芻議網絡安全威脅防范策略

南通市建設信息中心 葛春林

芻議網絡安全威脅防范策略

南通市建設信息中心 葛春林

計算機網絡技術的飛速發展使得互聯網已經深入滲透到人類社會的生產生活之中，由此產生的網絡安全問題也越來越受到人們的關注和重視。為避免因網絡安全問題造成的不可預估的損失和災難，在享受互聯網帶來的便捷生活的同時，應當采取一些必需的策略和措施來保障網絡環境的安全，防范可能出現的威脅和風險。本文首先闡述了計算機網絡面臨的三類安全威脅，然后從五個方面提出針對這些威脅的防范對策，旨在為目標人群安全使用網絡提供必要的指導建議，以期達到從整體上加強網絡安全威脅防御的目的。

網絡安全；威脅風險；安全漏洞；防范策略

0 引言

經濟多元化發展的今天，人們的生活越來越離不開信息網絡世界，對網絡空間的安全也提出了更高的要求。網絡安全問題可以造成的嚴重危害有目共睹，僅以2016年為例，就有OpenSSL新型安全漏洞“水牢”威脅我國十余萬家網站、315晚會上曝光不法分子利用公共WIFI漏洞盜取他人銀行賬戶資產、俄羅斯黑客盜取2.7億郵箱賬號密碼并在黑市交易、山東臨沂準大一新生徐玉玉因電信詐騙死亡、國家電網掌上電力及電e寶等App泄露大量用戶數據等重大網絡安全事件發生。因此，提高全民的網絡安全意識、普及網絡安全威脅防范知識已成為當務之急。只有在全民做好防范應對的前提下，才真正能夠抵御來自于互聯網的絕大部分威脅和風險，營造一個健康和諧、更好地為人類生活服務的網絡社會。

1 網絡安全三類威脅

根據國家互聯網應急中心（CNCERT）網絡安全信息與動態監測結果，2016年12月12日至12月18日，我國境內被篡改網站數量達3438個（其中政府網站79個）；境內被植入后門的網站數量達1614個（其中政府網站33個）；針對境內網站的仿冒頁面數量達2486個。境內感染網絡病毒的主機數量達94.8萬，其中包括被木馬或被僵尸程序控制主機72.8萬，感染飛客（conficker）蠕蟲主機22萬；新增信息安全漏洞274個，其中高危漏洞98個。與前一周相比，被篡改網站、仿冒頁面、感染病毒主機、新增信息安全漏洞等數量都在增加[1]。可見，互聯網安全威脅普遍、大量存在，而且有不斷增加的趨勢。這些威脅依據安全三要素“人、機、環境”可分類為：人為威脅、計算機威脅和網絡威脅。

1.1 人為威脅

人為威脅[2]即由用戶非正常操作引起的威脅，包括：（1）無意識的操作失誤，如系統管理員安全配置不當、系統登錄口令強度太弱、長時間離開未鎖定計算機、重要賬號隨意轉借他人、下載運行存在安全風險的軟件程序等；（2）有意識的主動攻擊，如通過釣魚郵件、社會工程學等方法竊取重要數據信息，或者利用病毒木馬傳播、惡意代碼植入、拒絕服務攻擊等方式對系統和數據進行篡改甚至破壞。

1.2 計算機威脅

計算機威脅主要是由計算機自身部署的軟硬件產生的威脅，包括：（1）因操作系統、數據庫或其他應用系統未及時升級至最新版本導致存在可被利用的漏洞或者“后門”[3]；（2）因需要提供某些特定服務而開啟相應端口，這些服務和端口同時也可能被攻擊者利用；（3）因接入外部設備（如U盤、攝像頭、打印機等）導致敏感信息泄露或計算機被感染等問題。

1.3 網絡威脅

網絡威脅是三類威脅中存在最廣泛、危害性最強的。互聯網上充斥著各種各樣、不計其數的病毒、木馬和惡意代碼，未作任何防護措施的計算機直接接入網絡中的危險不言而喻；網絡通信協議使得具有不同硬件架構和操作系統的計算機能夠互聯互通，但許多早期協議在設計之初并未考慮網絡安全問題，不可避免會存在安全隱患；除此之外，互聯網中還遍布各種具有攻擊能力的網絡工具，攻擊者可以操縱這些工具并結合一些攻擊命令實現各種攻擊目的，輕則竊取重要文件或造成目標計算機運行異常，重則完全控制目標計算機甚至造成物理性嚴重破壞。

2 常用網絡安全防范策略

為有效防范上述網絡安全威脅，結合生活生產實際，常用且有效的一些應對策略和措施包括以下方面。

2.1 完善用戶賬戶口令安全

包括操作系統（如Windows、Linux/Unix）、數據庫（如SQL Server、Oracle、MySQL）、中間件（如Tomcat、Weblogic、JBoss）、遠程連接和文件共享服務（如Ftp、Telnet、SSH）、網絡設備（如網關、交換機、路由器、攝像頭、打印機）等重要軟硬件資源的管理員口令都應設置為大小寫字母、數字及特殊字符的強組合，且應達到一定長度并定期更換（如8位以上、每3月更換）。研究表明，暴力破解8位強組合口令的時間是8位純數字口令的7.2*107倍，是6位強組合口令的9.2*103倍，長度越長、組合越復雜的口令被破解成功的概率將以指數級減小。

