網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析及運(yùn)維防范措施

◆魯 霞 何 歡 胡仲殊 盧小云

（荊門(mén)市氣象局 湖北 448000）

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析及運(yùn)維防范措施

◆魯 霞 何 歡 胡仲殊 盧小云

（荊門(mén)市氣象局 湖北 448000）

隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和廣泛應(yīng)用，互聯(lián)網(wǎng)已成為我們工作和生活的重要組成。網(wǎng)絡(luò)在給我們帶來(lái)便利的同時(shí)，也帶來(lái)了黑客、計(jì)算機(jī)病毒甚至網(wǎng)上犯罪等安全隱患，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問(wèn)題。本文對(duì)當(dāng)今網(wǎng)絡(luò)存在的風(fēng)險(xiǎn)問(wèn)題進(jìn)行分析，并提出運(yùn)維防范措施，旨在不斷增強(qiáng)信息網(wǎng)絡(luò)安全應(yīng)用水平。

網(wǎng)絡(luò)安全; 黑客攻擊; 應(yīng)用漏洞; 防火墻; 運(yùn)維防范

0 前言

Intelnet網(wǎng)絡(luò)環(huán)境為信息共享、信息交流、信息服務(wù)創(chuàng)造了理想空間。但正是由于互聯(lián)網(wǎng)具有這種開(kāi)放、交互以及分散的特征，使網(wǎng)絡(luò)應(yīng)用產(chǎn)生了一些安全問(wèn)題，統(tǒng)計(jì)表明，近些年針對(duì)政府部門(mén)和重要行業(yè)單位網(wǎng)站的網(wǎng)絡(luò)攻擊頻度、烈度和復(fù)雜度不斷加劇，出現(xiàn)了向網(wǎng)站中植入釣魚(yú)頁(yè)面、針對(duì)性地實(shí)施拒絕服務(wù)攻擊，竊取網(wǎng)站數(shù)據(jù)和網(wǎng)上個(gè)人信息實(shí)施網(wǎng)絡(luò)犯罪等情況，我們的信息網(wǎng)絡(luò)安全受到極大威脅。如何更有效的保護(hù)網(wǎng)絡(luò)系統(tǒng)重要信息和數(shù)據(jù)，進(jìn)一步提高網(wǎng)絡(luò)系統(tǒng)安全性成為所有網(wǎng)絡(luò)應(yīng)用必須考慮和必須解決的一個(gè)重要問(wèn)題。

1 網(wǎng)絡(luò)安全常見(jiàn)問(wèn)題

1.1 網(wǎng)絡(luò)安全定義

從本質(zhì)上來(lái)講，網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。從廣義來(lái)說(shuō)，凡事涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域[1]。網(wǎng)絡(luò)安全問(wèn)題既涉及技術(shù)層面，也涉及管理層面。技術(shù)方面?zhèn)戎赜诜婪锻獠糠欠ㄓ脩舻墓簦芾矸矫鎰t側(cè)重于內(nèi)部人為因素。

1.2 常見(jiàn)安全問(wèn)題

常見(jiàn)的網(wǎng)絡(luò)安全問(wèn)題表現(xiàn)形式有以下三種:第一是黑客攻擊。“黑客”泛指電腦系統(tǒng)的非法入侵者。黑客一旦入侵成功，小則文件受損、機(jī)密泄露，大至威脅國(guó)家安全。目前隨著Web應(yīng)用程序的增多，這些Web應(yīng)用程序所帶來(lái)的安全漏洞越來(lái)越多，過(guò)去的安全問(wèn)題還未得到及時(shí)解決，新的安全漏洞又猶如雨后春筍不斷涌現(xiàn); 再則，隨著中國(guó)網(wǎng)民的急劇增加，中國(guó)計(jì)算機(jī)系統(tǒng)已成為黑客利用的主要對(duì)象之一，它們經(jīng)黑客遠(yuǎn)端控制后，會(huì)發(fā)出大量的垃圾郵件，惡意攻擊其它網(wǎng)站，傳播非法文字信息等，因此黑客攻擊問(wèn)題更加顯現(xiàn)。第二是計(jì)算機(jī)病毒。目前，數(shù)據(jù)安全的頭號(hào)危險(xiǎn)仍然是計(jì)算機(jī)病毒。計(jì)算機(jī)感染上病毒后，輕則使計(jì)算機(jī)效率下降，重則造成系統(tǒng)死機(jī)或毀壞，部分文件或全部數(shù)據(jù)丟失，甚至造成計(jì)算機(jī)主板等部件的損壞。有了互聯(lián)網(wǎng)后，病毒的傳播速度更快，涉及范圍更廣，危害性更大。另外就是垃圾郵箱和間諜軟件泛濫。一些人利用電子郵箱地址的公開(kāi)性和系統(tǒng)的可廣播性進(jìn)行商業(yè)、宗教、政治等活動(dòng)，把自己的電子郵件強(qiáng)行推入別人的電子郵箱，強(qiáng)迫他人接收垃圾郵件。間諜軟件的功能繁多，它可以監(jiān)視用戶行為，或是發(fā)布廣告，修改系統(tǒng)設(shè)置，威脅用戶隱私和計(jì)算機(jī)安全，并可能不同程度地影響系統(tǒng)性能，嚴(yán)重時(shí)可破壞計(jì)算機(jī)系統(tǒng)，甚至實(shí)施網(wǎng)上盜竊、詐騙等金融犯罪活動(dòng)[1]。

