鞏國忠

(天津現(xiàn)代職業(yè)技術(shù)學(xué)院，天津　300350)

網(wǎng)絡(luò)應(yīng)用的安全策略

鞏國忠

(天津現(xiàn)代職業(yè)技術(shù)學(xué)院，天津300350)

摘要：通過分析計(jì)算機(jī)安全研究的背景、計(jì)算機(jī)系統(tǒng)的脆弱性、計(jì)算機(jī)系統(tǒng)面臨的威脅、計(jì)算機(jī)系統(tǒng)安全防護(hù)措施，論述了建立網(wǎng)絡(luò)安全的安全策略。

關(guān)鍵詞：網(wǎng)絡(luò)安全；病毒；反病毒；黑客；防火墻

網(wǎng)絡(luò)入侵一般分成兩個(gè)階段，即被動(dòng)攻擊和主動(dòng)攻擊，被動(dòng)攻擊一般在信息系統(tǒng)的外部進(jìn)行，對(duì)信息網(wǎng)絡(luò)本身一般不造成損壞，系統(tǒng)仍可正常運(yùn)行，其目的是信息竊取、密碼破譯及信息流量分析。主動(dòng)攻擊直接進(jìn)入信息系統(tǒng)內(nèi)部，往往會(huì)影響系統(tǒng)的運(yùn)行、造成巨大的損失，并給網(wǎng)絡(luò)信息帶來災(zāi)難性的后果。被動(dòng)攻擊是主動(dòng)攻擊的前奏，一旦被動(dòng)攻擊成功，隨之而來的就是對(duì)系統(tǒng)的破壞。主動(dòng)攻擊包括以下幾種方式。

一、通過假冒方式進(jìn)行攻擊

通過軟件將本身的IP地址偽裝成目標(biāo)系統(tǒng)認(rèn)可的IP地址，冒充合法用戶與目標(biāo)主機(jī)進(jìn)行會(huì)話，目標(biāo)主機(jī)就會(huì)認(rèn)為是合法的用戶與之通信，一旦攻擊者冒充成功，就可以在目標(biāo)主機(jī)并不知曉的情況下成功實(shí)施欺騙或入侵，并通過改變arp表、投放大量的無用數(shù)據(jù)報(bào)等手段使網(wǎng)絡(luò)處于混亂的、數(shù)據(jù)不可達(dá)的、大量無用數(shù)據(jù)報(bào)待處理的網(wǎng)絡(luò)癱瘓狀態(tài)，有些系統(tǒng)管理員通過重啟路由器暫時(shí)修復(fù)癱瘓的網(wǎng)絡(luò)，但是沒有多長時(shí)間，系統(tǒng)又會(huì)處于癱瘓狀態(tài)。

二、利用開放的端口進(jìn)行攻擊

操作系統(tǒng)中的很多服務(wù)都對(duì)應(yīng)了不同的端口，很多端口是默認(rèn)打開的，不同的端口起著不同的作用，21端口對(duì)應(yīng)的是FTP用于文件傳輸，23端口對(duì)應(yīng)的是TELNET用于遠(yuǎn)程登錄，25端口對(duì)應(yīng)的是SMTP用于郵件發(fā)送，80端口對(duì)應(yīng)的是HTTP用于傳遞網(wǎng)頁 ，110端口對(duì)應(yīng)的是POP3用于郵件的接收，由于操作系統(tǒng)版本的不同，端口的開放情況也是不同的，比如在windows 2000系統(tǒng)中23端口是自動(dòng)狀態(tài)并沒啟動(dòng)，為了提高安全性，在windows xp版本中23端口是被禁用的，只有設(shè)置成自動(dòng)才能打開，而到了windows 7系統(tǒng)就根本沒有啟動(dòng)telnet功能，只能啟動(dòng)windows功能并解禁后才能啟動(dòng)。攻擊者先通過探測軟件掃描網(wǎng)絡(luò)中主機(jī)的端口開放情況，再對(duì)打開端口的主機(jī)進(jìn)行攻擊。

