張紅軍　崔興全　杜新卓

[摘 要]本文對(duì)網(wǎng)絡(luò)中存在的安全隱患進(jìn)行歸納，并有針對(duì)性的對(duì)這些安全隱患的防護(hù)手段進(jìn)行深入的剖析，為有效防范網(wǎng)絡(luò)安全問題提供有力保障。

[關(guān)鍵詞]網(wǎng)絡(luò) 安全隱患 防護(hù)策略

中圖分類號(hào)：TP3 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-914X（2016）05-0369-01

近幾年，我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展突飛猛進(jìn)，在諸多領(lǐng)域有了長(zhǎng)足進(jìn)步，但由于起步較晚、基礎(chǔ)薄弱，與西方發(fā)達(dá)國(guó)家相比，仍有很多不足，特別是在網(wǎng)絡(luò)安全管理方面更是如此，無論是安全意識(shí)和防護(hù)能力都有較大差距。如何確保網(wǎng)絡(luò)與信息安全，把網(wǎng)絡(luò)信息安全管理工作抓到實(shí)處、抓出成效，已經(jīng)成為當(dāng)前網(wǎng)絡(luò)信息安全管理人員面臨的一個(gè)重要課題。

一、網(wǎng)絡(luò)的安全隱患

（一）人為破壞。一方面是來自于網(wǎng)絡(luò)外部的攻擊?；ヂ?lián)網(wǎng)為外部攻擊提供了便利條件，當(dāng)內(nèi)部網(wǎng)的對(duì)外接口沒有采取嚴(yán)格的安全管控措施時(shí)，網(wǎng)絡(luò)攻擊者就能夠很容易進(jìn)入內(nèi)部從事破壞活動(dòng)。另一方面是來自于網(wǎng)絡(luò)內(nèi)部的攻擊。當(dāng)內(nèi)部網(wǎng)規(guī)模較大時(shí)，用戶數(shù)量增多，如果安全管理不嚴(yán)格，就有可能遭到內(nèi)部用戶的攻擊。由于內(nèi)部用戶分別具有相應(yīng)級(jí)別的使用權(quán)限，因此造成的破壞程度往往也最嚴(yán)重。

（二）管理失誤。一是分工不明確。少數(shù)管理者權(quán)限過大，從而造成行政管理權(quán)與網(wǎng)絡(luò)使用權(quán)不匹配，增大了安全隱患。二是職責(zé)不清楚。操作人員一般未經(jīng)過系統(tǒng)的、全面的、專業(yè)的培訓(xùn)，保密意識(shí)比較淡薄，管理員賬號(hào)及口令管理不嚴(yán)，致使網(wǎng)絡(luò)存在較大的安全威脅。三是制度不落實(shí)。安全教育、預(yù)測(cè)分析、定期排查等基本安全制度落實(shí)不力，缺乏有效監(jiān)督，造成網(wǎng)絡(luò)安全性大大降低。

（三）技術(shù)漏洞。一是網(wǎng)絡(luò)服務(wù)隱患。操作系統(tǒng)都會(huì)提供各類服務(wù)供用戶使用，如遠(yuǎn)程接入服務(wù)，當(dāng)服務(wù)器對(duì)遠(yuǎn)程用戶缺乏有效認(rèn)證時(shí)，將無法監(jiān)督其操作行為，造成的網(wǎng)絡(luò)威脅較大。二是操作系統(tǒng)隱患。不同的操作系統(tǒng)均存在一定程度的安全漏洞，特別是操作系統(tǒng)為開發(fā)人員提供的無口令入口，在帶來便捷的同時(shí)，也給網(wǎng)絡(luò)攻擊者留下了可乘之機(jī)。三是網(wǎng)絡(luò)協(xié)議隱患。現(xiàn)有網(wǎng)絡(luò)中TCP/IP協(xié)議使用最為廣泛，該協(xié)議在設(shè)計(jì)之初確立的目標(biāo)不是安全，而是互連互通互操作，這種公開性為其實(shí)際應(yīng)用埋下了安全隱患。

二、網(wǎng)絡(luò)的安全防護(hù)策略

（一）嚴(yán)格安全管理。網(wǎng)絡(luò)安全事故往往是由管理失誤引起的。建立完善和嚴(yán)格執(zhí)行人員、機(jī)房、軟件及操作等安全制度，加大用戶管理力度，著力提升網(wǎng)絡(luò)安全性能，同時(shí)建立實(shí)時(shí)的監(jiān)控系統(tǒng)，組織定期的安全培訓(xùn)，能夠最大限度地降低安全風(fēng)險(xiǎn)，防止各類問題發(fā)生。

（二）構(gòu)筑防火墻。防火墻處于本地網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間，可以對(duì)經(jīng)過的網(wǎng)絡(luò)通信進(jìn)行掃描，只有符合特定條件的用戶或數(shù)據(jù)才被允許通過，從而過濾掉大量攻擊。除此之外，防火墻還能夠關(guān)閉不使用的端口及特定的端口，禁止來自于特殊站點(diǎn)的訪問，防止“不速之客”非法訪問網(wǎng)絡(luò)。