2 網(wǎng)絡(luò)安全面臨的主要安全威脅分析

2.1 黑客攻擊由網(wǎng)絡(luò)層轉(zhuǎn)向應(yīng)用層

當(dāng)今網(wǎng)絡(luò)安全面臨的主要威脅已由網(wǎng)絡(luò)層轉(zhuǎn)向應(yīng)用層。主要表現(xiàn)在兩個(gè)層面:（1）Web應(yīng)用程序不斷增多，這些程序所帶來(lái)的安全漏洞也越來(lái)越多; （2）隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，被用來(lái)進(jìn)行攻擊的黑客工具越來(lái)越多、黑客活動(dòng)越來(lái)越猖獗，組織性和經(jīng)濟(jì)利益驅(qū)動(dòng)非常明顯。未經(jīng)過(guò)特殊安全訓(xùn)練的程序員缺乏相關(guān)的網(wǎng)頁(yè)安全知識(shí); 應(yīng)用部門(mén)缺乏良好的編程規(guī)范和代碼檢測(cè)機(jī)制等等。解決此類問(wèn)題僅僅靠打補(bǔ)丁和安裝防火墻還遠(yuǎn)遠(yuǎn)不夠，必須在WEB層面上進(jìn)行整治。

2.2 面向WEB應(yīng)用層的主要攻擊及特點(diǎn)

（1）WEB安全主要攻擊

美國(guó)最權(quán)威的RSA大會(huì)研究顯示，目前Web應(yīng)用安全已超過(guò)所有以前網(wǎng)絡(luò)層安全，逐漸成為最嚴(yán)重、最廣泛、危害性最大的安全問(wèn)題。WEB安全的挑戰(zhàn)主要來(lái)自以下幾個(gè)方面:XSS跨站攻擊、SQL 注入、惡意代碼以及發(fā)布平臺(tái)自身漏洞等，前二者尤甚。

XSS跨站攻擊:跨站腳本攻擊（Cross-site scripting，通常簡(jiǎn)稱為XSS），可被用于進(jìn)行竊取隱私、釣魚(yú)欺騙、偷取密碼、傳播惡意代碼等攻擊行為。跨站攻擊的實(shí)施步驟見(jiàn)圖1。

圖1 跨站攻擊的實(shí)施步驟

SQL 注入:SQL注入類漏洞被黑客廣泛用于非法獲取網(wǎng)站控制權(quán)。是發(fā)生在應(yīng)用程序的數(shù)據(jù)庫(kù)層上的安全漏洞。利用SQL注入漏洞，攻擊者可直接攻擊數(shù)據(jù)庫(kù)，可能導(dǎo)致數(shù)據(jù)被竊取、更改、刪除,導(dǎo)致網(wǎng)站頁(yè)面被篡改、植入后門(mén)程序甚至被黑客獲取系統(tǒng)權(quán)限等危害。這種漏洞在網(wǎng)上極為普遍，通常是由于程序員對(duì)注入不了解,或者程序過(guò)濾不嚴(yán)格,或者某個(gè)參數(shù)忘記檢查導(dǎo)致。

（2）面向WEB應(yīng)用層的攻擊特點(diǎn)

隱蔽性強(qiáng):利用Web漏洞發(fā)起對(duì)WEB應(yīng)用的攻擊紛繁復(fù)雜，包括SQL注入，跨站腳本攻擊等等，一個(gè)共同特點(diǎn)是隱蔽性強(qiáng)，不易發(fā)覺(jué)。

攻擊時(shí)間短:可在短短幾秒到幾分鐘內(nèi)完成一次數(shù)據(jù)竊取、一次木馬種植、完成對(duì)整個(gè)數(shù)據(jù)庫(kù)或Web服務(wù)器的控制，以至于非常困難做出人為反應(yīng)。