三、通過移植木馬進(jìn)行攻擊

“木馬”程序是比較流行的病毒文件，與一般的病毒不同，它不會(huì)自我繁殖，也不會(huì)感染其他文件，它實(shí)際上是一段特定的程序(木馬程序)。攻擊機(jī)可以通過被攻擊機(jī)漏洞將木馬程序植入并隱藏，再和自身的控制軟件相配合可以打開更多的端口并控制其主機(jī)。木馬病毒具有隱蔽性、自動(dòng)打開端口等特點(diǎn)，具有遠(yuǎn)程控制、盜取密碼、獲得主機(jī)信息資料、自動(dòng)發(fā)送郵件等功能。另外，黑客還可以通過移植木馬病毒控制僵尸主機(jī)，并以僵尸主機(jī)為跳板，攻擊其他主機(jī)。著名的DDOS(拒絕服務(wù))病毒就是利用大量的僵尸主機(jī)向目標(biāo)主機(jī)進(jìn)行攻擊。

目前，為了應(yīng)對(duì)不斷更新的網(wǎng)絡(luò)攻擊手段，提高網(wǎng)絡(luò)安全性，也出現(xiàn)了很多的防范措施，已從過去的被動(dòng)防護(hù)到現(xiàn)在的主動(dòng)監(jiān)測，其手段有防火墻技術(shù)、代理服務(wù)器技術(shù)、VPN技術(shù)，端口監(jiān)聽監(jiān)控技術(shù)等。操作系統(tǒng)自身也增強(qiáng)了安全防范策略，如定制組策略等。

主要防范手段有：

(一)文件系統(tǒng)使用NTFS

所用磁盤文件系統(tǒng)都要使用NTFS，尤其在網(wǎng)絡(luò)操作系統(tǒng)中NTFS尤為重要，其特點(diǎn)是讀寫磁盤速度快、密碼安全性能較高。若分揀系統(tǒng)是FAT32，可使用convert命令升級(jí)文件系統(tǒng)。

(二)定期安裝補(bǔ)丁程序，填補(bǔ)漏洞

系統(tǒng)漏洞是操作系統(tǒng)軟件或應(yīng)用軟件在邏輯設(shè)計(jì)上的缺陷或在編寫時(shí)產(chǎn)生的錯(cuò)誤，這個(gè)缺陷或錯(cuò)誤可以被不法者或者電腦黑客利用，通過植入木馬、病毒等方式來攻擊或控制整個(gè)電腦，從而竊取電腦中的重要資料和信息，甚至破壞系統(tǒng)。windows系統(tǒng)從發(fā)布的那一天起，隨著用戶的深入使用，系統(tǒng)中存在的漏洞會(huì)被不斷暴露出來，因而隨著時(shí)間的推移，舊的系統(tǒng)漏洞會(huì)不斷消失，新的系統(tǒng)漏洞會(huì)不斷出現(xiàn)。系統(tǒng)漏洞問題也會(huì)長期存在。只有定期安裝補(bǔ)丁程序修復(fù)漏洞，才能使系統(tǒng)盡量減少黑客利用漏洞攻擊系統(tǒng)的機(jī)會(huì)?？墒褂?60安全衛(wèi)士，進(jìn)行漏洞掃描和安裝補(bǔ)丁程序。

