芻議網(wǎng)絡(luò)安全威脅防范策略

南通市建設(shè)信息中心 葛春林

芻議網(wǎng)絡(luò)安全威脅防范策略

南通市建設(shè)信息中心 葛春林

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展使得互聯(lián)網(wǎng)已經(jīng)深入滲透到人類社會(huì)的生產(chǎn)生活之中，由此產(chǎn)生的網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越受到人們的關(guān)注和重視。為避免因網(wǎng)絡(luò)安全問(wèn)題造成的不可預(yù)估的損失和災(zāi)難，在享受互聯(lián)網(wǎng)帶來(lái)的便捷生活的同時(shí)，應(yīng)當(dāng)采取一些必需的策略和措施來(lái)保障網(wǎng)絡(luò)環(huán)境的安全，防范可能出現(xiàn)的威脅和風(fēng)險(xiǎn)。本文首先闡述了計(jì)算機(jī)網(wǎng)絡(luò)面臨的三類安全威脅，然后從五個(gè)方面提出針對(duì)這些威脅的防范對(duì)策，旨在為目標(biāo)人群安全使用網(wǎng)絡(luò)提供必要的指導(dǎo)建議，以期達(dá)到從整體上加強(qiáng)網(wǎng)絡(luò)安全威脅防御的目的。

網(wǎng)絡(luò)安全；威脅風(fēng)險(xiǎn)；安全漏洞；防范策略

0 引言

經(jīng)濟(jì)多元化發(fā)展的今天，人們的生活越來(lái)越離不開(kāi)信息網(wǎng)絡(luò)世界，對(duì)網(wǎng)絡(luò)空間的安全也提出了更高的要求。網(wǎng)絡(luò)安全問(wèn)題可以造成的嚴(yán)重危害有目共睹，僅以2016年為例，就有OpenSSL新型安全漏洞“水牢”威脅我國(guó)十余萬(wàn)家網(wǎng)站、315晚會(huì)上曝光不法分子利用公共WIFI漏洞盜取他人銀行賬戶資產(chǎn)、俄羅斯黑客盜取2.7億郵箱賬號(hào)密碼并在黑市交易、山東臨沂準(zhǔn)大一新生徐玉玉因電信詐騙死亡、國(guó)家電網(wǎng)掌上電力及電e寶等App泄露大量用戶數(shù)據(jù)等重大網(wǎng)絡(luò)安全事件發(fā)生。因此，提高全民的網(wǎng)絡(luò)安全意識(shí)、普及網(wǎng)絡(luò)安全威脅防范知識(shí)已成為當(dāng)務(wù)之急。只有在全民做好防范應(yīng)對(duì)的前提下，才真正能夠抵御來(lái)自于互聯(lián)網(wǎng)的絕大部分威脅和風(fēng)險(xiǎn)，營(yíng)造一個(gè)健康和諧、更好地為人類生活服務(wù)的網(wǎng)絡(luò)社會(huì)。

1 網(wǎng)絡(luò)安全三類威脅

根據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）網(wǎng)絡(luò)安全信息與動(dòng)態(tài)監(jiān)測(cè)結(jié)果，2016年12月12日至12月18日，我國(guó)境內(nèi)被篡改網(wǎng)站數(shù)量達(dá)3438個(gè)（其中政府網(wǎng)站79個(gè)）；境內(nèi)被植入后門(mén)的網(wǎng)站數(shù)量達(dá)1614個(gè)（其中政府網(wǎng)站33個(gè)）；針對(duì)境內(nèi)網(wǎng)站的仿冒頁(yè)面數(shù)量達(dá)2486個(gè)。境內(nèi)感染網(wǎng)絡(luò)病毒的主機(jī)數(shù)量達(dá)94.8萬(wàn)，其中包括被木馬或被僵尸程序控制主機(jī)72.8萬(wàn)，感染飛客（conficker）蠕蟲(chóng)主機(jī)22萬(wàn)；新增信息安全漏洞274個(gè)，其中高危漏洞98個(gè)。與前一周相比，被篡改網(wǎng)站、仿冒頁(yè)面、感染病毒主機(jī)、新增信息安全漏洞等數(shù)量都在增加[1]。可見(jiàn)，互聯(lián)網(wǎng)安全威脅普遍、大量存在，而且有不斷增加的趨勢(shì)。這些威脅依據(jù)安全三要素“人、機(jī)、環(huán)境”可分類為：人為威脅、計(jì)算機(jī)威脅和網(wǎng)絡(luò)威脅。

