計算機網絡管理中的安全風險與防范策略

張春玲

（黑龍江能源職業學院，黑龍江 雙鴨山 155100）

0 引 言

在信息技術高速發展的背景下，計算機網絡已成為人們日常生活和工作不可或缺的部分。計算機網絡由可編程的、通用的硬件互聯而成，是指通過通信線路連接多臺具有獨立功能的計算機，并在網絡操作系統、網絡通信協議以及網絡管理軟件的管理、協調下，實現信息傳遞和資源共享的計算機系統[1]。計算機網絡的產生帶領人們走進網絡時代，給人們提供豐富的信息和資源，有利于提高溝通效率、工作效率、學習效率。但計算機網絡具有公開性，會帶來一些安全隱患，使人們的信息隱私受到一定的威脅，造成網絡管理安全問題屢見不鮮。對此，計算機網絡管理人員應重視其安全風險，積極采取有效的防范措施，解決管理中存在的安全問題。

1 計算機網絡管理中的安全風險

1.1 網絡病毒

網絡病毒指破壞計算機網絡客戶端、服務器等組件的病毒，也是人為編寫的一段計算機代碼程序，其將網絡體系結構及網絡協議作為傳播路徑，消耗計算機資源，而且傳播速度快。從功能上可分為蠕蟲病毒和木馬病毒，前者傳播途徑廣泛，可掃描到計算機的漏洞模塊，主動攻擊程序漏洞和操作系統，發送大量數據包，使被感染的網絡速度降低，計算機內存占用過高、中央處理器（Central Processing Unit，CPU）過高而瀕臨死機[2,3]。后者是潛伏于操作系統的一種后門程序，可竊取QQ賬號、網上銀行密碼等用戶資料。此外，網絡病毒還可按照傳播途徑分為郵件型病毒、漏洞型病毒，前者是通過電子郵件進行傳播，比較容易清除，而后者是利用操作軟件或系統的漏洞攻擊計算機，造成癱瘓。

1.2 系統漏洞

系統漏洞是指操作系統和應用軟件邏輯設計存在的缺陷。通過利用系統漏洞，經網絡植入病毒來控制電腦，可破壞系統或竊取計算機中的重要信息和資料。在不同種類的硬件、軟件設備中都會存在不同的安全漏洞問題，影響網絡路由器、服務器軟件、安全防火墻、系統本身及支撐軟件，尤其是Windows XP默認啟動的通用即插即用（Universal Plug and Play，UPnP）服務開啟后可出現黑屏問題（見圖1），存在嚴重安全漏洞[4,5]。

圖1 UPnP服務啟動后黑屏

1.3 安全意識缺乏

在應用計算機網絡系統時，為了避免網絡系統被病毒入侵，管理人員會設置一個口令，避免外網訪問計算機。但計算機網絡管理人員通常在設置安全口令后就忽略了計算機網絡病毒的查殺和漏洞的篩查，導致計算機仍存在一定的安全隱患。隨著時間的延長，垃圾軟件和漏洞不斷增加，若管理人員未能及時發現和消除病毒軟件，則將大幅度增加計算機網絡攻擊風險[6,7]。此外，計算機用戶在應用計算機網絡時忽略了安全防護的重要性，關閉防火墻和殺毒軟件，導致個人賬號丟失、密碼泄露等問題。

1.4 黑客攻擊

黑客攻擊是指未經授權訪問計算機或用戶賬戶而入侵計算機網絡的行為，該行為分為破壞性攻擊和非破壞性攻擊2種，前者是侵入計算機系統、破壞目標數據、盜取保密信息，后者是擾亂正常的系統運行。黑客具有較強的程序編寫能力和計算機應用能力，常用的攻擊手段包括信息炸彈、后門程序、分布式拒絕服務攻擊、網絡監聽、種植病毒等，其中特洛伊木馬程序是常用的攻擊手段，通過在計算機系統中隱藏1個于Windows啟動時而開始運行的程序，并采用客戶機或服務器運行方式控制用戶的電腦，還可以修改文件、瀏覽驅動器、竊取口令。部分黑客會偽裝為系統管理員，并將自己的郵件地址設置為與系統管理員相同的地址，并通過電子郵件發送木馬程序[8,9]。例如，某些單位的計算機網絡管理人員定期給客戶發送防火墻升級程序，而該程序為可執行程序，可為黑客提供良機，竊取或抹除客戶的重要信息。