(三)設(shè)置系統(tǒng)密碼及定制安全策略

在系統(tǒng)自身的組策略中，提供了密碼策略和賬戶鎖定策略主要用于定制安全策略，密碼策略是設(shè)置密碼安全級(jí)別的一種策略，包括密碼復(fù)雜性要求、最小長度、使用期限、密碼歷史以及還原加密等。用戶設(shè)置密碼往往過于簡單，通過密碼策略強(qiáng)制用戶設(shè)置復(fù)雜的密碼來征集安全性。賬戶鎖定策略是限制用戶輸入錯(cuò)誤密碼的次數(shù)，一旦超過設(shè)定的錯(cuò)誤密碼次數(shù)系統(tǒng)便自動(dòng)鎖定該用戶，禁止密碼的探測，黑客往往利用密碼字典通過大量的密碼探測暴力破解用戶密碼。采取賬戶鎖定的方式很好的保護(hù)了該賬戶的安全，挫敗連續(xù)的猜解嘗試密碼的可能。Windows系統(tǒng)在默認(rèn)情況下，為方便用戶并沒有對(duì)密碼策略和賬戶鎖定策略進(jìn)行設(shè)置。

設(shè)置密碼策略和賬戶鎖定策略是先進(jìn)入組策略：開始—運(yùn)行上輸入gpedit.msc進(jìn)入組策略。

密碼策略設(shè)置如下圖：

賬戶鎖定策略如下圖：

四、磁盤共享管理

在windows系統(tǒng)中，系統(tǒng)自動(dòng)設(shè)置了所有磁盤及空連接的默認(rèn)共享，而在資源管理器中并看不到共享的標(biāo)識(shí)，這是因?yàn)樵摴蚕硎请[藏共享，對(duì)于普通用戶來說是不清楚的，但這對(duì)黑客利用默認(rèn)的共享進(jìn)行木馬移植、攻擊系統(tǒng)提供了方便。關(guān)閉默認(rèn)共享有兩條途徑。

(一)圖形方式停止共享

進(jìn)入計(jì)算機(jī)管理窗口(在桌面的計(jì)算機(jī)上點(diǎn)擊右鍵→管理)，依次進(jìn)入共享文件夾→共享

(二)命令方式停止共享

在運(yùn)行窗口中鍵入cmd進(jìn)入仿真dos模式，使用net share命令停止共享

C:》net share C$ /d

C:》net share D$ /d

C:》net share ipc$ /d

五、關(guān)閉不必要的端口

計(jì)算機(jī)端口分成兩種類型，一類是系統(tǒng)端口，端口號(hào)自1到1023，這些端口不允許占用，它們都有確切的定義，對(duì)應(yīng)著因特網(wǎng)上常見的一些服務(wù)，每一個(gè)打開的端口，代表著一個(gè)系統(tǒng)服務(wù)，例如，80端口代表W W W服務(wù)，用于對(duì)外發(fā)布網(wǎng)頁。21端口對(duì)應(yīng)著FTP服務(wù)，用于文件傳輸控制，25端口對(duì)應(yīng)著SMTP服務(wù)，用于郵件的發(fā)送，110端口對(duì)應(yīng)著POP3服務(wù)，用于郵件的接收，119端口對(duì)應(yīng)著NNTP服務(wù)，用于網(wǎng)絡(luò)新聞的接收等。另一類端口是系統(tǒng)臨時(shí)會(huì)話的動(dòng)態(tài)端口，端口號(hào)自1024到65535，當(dāng)本地主機(jī)與網(wǎng)絡(luò)主機(jī)連接時(shí)立刻創(chuàng)建一個(gè)動(dòng)態(tài)端口與網(wǎng)絡(luò)主機(jī)建立通訊通道，當(dāng)通訊結(jié)束并斷開后，端口自動(dòng)被關(guān)閉。

查看本地主機(jī)所開放的端口情況可使用系統(tǒng)提供的命令Netstat，在DOS模式下鍵入netstat -an。

由此看出，21端口、25端口、80端口是打開的。

另外netstat-nab命令，還可以顯示每個(gè)連接是由哪些程序創(chuàng)建的。

系統(tǒng)端口大多對(duì)應(yīng)著系統(tǒng)服務(wù)，停止服務(wù)，端口就關(guān)閉了，比如關(guān)閉25端口就是關(guān)閉smtp服務(wù)，關(guān)閉80端口就是關(guān)閉word wide web服務(wù)在計(jì)算機(jī)管理窗口中可以找到所有系統(tǒng)服務(wù)。