1.1 人為威脅

人為威脅[2]即由用戶非正常操作引起的威脅，包括：（1）無(wú)意識(shí)的操作失誤，如系統(tǒng)管理員安全配置不當(dāng)、系統(tǒng)登錄口令強(qiáng)度太弱、長(zhǎng)時(shí)間離開(kāi)未鎖定計(jì)算機(jī)、重要賬號(hào)隨意轉(zhuǎn)借他人、下載運(yùn)行存在安全風(fēng)險(xiǎn)的軟件程序等；（2）有意識(shí)的主動(dòng)攻擊，如通過(guò)釣魚(yú)郵件、社會(huì)工程學(xué)等方法竊取重要數(shù)據(jù)信息，或者利用病毒木馬傳播、惡意代碼植入、拒絕服務(wù)攻擊等方式對(duì)系統(tǒng)和數(shù)據(jù)進(jìn)行篡改甚至破壞。

1.2 計(jì)算機(jī)威脅

計(jì)算機(jī)威脅主要是由計(jì)算機(jī)自身部署的軟硬件產(chǎn)生的威脅，包括：（1）因操作系統(tǒng)、數(shù)據(jù)庫(kù)或其他應(yīng)用系統(tǒng)未及時(shí)升級(jí)至最新版本導(dǎo)致存在可被利用的漏洞或者“后門(mén)”[3]；（2）因需要提供某些特定服務(wù)而開(kāi)啟相應(yīng)端口，這些服務(wù)和端口同時(shí)也可能被攻擊者利用；（3）因接入外部設(shè)備（如U盤(pán)、攝像頭、打印機(jī)等）導(dǎo)致敏感信息泄露或計(jì)算機(jī)被感染等問(wèn)題。

1.3 網(wǎng)絡(luò)威脅

網(wǎng)絡(luò)威脅是三類威脅中存在最廣泛、危害性最強(qiáng)的?；ヂ?lián)網(wǎng)上充斥著各種各樣、不計(jì)其數(shù)的病毒、木馬和惡意代碼，未作任何防護(hù)措施的計(jì)算機(jī)直接接入網(wǎng)絡(luò)中的危險(xiǎn)不言而喻；網(wǎng)絡(luò)通信協(xié)議使得具有不同硬件架構(gòu)和操作系統(tǒng)的計(jì)算機(jī)能夠互聯(lián)互通，但許多早期協(xié)議在設(shè)計(jì)之初并未考慮網(wǎng)絡(luò)安全問(wèn)題，不可避免會(huì)存在安全隱患；除此之外，互聯(lián)網(wǎng)中還遍布各種具有攻擊能力的網(wǎng)絡(luò)工具，攻擊者可以操縱這些工具并結(jié)合一些攻擊命令實(shí)現(xiàn)各種攻擊目的，輕則竊取重要文件或造成目標(biāo)計(jì)算機(jī)運(yùn)行異常，重則完全控制目標(biāo)計(jì)算機(jī)甚至造成物理性嚴(yán)重破壞。

2 常用網(wǎng)絡(luò)安全防范策略

為有效防范上述網(wǎng)絡(luò)安全威脅，結(jié)合生活生產(chǎn)實(shí)際，常用且有效的一些應(yīng)對(duì)策略和措施包括以下方面。

2.1 完善用戶賬戶口令安全

包括操作系統(tǒng)（如Windows、Linux/Unix）、數(shù)據(jù)庫(kù)（如SQL Server、Oracle、MySQL）、中間件（如Tomcat、Weblogic、JBoss）、遠(yuǎn)程連接和文件共享服務(wù)（如Ftp、Telnet、SSH）、網(wǎng)絡(luò)設(shè)備（如網(wǎng)關(guān)、交換機(jī)、路由器、攝像頭、打印機(jī)）等重要軟硬件資源的管理員口令都應(yīng)設(shè)置為大小寫(xiě)字母、數(shù)字及特殊字符的強(qiáng)組合，且應(yīng)達(dá)到一定長(zhǎng)度并定期更換（如8位以上、每3月更換）。研究表明，暴力破解8位強(qiáng)組合口令的時(shí)間是8位純數(shù)字口令的7.2*107倍，是6位強(qiáng)組合口令的9.2*103倍，長(zhǎng)度越長(zhǎng)、組合越復(fù)雜的口令被破解成功的概率將以指數(shù)級(jí)減小。

