一、前言 
近年来,来自网络内部的安全威胁渐渐地突显出来,内网安全已是关注重点,其中 “轮渡”木马病毒,对与因特网物理隔离的内网的数据安全产生了重大威胁。“轮渡”木马病毒,通常指依靠移动载体上的AutoRun.Inf文件运行病毒程序,其“感染”的主要对象是在因特网和内网计算机间交叉使用的U盘。当用户在接入因特网的计算机上使用U盘时,该病毒便以隐藏文件的形式自动复制到U盘内,如果用户将该U盘插入内网计算机上使用,该病毒就会自动运行,将内网计算机内的涉密文件以隐藏文件的形式拷贝到U盘中。当用户再次将此U盘连接因特网时,该病毒又会自动运行,将隐藏在U盘内的涉密文件暗中“轮渡”到因特网上特定邮箱或服务器中,窃密者即可远程获取涉密信息。为防止内网信息泄露,通常会物理隔离内外网,并在内网采用多种技术手段和安全措施。针对轮渡木马的特点,可采取关闭自动运行,安装移动载体管理系统,禁止非注册移动存储载体在内网使用,防止内外网交叉使用移动存储载体等措施,这些措施使得传统的轮渡木马逐渐难以发挥作用。但是,内网的信息资源相对较少,需要从因特网下载资源,从安全角度考虑,采取光盘刻录单项传递数据是一种较好方法,由此也产生了一种变异的“轮渡”木马:数据轮渡,即木马病毒体通过各种方式传播到内网,将获取的秘密数据刻录到光盘,当光盘放入连接因特网的计算机中时,木马从光盘读取数据,往外传递。
二、“数据轮渡”可能性分析
(一)从光盘使用角度分析
1、光盘的重复使用。cd光碟容量为650M,普通dvd光碟容量4.7G,DVD-9光碟容量8.5G,当利用光盘将资源从因特网复制到内网时,通常光盘都会有剩余空间,虽然一张盘的费用不多,出于习惯多数人一般会重复使用。资源复制到内网后,光盘不会立即销毁,为方便工作,可能在不同的内网计算机上使用,加剧了数据泄漏到光盘上的危险。另外,对于一些在因特网上难以下载或下载时间很长的资源,如一些视频文件或容量较大的软件,用户极有可能带回家,导致光盘的交叉使用,引发严重安全隐患。
2、刻录机的使用。在内网安全规定中,会严格限制光盘刻录机的使用,但对信息资源建设部门而言,出于工作需要,通常会有一台配有刻录机和打印机的公用计算机,用于上传资源、打印文件和刻录文件,使得打印的涉密文件有机会被刻录到光盘上。另外,目前笔记本计算机价格不高,使用方便,且大都配有刻录机,使刻录机更加难以管控。
(二)从技术层面分析
1、传播和数据获取问题。 “数据轮渡”木马的感染分为两种情况:连接因特网计算机的感染和内网计算机的感染。感染连接因特网计算机的机制与普通木马的传播机制是完全一致的,普通木马已能完美实现。感染内网计算机的方式侧重点有所不同,由于内网计算机与因特网隔离,只存在资源传递,感染主要利用系统漏洞、应用软件缺陷、捆绑软件和文档文件木马等方式实现,如视频文件木马、图片木马、word文档木马、快捷方式木马等等。感染目标计算机后,它会尽量隐蔽自己的踪迹,不会出现普通U盘病毒感染后的症状,如更改盘符图标、破坏系统数据、在弹出菜单中添加选项等。“数据轮渡”木马的唯一目的就是扫描系统中的涉密文件数据,它完全可以不具备普通木马的特征,只是将自身隐藏到比较深的位置,利用关键字匹配、文件类型匹配、文件大小匹配等手段将敏感文件加密保存到计算机上的隐秘位置,借机悄悄地刻录到光盘中。通过设定为特殊文件名,修改文件属性等方式,使刻录的数据具有一定的隐蔽性,又由于光盘文件无法删除,进一步增大了泄露的可能性。特定的窃密轮渡木马通常经过定制,隐蔽性针对性强,一般只感染特定的计算机,普通杀毒软件和木马查杀工具难以及时发现或者它们就认为是不必要发现的,但恰恰这样,对涉密单位的信息安全构成巨大的威胁。
2、后台刻录的实现问题。目前已有多种方式实现光盘写入,包括一些开源软件、商用的sdk和控件,一些刻录软件如nero也有接口sdk供第三方开发使用。微软公司在WindowsXP和Windows2003之后的操作系统增强了对刻录机的支持功能,启动IMAPI CD-Burning  COM  Service服务后能轻易实现光盘的刻录,微软公司还特意提供了IMAPI2开发接口。所以,木马软件完全可以实现光盘后台隐秘刻录。
三、结语
再好的信息安全防护系统,如果没有好的管理制度、管理策略相配套,也会形同虚设。目前还没有“数据轮渡”引发的泄密案例出现,要想加强内网安全,不仅需要管控住类似u盘可直接写入的移动载体,也要对光盘类载体进行严格管理,使内网刻录光盘只能在内网使用是防范“数据轮渡”的好方法。

文章如转载,请注明转载自:http://www.5iadmin.com/post/916.html