造成后果嚴(yán)重:一旦發(fā)生這類安全事件，必將造成嚴(yán)重后果，其影響和損失也是不可估量的。

3 網(wǎng)絡(luò)安全運(yùn)維防范措施

3.1 預(yù)防病毒

預(yù)防病毒最有效辦法就是，安裝殺毒軟件并定期殺毒。但是，沒(méi)有哪一種殺毒軟件是萬(wàn)能的，所以當(dāng)本機(jī)的殺毒軟件無(wú)法找到病毒時(shí)，用戶可以到網(wǎng)上下載一些專殺工具，如木馬專殺工具、蠕蟲(chóng)專殺工具或宏病毒專殺工具等。作為用戶，我們每周至少更新一次殺毒軟件病毒庫(kù); 每周對(duì)電腦硬盤(pán)進(jìn)行一次全面的掃描、殺毒，以便及時(shí)發(fā)現(xiàn)隱蔽在系統(tǒng)中的病毒。作為網(wǎng)管來(lái)說(shuō)，要在網(wǎng)絡(luò)上安裝網(wǎng)絡(luò)版殺毒軟件，對(duì)全網(wǎng)進(jìn)行監(jiān)控、定期查殺病毒，一旦發(fā)現(xiàn)網(wǎng)絡(luò)受到攻擊時(shí)，應(yīng)在第一時(shí)間找到攻擊源，并開(kāi)展斷網(wǎng)隔離清理工作。

3.2 安裝防火墻

有人會(huì)問(wèn):安裝了殺毒軟件還需要防火墻嗎？回答是肯定的。因?yàn)闅⒍拒浖头阑饓κ切畔踩械膬蓚€(gè)不同范疇，殺毒軟件只能預(yù)防計(jì)算機(jī)病毒，一旦網(wǎng)絡(luò)受到黑客攻擊時(shí)，只能借助防火墻來(lái)攔截。防火墻是設(shè)置在不同網(wǎng)絡(luò)之間信息的安全出入口，用戶可以根據(jù)安全需要設(shè)定安全規(guī)則，并通過(guò)它來(lái)實(shí)現(xiàn)安全規(guī)劃以控制出入網(wǎng)絡(luò)的信息流。

這里以荊門(mén)國(guó)家突發(fā)預(yù)警信息發(fā)布系統(tǒng)中應(yīng)用的北京天融信公司的網(wǎng)絡(luò)衛(wèi)士防火墻為實(shí)例，介紹防火墻在網(wǎng)絡(luò)中的應(yīng)用和配置。該防火墻采用了目前流行的多種網(wǎng)絡(luò)安全機(jī)制，如多端口結(jié)構(gòu)、NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）、端口和地址映射、用戶認(rèn)證、過(guò)濾策略、應(yīng)用程序識(shí)別、入侵防御、VPN接入等等。其基本配置有兩種方式，即串口管理和Web管理，后者更常用。在此應(yīng)用中，該防火墻需將業(yè)務(wù)網(wǎng)絡(luò)劃分為局域網(wǎng)、DMZ區(qū)（隔離區(qū)）、電子政務(wù)外網(wǎng)三個(gè)分區(qū)，而且三個(gè)分區(qū)間必須實(shí)施嚴(yán)格的訪問(wèn)控制，同時(shí)開(kāi)通相關(guān)訪問(wèn)權(quán)限，因此在配置防火墻時(shí)，除了要對(duì)主機(jī)地址、網(wǎng)絡(luò)接口、區(qū)域、靜態(tài)路由、源地址與目標(biāo)地址轉(zhuǎn)換等進(jìn)行設(shè)置和定義外，還要根據(jù)業(yè)務(wù)應(yīng)用策略進(jìn)行訪問(wèn)控制安全配置，啟用相應(yīng)服務(wù)才能實(shí)現(xiàn)既定功能[2-3]。其安全應(yīng)用策略部分設(shè)置如圖2。

