客攻擊的手段不斷更新，對于中小企業來講，如果僅依靠一到兩位安全人員進行安全管理，防護的效果較弱，也更容易受到黑客的攻擊。因此，云安全服務能夠為中小企業提供較為完善的安全保障，去彌補中小企業IT投入不足的問題。”

在防御策略上，很多安全解決方案提供商都認為要構建多層防御機制。賽門鐵克的安全產品及解決方案采取多層防護，能夠最大限度地降低勒索軟件的感染率。亞信安全提醒企業用戶，要將勒索軟件治理擺在更重要的位置，并在電子郵件與網頁、終端、網絡、服務器等多個層面搭建完整的多層防護機制，以保護企業信息資產的安全不受侵犯。

賽門鐵克所提供的綜合策略能夠在三個階段抵御勒索軟件的入侵：

1. 預防：電子郵件安全、入侵防御、下載洞察、瀏覽器保護、主動防御漏洞攻擊（PEP）。

2. 控制：基于簽名的高級反病毒引擎和具有機器學習的啟發式技術，例如SONAR和Sapient。

3. 響應：專門的事件響應小組可以協助企業應對勒索軟件攻擊并進行恢復。

亞信安全建議用戶從以下幾個維度入手，構建深層次的防御體系：

1. 文件：企業最好采取3―2―1規則，對重要文件進行備份，即至少做三個副本，用兩種不同格式保存，并將副本放在異地存儲。此外，亞信安全還推出了針對勒索軟件加密文件的解密工具，可以有效應對CryptXXX、TeslaCrypt、SNSLocker、AutoLocky等流行的勒索軟件及其變種的加密行為。

2. 電子郵件和網頁：部署涵蓋惡意軟件掃描和文件風險評估、沙箱惡意軟件分析技術、文件漏洞攻擊碼偵測、網頁信譽評估技術在內的防護技術，偵測并封堵通過電子郵件和網頁進行攻擊的勒索軟件。

3. 終端：少部分勒索軟件可能會繞過網絡/電子郵件防護，這也是為什么終端安全防護十分重要的原因，終端防毒系統可以監視可疑行為、配置應用程序白名單和使用弱點防護來防止未經修補的漏洞被勒索軟件利用。亞信安全防毒墻網絡版（OfficeScan）的Aegis行為檢測功能可以檢測部分的勒索軟件加密行為，并能夠對未知勒索軟件的防御起到積極作用。

4. 網絡：勒索軟件也可能通過其他網絡協議進入企業網絡進行散播，因此，企業最好部署能夠對所有網絡流量、端口和協議進行高級偵測的網絡安全防護系統，來阻止其滲透和蔓延。

5. 服務器：通過虛擬補丁防護方案，來確保任何尚未修補漏洞的服務器，有效防范“零日攻擊”。

6. 網關：在網關層面進行有效攔截，是企業最經濟的防御體系。亞信安全深度威脅安全網關Deep Edge具有極其簡潔的部署和管理方式，但卻包含了最重要的勒索軟件攻擊抑制能力。其擁有專門針對加密勒索軟件、C&C違規外聯及可疑高級惡意程序的監控窗口，還改進了和亞信安全深度威脅發現設備（TDA）及亞信安全深度威脅分析設備（DDAN）的產品聯動，能夠通過偵測、分析和攔截功能的融合，建立針對加密勒索軟件攻擊路徑的有效“抑制點”。

支付贖金與部署安全防御措施的性價比探討

從攻防成本的角度來說，中小企業受到惡意攻擊后，再采取的相應安全防護措施所造成的成本，遠比贖金價格更高。在這種成本壓力之下，很多中小企業都會選擇支付贖金。對中小企業而言，采用整套安全解決方案的成本會不會太高？威認為：“攻擊者選擇攻擊目標與實施攻擊的難易程度及贖金回報率有關。因此，許多黑客會選擇更高級的攻擊手段去攻擊大型企業，以得到更高的贖金。”