南通市建設(shè)信息中心 葛春林

芻議網(wǎng)絡(luò)安全威脅防范策略

南通市建設(shè)信息中心 葛春林

計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展使得互聯(lián)網(wǎng)已經(jīng)深入滲透到人類社會的生產(chǎn)生活之中，由此產(chǎn)生的網(wǎng)絡(luò)安全問題也越來越受到人們的關(guān)注和重視。為避免因網(wǎng)絡(luò)安全問題造成的不可預估的損失和災難，在享受互聯(lián)網(wǎng)帶來的便捷生活的同時，應(yīng)當采取一些必需的策略和措施來保障網(wǎng)絡(luò)環(huán)境的安全，防范可能出現(xiàn)的威脅和風險。本文首先闡述了計算機網(wǎng)絡(luò)面臨的三類安全威脅，然后從五個方面提出針對這些威脅的防范對策，旨在為目標人群安全使用網(wǎng)絡(luò)提供必要的指導建議，以期達到從整體上加強網(wǎng)絡(luò)安全威脅防御的目的。

網(wǎng)絡(luò)安全；威脅風險；安全漏洞；防范策略

0 引言

經(jīng)濟多元化發(fā)展的今天，人們的生活越來越離不開信息網(wǎng)絡(luò)世界，對網(wǎng)絡(luò)空間的安全也提出了更高的要求。網(wǎng)絡(luò)安全問題可以造成的嚴重危害有目共睹，僅以2016年為例，就有OpenSSL新型安全漏洞“水牢”威脅我國十余萬家網(wǎng)站、315晚會上曝光不法分子利用公共WIFI漏洞盜取他人銀行賬戶資產(chǎn)、俄羅斯黑客盜取2.7億郵箱賬號密碼并在黑市交易、山東臨沂準大一新生徐玉玉因電信詐騙死亡、國家電網(wǎng)掌上電力及電e寶等App泄露大量用戶數(shù)據(jù)等重大網(wǎng)絡(luò)安全事件發(fā)生。因此，提高全民的網(wǎng)絡(luò)安全意識、普及網(wǎng)絡(luò)安全威脅防范知識已成為當務(wù)之急。只有在全民做好防范應(yīng)對的前提下，才真正能夠抵御來自于互聯(lián)網(wǎng)的絕大部分威脅和風險，營造一個健康和諧、更好地為人類生活服務(wù)的網(wǎng)絡(luò)社會。

1 網(wǎng)絡(luò)安全三類威脅

根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）網(wǎng)絡(luò)安全信息與動態(tài)監(jiān)測結(jié)果，2016年12月12日至12月18日，我國境內(nèi)被篡改網(wǎng)站數(shù)量達3438個（其中政府網(wǎng)站79個）；境內(nèi)被植入后門的網(wǎng)站數(shù)量達1614個（其中政府網(wǎng)站33個）；針對境內(nèi)網(wǎng)站的仿冒頁面數(shù)量達2486個。境內(nèi)感染網(wǎng)絡(luò)病毒的主機數(shù)量達94.8萬，其中包括被木馬或被僵尸程序控制主機72.8萬，感染飛客（conficker）蠕蟲主機22萬；新增信息安全漏洞274個，其中高危漏洞98個。與前一周相比，被篡改網(wǎng)站、仿冒頁面、感染病毒主機、新增信息安全漏洞等數(shù)量都在增加[1]?？梢姡ヂ?lián)網(wǎng)安全威脅普遍、大量存在，而且有不斷增加的趨勢。這些威脅依據(jù)安全三要素“人、機、環(huán)境”可分類為：人為威脅、計算機威脅和網(wǎng)絡(luò)威脅。

1.1 人為威脅

人為威脅[2]即由用戶非正常操作引起的威脅，包括：（1）無意識的操作失誤，如系統(tǒng)管理員安全配置不當、系統(tǒng)登錄口令強度太弱、長時間離開未鎖定計算機、重要賬號隨意轉(zhuǎn)借他人、下載運行存在安全風險的軟件程序等；（2）有意識的主動攻擊，如通過釣魚郵件、社會工程學等方法竊取重要數(shù)據(jù)信息，或者利用病毒木馬傳播、惡意代碼植入、拒絕服務(wù)攻擊等方式對系統(tǒng)和數(shù)據(jù)進行篡改甚至破壞。

1.2 計算機威脅

計算機威脅主要是由計算機自身部署的軟硬件產(chǎn)生的威脅，包括：（1）因操作系統(tǒng)、數(shù)據(jù)庫或其他應(yīng)用系統(tǒng)未及時升級至最新版本導致存在可被利用的漏洞或者“后門”[3]；（2）因需要提供某些特定服務(wù)而開啟相應(yīng)端口，這些服務(wù)和端口同時也可能被攻擊者利用；（3）因接入外部設(shè)備（如U盤、攝像頭、打印機等）導致敏感信息泄露或計算機被感染等問題。