圖中，只要雙擊SMTP服務(wù)并在打開的窗口中，停止服務(wù)就是關(guān)閉了25端口。

六、定期清理cookie文件

cookie是由 Internet 站點(diǎn)創(chuàng)建的信息存儲(chǔ)文件。它是為了辨別用戶身份、進(jìn)行session跟蹤而儲(chǔ)存在用戶本地終端上的加密了的數(shù)據(jù)文件。這些數(shù)據(jù)通常存儲(chǔ)了用戶個(gè)人信息、姓名、電子郵件地址、用戶名及密碼等，用戶很難讀懂cookie里面的文件，但是黑客可以利用軟件將里面的文件讀取并翻譯，從而得到所需信息。定期刪除cookie以保證系統(tǒng)信息的安全。操作步驟是：打開瀏覽器—點(diǎn)擊“工具”菜單，單擊“Internet 選項(xiàng)”。在“常規(guī)”選項(xiàng)卡上單擊“設(shè)置”，然后單擊“查看文件”。選擇要?jiǎng)h除的 Cookie(通常統(tǒng)統(tǒng)刪掉)。

七、安裝殺毒軟件和防火墻

殺毒軟件也稱反病毒軟件或防毒軟件，是用于消除電腦病毒、特洛伊木馬和惡意軟件等計(jì)算機(jī)威脅的一類軟件。殺毒軟件通常集成監(jiān)控識(shí)別、病毒掃描和清除、自動(dòng)升級(jí)等功能。病毒技術(shù)在不斷的進(jìn)步，殺毒軟件也隨之不斷更新和升級(jí)。

防火墻(Firewall)，也稱防護(hù)墻，是一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)。是在信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)之間，通過預(yù)定義的安全策略，對(duì)內(nèi)外網(wǎng)通信強(qiáng)制實(shí)施訪問控制的安全應(yīng)用設(shè)備。是將不信任網(wǎng)絡(luò)對(duì)信任網(wǎng)絡(luò)的安全威脅強(qiáng)制到單一安全控制點(diǎn)。因此系統(tǒng)必須安裝一套殺毒軟件和防護(hù)衛(wèi)士，如360安全衛(wèi)士。

八、VPN技術(shù)

VPN (Virtual Private Network)，中文含義是“虛擬專用網(wǎng)絡(luò)”，虛擬專用網(wǎng)絡(luò)通過特殊的加密通訊協(xié)議，在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間虛擬出來的企業(yè)內(nèi)部專線，VPN的核心就是利用公共網(wǎng)絡(luò)建立一個(gè)虛擬內(nèi)部網(wǎng)絡(luò)。

VPN使用的虛擬網(wǎng)絡(luò)協(xié)議：

IPSec：IP層協(xié)議安全結(jié)構(gòu)(Security Architecture for IP network)

PPTP：點(diǎn)到點(diǎn)隧道協(xié)議(Point to Point Tunneling Protocol)

PPP：點(diǎn)到點(diǎn)協(xié)議(Point to Point Protocol)

L2F：第二層轉(zhuǎn)發(fā)協(xié)議(Layer Two Forwarding Protocol)

L2TP：第二層隧道協(xié)議(Layer 2 Tunneling Protocol)

PAP：密碼認(rèn)證協(xié)議 (Password Authentication Protocol)

CHAP：詢問握手認(rèn)證協(xié)議(Challenge Handshake Authentication Protocol

VPN的實(shí)現(xiàn)分成兩步進(jìn)行：1.服務(wù)器端安裝帶有VPN功能的路由器并對(duì)路由器進(jìn)行配置，包括開通隧道協(xié)議、建立隧道名稱、創(chuàng)建VPN用戶等。2.客戶端創(chuàng)建一個(gè)新的VPN連接并以服務(wù)器創(chuàng)建的賬戶登陸。