2 計算機網絡管理的安全防范措施

2.1 查殺網絡病毒

計算機網絡管理人員常采用反病毒技術來預防網絡病毒的入侵和攻擊，包括使用防病毒軟件和安裝病毒防火墻。防病毒軟件分為單機防病毒軟件與網絡防病毒軟件，前者主要安裝在單臺PC上，可以遠程掃描、檢測、清除連接在本地工作站的遠程資源病毒；后者能夠監控和檢測網絡病毒的來源與入侵途徑，及時攔截和刪除計算機網絡病毒[10]。目前，防火墻有雙主機防火墻、包過濾防火墻等，病毒防火墻主要是頻繁掃描和監測計算機網絡病毒，并在工作站上使用防病毒卡，設置信息文件訪問權限，研發和完善高安全的操作系統，將病毒扼殺在搖籃里。在下載防病毒軟件中，管理人員應選擇正版網絡殺毒軟件，還要及時更新，避免防火墻無法處理新型的網絡病毒。

2.2 修補系統漏洞

隨著計算機系統的深入使用，其中存在的漏洞逐漸暴露，在新版本系統更新時會糾正舊版本的漏洞，但也可能引進新的漏洞。針對系統漏洞安全風險，計算機網絡管理人員可以在微軟網站中下載補丁程序（見圖2），及時修補系統現存的漏洞，還要定期進行相關軟件的安全更新，避免攻擊者在網站上誘導用戶訪問不良網站，潛在地讀取或破壞內存數據。此外還可以針對常見的系統漏洞采取相應的處理對策，避免漏洞再次出現。例如，管理人員設置熱鍵后，當用戶不使用計算機時，Windows XP的自動注銷功能會主動啟動，導致桌面無法進入，系統處于“假注銷”狀態，為攻擊者通過熱鍵控制程序提供機會。對此，管理人員應分析系統漏洞形成的原理，再采取解決對策。因為熱鍵可用是熱鍵漏洞被利用的前提條件，所以管理人員應檢查帶來危害服務和程序的熱鍵，啟動屏幕保護程序，設置保護密碼，在用戶離開計算機時鎖定計算機，進而避免外來攻擊者入侵和控制計算機網絡。

圖2 常用補漏洞程序

2.3 加大安全管理力度

計算機網絡管理人員應改變以往單一的安全管理模式，充分認識到計算機網絡安全風險的現狀，增強安全防范意識，加大安全管理力度，從各個層面采取相應的安全管理措施，有效預防和解決當前網絡安全問題。從技術層面來看，管理人員建立安全管理制度，監控計算機網絡系統受到的外網訪問，切斷病毒的傳播途徑，以提高網絡病毒查殺能力。同時管理人員應開展計算機網絡應用學習培訓和管理經驗交流講座，切實提高自身專業技術水平，杜絕個人操作失誤的發生，并積極創新操作技術，不斷優化和升級計算機網絡安全防護系統。例如，在采用計算機數據存儲時，應做好數據備份和加密工作，研發攻克計算機數據被竊取的警報程序或安全防護程序，及時發現外網入侵，粉碎外網的攻擊。從管理安全層面來看，管理人員了解相關網絡制度和法律法規，向計算機用戶普及，并重點講解計算機網絡的安全隱患，避免用戶登錄或瀏覽不良網站、打開或下載垃圾郵件和軟件。

2.4 黑客攻擊防范措施

現階段，人們在使用計算機網絡時常出現信息被盜取或計算機被黑客攻擊的情況，嚴重威脅計算機用戶的財產安全，也導致用戶對計算機網絡管理的信任度降低。針對黑客攻擊風險，管理人員應更注重個人身份信息的保護，設置身份信息認證，爭取最大程度地保護用戶信息。身份信息認證是通過核對登錄計算機網絡的用戶是否為本用戶、身份是否真實，核實后為本人身份后給予信息授權，既能增加安全保護性能，又能實現個人信息保護的目的。此外，管理人員可以根據黑客攻擊規律，并結合口令破譯難度，設置更復雜的計算機網絡管理安全口令。以往人們多采用賬號或用戶名作為口令，或者以英文單詞、5位以下的字符作為口令，通常容易被黑客破譯而攻擊計算機網絡。管理人員應自行設置或指導用戶設置含有7位以上的數字和5位大小寫字母的口令，通過增設控制符可更好地增加口令破譯難度，同時禁止采用名字首字母、電話號碼、生日等信息來設置口令。此外，還要定期改變口令，保守口令秘密，每隔一段時間更改超級用戶口令。保管好安全管理口令，禁止將口令記錄在非管理人員能接觸到的地方；從系統中抹除默認用戶，并重新建立1個新用戶，賦予超級用戶權限來管理整個網絡。若用戶在使用計算機網絡中收到3個錯誤口令，則需及時斷開系統與該賬戶的連接。

3 結 論

計算機網絡管理人員應充分了解現存的安全風險，針對風險制定或采取相應的防范措施，如下載補丁文件、下載殺毒軟件、加強身份認證、設置復雜口令以及加大安全管理力度等，最大程度發揮網絡安全管理的作用，提高計算機網絡應用的安全性。