對于Windows操作系統，應特別注意禁用Guest來賓賬戶，有為數不少的成功入侵案例就是利用這個賬號存在的漏洞來達到入侵目的。為進一步加強反入侵效果，還可以將系統默認的管理員用戶名administrator修改為其他名稱，同時再創建一個具有極小權限的administrator賬戶，從而對攻擊者造成干擾和迷惑，爭取時間組織有效防御。

2.2 禁用不常用的端口

操作系統一般會默認開放一些網絡服務，如果確認不會用到這些服務，就應該禁用服務對應的端口，減少計算機暴露在網絡中的安全風險。對于個人終端計算機，可以禁用的常見端口包括：21（Ftp服務）、23（Telnet服務）、80/8080（Http服務）、139/445（網絡共享服務）、443（Https服務）、3389（遠程連接服務）等，這樣可以阻止相當一部分網絡攻擊。對于部署了數據庫和中間件的服務器計算機，應該更改以下默認端口：1433（SQL Server）、1521（Oracle）、3306（MySQL）、7001（Weblogic）、8080（Tomcat/JBoss）等，達到在網絡中隱藏自身的目的。

2.3 及時更新最新升級補丁

任何軟件系統都不可能是絕對安全的，總會被有意者發現新的安全問題，因此開發商需要不斷發布升級補丁和重大版本更新來修復和封堵漏洞，保持系統的安全性和穩定性。如果不及時更新至最新的版本，就很容易被攻擊者利用已知漏洞獲得系統控制權限或致使系統癱瘓。因此，應定期檢查重要的軟件系統如操作系統、數據庫、中間件、辦公軟件、開發環境（如Java、PHP）等是否存在重要升級補丁或重大版本更新，及時選擇合適的時機完成升級更新，封堵來自于軟件本身的威脅。

2.4 部署安裝必要的安全軟、硬件

要保證計算機安全接入互聯網，以下安全軟件和硬件是必須部署安裝的：（1）防火墻/安全網關，用于實現對網絡的訪問控制，過濾不安全的流量數據包，禁用指定端口的通信和來自特定ip地址的訪問等[4]；（2）防病毒軟件，用于防范、攔截、查殺、隔離計算機病毒、木馬和惡意代碼；（3）加密U盤，用于防止他人在未通過身份鑒別的情況下直接獲取U盤中的文件數據。

企業級用戶還應部署如下系統以達到更高的安全防護級別：（1）入侵檢測系統/入侵防御系統，用于自動檢測和防御來自外部網絡的可能的攻擊行為，并為網絡安全管理人員提供日志審計以追溯攻擊來源、識別較隱蔽的攻擊行為等；（2）漏洞掃描系統，通過掃描等方式檢測本地或遠程計算機系統存在的安全脆弱性，發現可被利用的安全漏洞隱患并提供相應的修復和加固建議；（3）災備系統，用于對信息系統進行數據、軟件和硬件備份，使得在災難發生導致系統損毀時，能夠迅速、可靠地恢復到正常運行狀態。

2.5 應用加密技術存儲、傳輸文件

對于具有密級級別的文件資料，如國家、商業、企業的絕密、機密和秘密文件，應當進行加密存儲，防止攻擊者在成功入侵獲得文件后輕易解讀。目前的加密存儲方式可分為硬件加密、軟件加密和智能加密三類，其中使用最廣泛、最便捷的是軟件加密方式，常見如壓縮軟件WinRAR提供的加密壓縮包功能，以及一些專業加密軟件如“超級加密3000”、“文件夾超級加密大師”、“隱身俠”等。密級很高的文件不建議使用軟件加密，應選擇安全性更高的硬件和智能加密方式。

重要文件和信息在網絡中的傳輸也應該進行加密。一些早期的網絡傳輸協議如ftp、telnet等均以明文方式傳輸信息，只要傳輸的網絡數據包被截獲，所有信息都將徹底暴露，毫無安全性可言，也正因如此，ftp和telnet服務已經逐漸被相對安全得多的ssh服務所代替。除了信息傳輸方式應設置為密文外，被傳輸的文件本身也應當加密，以防傳輸通道被劫持或中間節點服務器被控制導致文件被他人獲得后可無限制訪問。

3 結語

網絡安全問題已經成為一個全新的研究領域，構建安全網絡空間的目標任重而道遠。文中的防范策略只是從抵御常見網絡安全威脅角度出發提出的，對于專業黑客實施的精確攻擊將很難起到效果。盡管如此，做好這些防范策略的宣貫和實施，仍然是有效提升非專業人士網絡安全意識、加強互聯網整體安全的重要手段和途徑，也是建立完善、健全的網絡安全防御體系的重要基礎。

[1]國家互聯網應急中心.網絡安全信息與動態周報2016年第51期[EB/OL].http://www.cert.org.cn,2016-12-23.

[2]鄒凱.計算機網絡安全防范技術探討[J].硅谷,2012,9(1):181-181.

[3]全豐菽.計算機網絡安全的防范策略分析[J].信息與電腦:理論版, 2010(8):10-11.

[4]耿金秀.淺談計算機網絡安全防范措施[J].中國科技信息,2011(8):110-111.