圖2 防火墻安全策略部分設(shè)置

3.3 增強(qiáng)網(wǎng)絡(luò)安全意識(shí)和安全管理

只要有數(shù)據(jù)交換傳播就有安全威脅風(fēng)險(xiǎn)，網(wǎng)絡(luò)安全不僅僅是技術(shù)問(wèn)題，同時(shí)也是一個(gè)安全意識(shí)和安全管理問(wèn)題。特別是作為一個(gè)部門(mén)一個(gè)單位的網(wǎng)絡(luò)運(yùn)維管理人員，除了建立相關(guān)制度，掌握相關(guān)技術(shù)，還要盡量避免和克服一些不良操作習(xí)慣和心理:第一，共享心理，就是所有IT人員或終端用戶都使用相同賬戶登陸服務(wù)器或網(wǎng)絡(luò)設(shè)備等，操作失誤也沒(méi)人知道，濫用、誤用權(quán)限嚴(yán)重; 第二，怕麻煩心理，在對(duì)各種設(shè)備進(jìn)行巡檢需要進(jìn)行多次認(rèn)證，為了求簡(jiǎn)單提高效率而使用相同的或有特征的密碼; 第三，“健忘”心理，我們的業(yè)務(wù)系統(tǒng)在經(jīng)第三方人員進(jìn)入時(shí)往往會(huì)建立一些臨時(shí)賬戶，臨時(shí)賬戶忘記清除，日積月累，臨時(shí)賬戶泛濫，存在被惡意人員利用的可能; 第四，廣播心理，管理者在對(duì)賬戶進(jìn)行調(diào)整后，往往以廣播的方式告知更改后用戶名及登陸口令等，若有人離職，賬戶口令可能泄密; 第五，黑盒心理，隨著云技術(shù)的發(fā)展應(yīng)用，網(wǎng)絡(luò)運(yùn)維狀態(tài)變得不夠透明，誰(shuí)正在操作你的服務(wù)器，你的服務(wù)器每天產(chǎn)生多少運(yùn)維訪問(wèn)，重要系統(tǒng)上每天都有些什么操作，是否有高危操作正在進(jìn)行，誰(shuí)負(fù)責(zé)告警等等。這些問(wèn)題不引起注意最終可能導(dǎo)致我們的信息系統(tǒng)存在設(shè)備沒(méi)有隱藏和保護(hù)、沒(méi)有限制可訪問(wèn)人員以及操作不可控、無(wú)法監(jiān)測(cè)等問(wèn)題。因此使用中，重點(diǎn)要統(tǒng)一全網(wǎng)入口，進(jìn)行集中管理，實(shí)行身份認(rèn)證，訪問(wèn)控制，權(quán)限管理和操作審計(jì)，以確保網(wǎng)絡(luò)和數(shù)據(jù)安全。

3.4 養(yǎng)成良好的上網(wǎng)習(xí)慣

作為網(wǎng)絡(luò)用戶來(lái)說(shuō)，養(yǎng)成良好的上網(wǎng)習(xí)慣，是保證網(wǎng)絡(luò)安全和個(gè)人信息安全的基礎(chǔ)。在使用中，要及時(shí)對(duì)操作系統(tǒng)、應(yīng)用程序進(jìn)行升級(jí)打補(bǔ)丁，保持持續(xù)更新?tīng)顟B(tài); 在啟用個(gè)人防火墻的同時(shí)，安裝360安全衛(wèi)士等病毒防護(hù)軟件。不要輕易接收或點(diǎn)擊陌生人發(fā)來(lái)的文件和鏈接; 不要去訪問(wèn)一些內(nèi)容低級(jí)粗俗的網(wǎng)站。應(yīng)避免在公共WIFI環(huán)境中，登陸個(gè)人網(wǎng)銀賬戶進(jìn)行網(wǎng)上交易; 網(wǎng)上需要傳輸重要文件時(shí)，盡量壓縮后再加密傳輸; 電腦用完后關(guān)機(jī)，攝像頭不用時(shí)最好轉(zhuǎn)向視覺(jué)死角等等。

4 結(jié)語(yǔ)

總的來(lái)說(shuō)，網(wǎng)絡(luò)安全是一個(gè)動(dòng)態(tài)平衡的過(guò)程，目前解決網(wǎng)絡(luò)安全的大部分技術(shù)是存在的，但隨著攻擊者對(duì)安全技術(shù)的深入研究，可能會(huì)發(fā)現(xiàn)新的安全問(wèn)題，與此同時(shí)由于應(yīng)用系統(tǒng)在不斷的更新和改版這個(gè)過(guò)程又會(huì)引入新的安全問(wèn)題，因此尚沒(méi)有一種技術(shù)或產(chǎn)品可以使網(wǎng)絡(luò)應(yīng)用安全一勞永逸，這就決定了網(wǎng)絡(luò)安全問(wèn)題是一個(gè)長(zhǎng)遠(yuǎn)持久的課題，要保障應(yīng)用的安全只有通過(guò)不斷進(jìn)行安全評(píng)估、安全防護(hù)才能確保網(wǎng)絡(luò)安全。

[1]王紅.淺談寬帶網(wǎng)用戶網(wǎng)絡(luò)安全常見(jiàn)問(wèn)題[J].網(wǎng)絡(luò)通訊與安全，2007.

[2]柏楓.網(wǎng)絡(luò)防火墻在氣象信息網(wǎng)絡(luò)系統(tǒng)中的應(yīng)用[J].氣象與減災(zāi)，2011.

[3]郭曉佳.NetEye FW4016防火墻在氣象網(wǎng)絡(luò)安全上的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009.