對(duì)于Windows操作系統(tǒng)，應(yīng)特別注意禁用Guest來(lái)賓賬戶，有為數(shù)不少的成功入侵案例就是利用這個(gè)賬號(hào)存在的漏洞來(lái)達(dá)到入侵目的。為進(jìn)一步加強(qiáng)反入侵效果，還可以將系統(tǒng)默認(rèn)的管理員用戶名administrator修改為其他名稱，同時(shí)再創(chuàng)建一個(gè)具有極小權(quán)限的administrator賬戶，從而對(duì)攻擊者造成干擾和迷惑，爭(zhēng)取時(shí)間組織有效防御。

2.2 禁用不常用的端口

操作系統(tǒng)一般會(huì)默認(rèn)開(kāi)放一些網(wǎng)絡(luò)服務(wù)，如果確認(rèn)不會(huì)用到這些服務(wù)，就應(yīng)該禁用服務(wù)對(duì)應(yīng)的端口，減少計(jì)算機(jī)暴露在網(wǎng)絡(luò)中的安全風(fēng)險(xiǎn)。對(duì)于個(gè)人終端計(jì)算機(jī)，可以禁用的常見(jiàn)端口包括：21（Ftp服務(wù)）、23（Telnet服務(wù)）、80/8080（Http服務(wù)）、139/445（網(wǎng)絡(luò)共享服務(wù)）、443（Https服務(wù)）、3389（遠(yuǎn)程連接服務(wù)）等，這樣可以阻止相當(dāng)一部分網(wǎng)絡(luò)攻擊。對(duì)于部署了數(shù)據(jù)庫(kù)和中間件的服務(wù)器計(jì)算機(jī)，應(yīng)該更改以下默認(rèn)端口：1433（SQL Server）、1521（Oracle）、3306（MySQL）、7001（Weblogic）、8080（Tomcat/JBoss）等，達(dá)到在網(wǎng)絡(luò)中隱藏自身的目的。

2.3 及時(shí)更新最新升級(jí)補(bǔ)丁

任何軟件系統(tǒng)都不可能是絕對(duì)安全的，總會(huì)被有意者發(fā)現(xiàn)新的安全問(wèn)題，因此開(kāi)發(fā)商需要不斷發(fā)布升級(jí)補(bǔ)丁和重大版本更新來(lái)修復(fù)和封堵漏洞，保持系統(tǒng)的安全性和穩(wěn)定性。如果不及時(shí)更新至最新的版本，就很容易被攻擊者利用已知漏洞獲得系統(tǒng)控制權(quán)限或致使系統(tǒng)癱瘓。因此，應(yīng)定期檢查重要的軟件系統(tǒng)如操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、辦公軟件、開(kāi)發(fā)環(huán)境（如Java、PHP）等是否存在重要升級(jí)補(bǔ)丁或重大版本更新，及時(shí)選擇合適的時(shí)機(jī)完成升級(jí)更新，封堵來(lái)自于軟件本身的威脅。

2.4 部署安裝必要的安全軟、硬件

要保證計(jì)算機(jī)安全接入互聯(lián)網(wǎng)，以下安全軟件和硬件是必須部署安裝的：（1）防火墻/安全網(wǎng)關(guān)，用于實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的訪問(wèn)控制，過(guò)濾不安全的流量數(shù)據(jù)包，禁用指定端口的通信和來(lái)自特定ip地址的訪問(wèn)等[4]；（2）防病毒軟件，用于防范、攔截、查殺、隔離計(jì)算機(jī)病毒、木馬和惡意代碼；（3）加密U盤(pán)，用于防止他人在未通過(guò)身份鑒別的情況下直接獲取U盤(pán)中的文件數(shù)據(jù)。