1.3 網(wǎng)絡(luò)威脅

網(wǎng)絡(luò)威脅是三類威脅中存在最廣泛、危害性最強的?；ヂ?lián)網(wǎng)上充斥著各種各樣、不計其數(shù)的病毒、木馬和惡意代碼，未作任何防護措施的計算機直接接入網(wǎng)絡(luò)中的危險不言而喻；網(wǎng)絡(luò)通信協(xié)議使得具有不同硬件架構(gòu)和操作系統(tǒng)的計算機能夠互聯(lián)互通，但許多早期協(xié)議在設(shè)計之初并未考慮網(wǎng)絡(luò)安全問題，不可避免會存在安全隱患；除此之外，互聯(lián)網(wǎng)中還遍布各種具有攻擊能力的網(wǎng)絡(luò)工具，攻擊者可以操縱這些工具并結(jié)合一些攻擊命令實現(xiàn)各種攻擊目的，輕則竊取重要文件或造成目標計算機運行異常，重則完全控制目標計算機甚至造成物理性嚴重破壞。

2 常用網(wǎng)絡(luò)安全防范策略

為有效防范上述網(wǎng)絡(luò)安全威脅，結(jié)合生活生產(chǎn)實際，常用且有效的一些應(yīng)對策略和措施包括以下方面。

2.1 完善用戶賬戶口令安全

包括操作系統(tǒng)（如Windows、Linux/Unix）、數(shù)據(jù)庫（如SQL Server、Oracle、MySQL）、中間件（如Tomcat、Weblogic、JBoss）、遠程連接和文件共享服務(wù)（如Ftp、Telnet、SSH）、網(wǎng)絡(luò)設(shè)備（如網(wǎng)關(guān)、交換機、路由器、攝像頭、打印機）等重要軟硬件資源的管理員口令都應(yīng)設(shè)置為大小寫字母、數(shù)字及特殊字符的強組合，且應(yīng)達到一定長度并定期更換（如8位以上、每3月更換）。研究表明，暴力破解8位強組合口令的時間是8位純數(shù)字口令的7.2*107倍，是6位強組合口令的9.2*103倍，長度越長、組合越復雜的口令被破解成功的概率將以指數(shù)級減小。

對于Windows操作系統(tǒng)，應(yīng)特別注意禁用Guest來賓賬戶，有為數(shù)不少的成功入侵案例就是利用這個賬號存在的漏洞來達到入侵目的。為進一步加強反入侵效果，還可以將系統(tǒng)默認的管理員用戶名administrator修改為其他名稱，同時再創(chuàng)建一個具有極小權(quán)限的administrator賬戶，從而對攻擊者造成干擾和迷惑，爭取時間組織有效防御。

2.2 禁用不常用的端口

操作系統(tǒng)一般會默認開放一些網(wǎng)絡(luò)服務(wù)，如果確認不會用到這些服務(wù)，就應(yīng)該禁用服務(wù)對應(yīng)的端口，減少計算機暴露在網(wǎng)絡(luò)中的安全風險。對于個人終端計算機，可以禁用的常見端口包括：21（Ftp服務(wù)）、23（Telnet服務(wù)）、80/8080（Http服務(wù)）、139/445（網(wǎng)絡(luò)共享服務(wù)）、443（Https服務(wù)）、3389（遠程連接服務(wù)）等，這樣可以阻止相當一部分網(wǎng)絡(luò)攻擊。對于部署了數(shù)據(jù)庫和中間件的服務(wù)器計算機，應(yīng)該更改以下默認端口：1433（SQL Server）、1521（Oracle）、3306（MySQL）、7001（Weblogic）、8080（Tomcat/JBoss）等，達到在網(wǎng)絡(luò)中隱藏自身的目的。

2.3 及時更新最新升級補丁

任何軟件系統(tǒng)都不可能是絕對安全的，總會被有意者發(fā)現(xiàn)新的安全問題，因此開發(fā)商需要不斷發(fā)布升級補丁和重大版本更新來修復和封堵漏洞，保持系統(tǒng)的安全性和穩(wěn)定性。如果不及時更新至最新的版本，就很容易被攻擊者利用已知漏洞獲得系統(tǒng)控制權(quán)限或致使系統(tǒng)癱瘓。因此，應(yīng)定期檢查重要的軟件系統(tǒng)如操作系統(tǒng)、數(shù)據(jù)庫、中間件、辦公軟件、開發(fā)環(huán)境（如Java、PHP）等是否存在重要升級補丁或重大版本更新，及時選擇合適的時機完成升級更新，封堵來自于軟件本身的威脅。