九、域管理

網(wǎng)絡(luò)服務(wù)器安裝了網(wǎng)絡(luò)操作系統(tǒng)后,如windows 2003 server，它只是叫做普通服務(wù)器，普通服務(wù)器是工作組方式的分散管理模式，每一臺(tái)計(jì)算機(jī)都是獨(dú)自自主的，用戶賬戶和權(quán)限信息保存在本機(jī)中，同時(shí)借助工作組來共享信息。而域控制器(DC)實(shí)現(xiàn)的是主從管理模式，通過一臺(tái)域控制器來集中管理域內(nèi)主機(jī)的所有用戶帳號(hào)和權(quán)限，帳號(hào)信息保存在域控制器內(nèi)，共享信息分散在每臺(tái)計(jì)算機(jī)中，但是訪問權(quán)限由控制器統(tǒng)一管理。域控制器的實(shí)現(xiàn)就是在普通服務(wù)器上安裝活動(dòng)目錄(AD)來提升服務(wù)器成為域控制器。

域管理的優(yōu)點(diǎn)是：

帳號(hào)集中管理,由域控制器設(shè)置賬戶，所有帳號(hào)均存在服務(wù)器上，方便對(duì)帳號(hào)的重命名和密碼重設(shè)；軟件集中管理，利用軟件發(fā)布策略統(tǒng)一分發(fā)軟件，可以讓用戶自由選擇安裝軟件；桌面統(tǒng)一定制，每臺(tái)客戶機(jī)只能使用域控制器定制的桌面，提高系統(tǒng)的工作效率；安全的網(wǎng)絡(luò)系統(tǒng)，資料統(tǒng)一管理不易丟失和被盜；監(jiān)控及定制網(wǎng)絡(luò)帶寬，使網(wǎng)絡(luò)速度合理分配；統(tǒng)一部署殺毒軟件和掃毒任務(wù)，避免電腦系統(tǒng)經(jīng)常崩潰，既節(jié)省開支，又不影響工作。域管理的實(shí)現(xiàn)就是所有客戶端都隸屬于域控制器并以域控制器建立的用戶名登陸，只有登陸成功才能享受域中資源并接受域控制器定制的策略。

在科技進(jìn)步，網(wǎng)絡(luò)全面應(yīng)用，網(wǎng)絡(luò)環(huán)境越來越復(fù)雜的今天，網(wǎng)絡(luò)信息安全越來越受到人們的重視，信息系統(tǒng)自身的缺陷決定了網(wǎng)絡(luò)安全的脆弱性，只依靠幾種防范措施，還不足以實(shí)現(xiàn)網(wǎng)絡(luò)信息的真正安全，必須重視網(wǎng)絡(luò)安全對(duì)信息保護(hù)的重要性，只有依靠健全的管理和監(jiān)督制度、合理的防控目標(biāo)、完整的技術(shù)方案和相關(guān)的配套法規(guī)才能使網(wǎng)絡(luò)信息更加安全。

參考文獻(xiàn)：

[1](美)沃克哈特著.網(wǎng)絡(luò)安全Hacks[M].陳新，譯.北京：中國電力出版社，2010.

[2] 馮昊著.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].北京：清華大學(xué)出版社，2011.

Security Policy of Network Application

GONG Guo-zhong

(TianjinModernVocationalTechnologyCollege,Tianjin300350)

Abstract:Through the analysis on background of computer security research background, vulnerability of computer system, threads faced by computer system, and the computer system security protection measures, this paper discusses the safety strategy to build up network security.

Key words:network security; virus; anti-virus; hacker; and firewall

收稿日期：2016-04-12

作者簡介：鞏國忠(1962-)，男，天津市人,天津現(xiàn)代職業(yè)技術(shù)學(xué)院講師，副教授，高級(jí)工程師，主要研究網(wǎng)絡(luò)應(yīng)用及教學(xué)。

中圖分類號(hào)：TP393

文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1673-582X(2016)05-0071-05