企業(yè)級(jí)用戶還應(yīng)部署如下系統(tǒng)以達(dá)到更高的安全防護(hù)級(jí)別：（1）入侵檢測(cè)系統(tǒng)/入侵防御系統(tǒng)，用于自動(dòng)檢測(cè)和防御來(lái)自外部網(wǎng)絡(luò)的可能的攻擊行為，并為網(wǎng)絡(luò)安全管理人員提供日志審計(jì)以追溯攻擊來(lái)源、識(shí)別較隱蔽的攻擊行為等；（2）漏洞掃描系統(tǒng)，通過(guò)掃描等方式檢測(cè)本地或遠(yuǎn)程計(jì)算機(jī)系統(tǒng)存在的安全脆弱性，發(fā)現(xiàn)可被利用的安全漏洞隱患并提供相應(yīng)的修復(fù)和加固建議；（3）災(zāi)備系統(tǒng)，用于對(duì)信息系統(tǒng)進(jìn)行數(shù)據(jù)、軟件和硬件備份，使得在災(zāi)難發(fā)生導(dǎo)致系統(tǒng)損毀時(shí)，能夠迅速、可靠地恢復(fù)到正常運(yùn)行狀態(tài)。

2.5 應(yīng)用加密技術(shù)存儲(chǔ)、傳輸文件

對(duì)于具有密級(jí)級(jí)別的文件資料，如國(guó)家、商業(yè)、企業(yè)的絕密、機(jī)密和秘密文件，應(yīng)當(dāng)進(jìn)行加密存儲(chǔ)，防止攻擊者在成功入侵獲得文件后輕易解讀。目前的加密存儲(chǔ)方式可分為硬件加密、軟件加密和智能加密三類，其中使用最廣泛、最便捷的是軟件加密方式，常見(jiàn)如壓縮軟件WinRAR提供的加密壓縮包功能，以及一些專業(yè)加密軟件如“超級(jí)加密3000”、“文件夾超級(jí)加密大師”、“隱身俠”等。密級(jí)很高的文件不建議使用軟件加密，應(yīng)選擇安全性更高的硬件和智能加密方式。

重要文件和信息在網(wǎng)絡(luò)中的傳輸也應(yīng)該進(jìn)行加密。一些早期的網(wǎng)絡(luò)傳輸協(xié)議如ftp、telnet等均以明文方式傳輸信息，只要傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)包被截獲，所有信息都將徹底暴露，毫無(wú)安全性可言，也正因如此，ftp和telnet服務(wù)已經(jīng)逐漸被相對(duì)安全得多的ssh服務(wù)所代替。除了信息傳輸方式應(yīng)設(shè)置為密文外，被傳輸?shù)奈募旧硪矐?yīng)當(dāng)加密，以防傳輸通道被劫持或中間節(jié)點(diǎn)服務(wù)器被控制導(dǎo)致文件被他人獲得后可無(wú)限制訪問(wèn)。

3 結(jié)語(yǔ)

網(wǎng)絡(luò)安全問(wèn)題已經(jīng)成為一個(gè)全新的研究領(lǐng)域，構(gòu)建安全網(wǎng)絡(luò)空間的目標(biāo)任重而道遠(yuǎn)。文中的防范策略只是從抵御常見(jiàn)網(wǎng)絡(luò)安全威脅角度出發(fā)提出的，對(duì)于專業(yè)黑客實(shí)施的精確攻擊將很難起到效果。盡管如此，做好這些防范策略的宣貫和實(shí)施，仍然是有效提升非專業(yè)人士網(wǎng)絡(luò)安全意識(shí)、加強(qiáng)互聯(lián)網(wǎng)整體安全的重要手段和途徑，也是建立完善、健全的網(wǎng)絡(luò)安全防御體系的重要基礎(chǔ)。

[1]國(guó)家互聯(lián)網(wǎng)應(yīng)急中心.網(wǎng)絡(luò)安全信息與動(dòng)態(tài)周報(bào)2016年第51期[EB/OL].http://www.cert.org.cn,2016-12-23.

[2]鄒凱.計(jì)算機(jī)網(wǎng)絡(luò)安全防范技術(shù)探討[J].硅谷,2012,9(1):181-181.

[3]全豐菽.計(jì)算機(jī)網(wǎng)絡(luò)安全的防范策略分析[J].信息與電腦:理論版, 2010(8):10-11.

[4]耿金秀.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全防范措施[J].中國(guó)科技信息,2011(8):110-111.