2.4 部署安裝必要的安全軟、硬件

要保證計算機安全接入互聯(lián)網(wǎng)，以下安全軟件和硬件是必須部署安裝的：（1）防火墻/安全網(wǎng)關(guān)，用于實現(xiàn)對網(wǎng)絡(luò)的訪問控制，過濾不安全的流量數(shù)據(jù)包，禁用指定端口的通信和來自特定ip地址的訪問等[4]；（2）防病毒軟件，用于防范、攔截、查殺、隔離計算機病毒、木馬和惡意代碼；（3）加密U盤，用于防止他人在未通過身份鑒別的情況下直接獲取U盤中的文件數(shù)據(jù)。

企業(yè)級用戶還應(yīng)部署如下系統(tǒng)以達到更高的安全防護級別：（1）入侵檢測系統(tǒng)/入侵防御系統(tǒng)，用于自動檢測和防御來自外部網(wǎng)絡(luò)的可能的攻擊行為，并為網(wǎng)絡(luò)安全管理人員提供日志審計以追溯攻擊來源、識別較隱蔽的攻擊行為等；（2）漏洞掃描系統(tǒng)，通過掃描等方式檢測本地或遠程計算機系統(tǒng)存在的安全脆弱性，發(fā)現(xiàn)可被利用的安全漏洞隱患并提供相應(yīng)的修復和加固建議；（3）災備系統(tǒng)，用于對信息系統(tǒng)進行數(shù)據(jù)、軟件和硬件備份，使得在災難發(fā)生導致系統(tǒng)損毀時，能夠迅速、可靠地恢復到正常運行狀態(tài)。

2.5 應(yīng)用加密技術(shù)存儲、傳輸文件

對于具有密級級別的文件資料，如國家、商業(yè)、企業(yè)的絕密、機密和秘密文件，應(yīng)當進行加密存儲，防止攻擊者在成功入侵獲得文件后輕易解讀。目前的加密存儲方式可分為硬件加密、軟件加密和智能加密三類，其中使用最廣泛、最便捷的是軟件加密方式，常見如壓縮軟件WinRAR提供的加密壓縮包功能，以及一些專業(yè)加密軟件如“超級加密3000”、“文件夾超級加密大師”、“隱身俠”等。密級很高的文件不建議使用軟件加密，應(yīng)選擇安全性更高的硬件和智能加密方式。

重要文件和信息在網(wǎng)絡(luò)中的傳輸也應(yīng)該進行加密。一些早期的網(wǎng)絡(luò)傳輸協(xié)議如ftp、telnet等均以明文方式傳輸信息，只要傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)包被截獲，所有信息都將徹底暴露，毫無安全性可言，也正因如此，ftp和telnet服務(wù)已經(jīng)逐漸被相對安全得多的ssh服務(wù)所代替。除了信息傳輸方式應(yīng)設(shè)置為密文外，被傳輸?shù)奈募旧硪矐?yīng)當加密，以防傳輸通道被劫持或中間節(jié)點服務(wù)器被控制導致文件被他人獲得后可無限制訪問。

3 結(jié)語

網(wǎng)絡(luò)安全問題已經(jīng)成為一個全新的研究領(lǐng)域，構(gòu)建安全網(wǎng)絡(luò)空間的目標任重而道遠。文中的防范策略只是從抵御常見網(wǎng)絡(luò)安全威脅角度出發(fā)提出的，對于專業(yè)黑客實施的精確攻擊將很難起到效果。盡管如此，做好這些防范策略的宣貫和實施，仍然是有效提升非專業(yè)人士網(wǎng)絡(luò)安全意識、加強互聯(lián)網(wǎng)整體安全的重要手段和途徑，也是建立完善、健全的網(wǎng)絡(luò)安全防御體系的重要基礎(chǔ)。

[1]國家互聯(lián)網(wǎng)應(yīng)急中心.網(wǎng)絡(luò)安全信息與動態(tài)周報2016年第51期[EB/OL].http://www.cert.org.cn,2016-12-23.

[2]鄒凱.計算機網(wǎng)絡(luò)安全防范技術(shù)探討[J].硅谷,2012,9(1):181-181.

[3]全豐菽.計算機網(wǎng)絡(luò)安全的防范策略分析[J].信息與電腦:理論版, 2010(8):10-11.

[4]耿金秀.淺談計算機網(wǎng)絡(luò)安全防范措施[J].中國科技信息,2011(8):110-111.