（三）加密與認(rèn)證。加密與認(rèn)證是網(wǎng)絡(luò)安全技術(shù)的核心。加密是隱藏信息的過程，它能夠以較小的代價(jià)，對(duì)傳輸信息提供強(qiáng)有力的安全保護(hù)。借助加密手段，信息即使被截取或泄露，未被授權(quán)者也不能理解其真正含義。認(rèn)證是檢驗(yàn)用戶和數(shù)據(jù)正確性的過程，主要包括消息完整性認(rèn)證、身份認(rèn)證，以及消息序號(hào)和操作時(shí)間等認(rèn)證。只有通過了認(rèn)證，才可以上網(wǎng)訪問，這樣能夠有效阻止入侵者對(duì)信息系統(tǒng)進(jìn)行主動(dòng)攻擊。

（四）安全漏洞掃描。漏洞掃瞄技術(shù)是一種主動(dòng)的防御措施，能夠有效阻止黑客的攻擊行為，做到防患于未然。通過網(wǎng)絡(luò)安全漏洞掃描，系統(tǒng)管理員能夠全面了解網(wǎng)絡(luò)設(shè)置參數(shù)和服務(wù)運(yùn)行狀態(tài)，客觀評(píng)估系統(tǒng)風(fēng)險(xiǎn)等級(jí)，及時(shí)發(fā)現(xiàn)和堵塞安全漏洞，從而在入侵者攻擊前做好防范。

（五）訪問控制。通常用于系統(tǒng)管理員控制用戶對(duì)服務(wù)器、目錄、文件等網(wǎng)絡(luò)資源的訪問。如果沒有訪問控制，那么用戶只要接入網(wǎng)絡(luò)，就可以隨意訪問網(wǎng)絡(luò)上的任何資源，這是非常危險(xiǎn)的。在網(wǎng)絡(luò)入口處實(shí)施訪問控制，既可以保證合法用戶訪問授權(quán)保護(hù)的網(wǎng)絡(luò)資源，又可以防止非法主體進(jìn)入受保護(hù)的網(wǎng)絡(luò)資源進(jìn)行非授權(quán)的訪問。

（六）最小授權(quán)。關(guān)停安全策略中那些沒有經(jīng)過定義的網(wǎng)絡(luò)服務(wù)，為用戶設(shè)置滿足需要的最小權(quán)限，并及時(shí)注銷非必要賬號(hào)，可以在相當(dāng)大程度上減小網(wǎng)絡(luò)入侵的風(fēng)險(xiǎn)。目前最為常見的攻擊手段有主機(jī)掃描、用戶掃描、端口掃描以及破解用戶口令等等，最小授權(quán)原則可以極低的代價(jià)大幅提高網(wǎng)絡(luò)安全性。

（七）入侵檢測(cè)。能夠有效彌補(bǔ)防火墻技術(shù)在某些功能上的不足，是防火墻之后的第二道安全屏障。入侵檢測(cè)系統(tǒng)在幾乎不影響網(wǎng)絡(luò)性能的情況下實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)，自動(dòng)檢測(cè)可疑的網(wǎng)絡(luò)活動(dòng)，一旦發(fā)現(xiàn)有違反安全策略的行為和被攻擊的跡象將及時(shí)作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。

（八）主機(jī)加固。網(wǎng)絡(luò)上的一切操作行為都是在操作系統(tǒng)的基礎(chǔ)上完成的，因此操作系統(tǒng)的安全性能直接決定了網(wǎng)絡(luò)的安全性能。現(xiàn)有的各種操作系統(tǒng)，如Windows等，在安全性方面都存在先天的不足。采取禁止一些非必要的服務(wù)等方式，并及時(shí)了解網(wǎng)絡(luò)安全方面的消息，下載系統(tǒng)安全補(bǔ)丁，可以把操作系統(tǒng)和應(yīng)用平臺(tái)的安全隱患大大降低。

（九）病毒防范。計(jì)算機(jī)病毒借助網(wǎng)絡(luò)或移動(dòng)存儲(chǔ)介質(zhì)傳播，利用駐留內(nèi)存、截取中斷向量等方式進(jìn)行傳染和破壞，所造成的后果難以估計(jì)。為了降低病毒危害，必須建立合理的病毒防護(hù)體系和制度，及時(shí)更新病毒庫；當(dāng)發(fā)現(xiàn)病毒侵入時(shí)，應(yīng)立即采取有效手段阻止病毒進(jìn)一步的破壞行為，并恢復(fù)受影響的計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)。

（十）網(wǎng)絡(luò)隔離。按照數(shù)據(jù)的保密、功能等各項(xiàng)要求，通過使用專用的物理硬件和不同的安全協(xié)議在網(wǎng)絡(luò)之間架設(shè)安全隔離網(wǎng)墻，實(shí)現(xiàn)多個(gè)系統(tǒng)既在空間上物理隔離，又能過濾數(shù)據(jù)交換過程中的病毒、惡意代碼等內(nèi)容，保證數(shù)據(jù)信息在可信的網(wǎng)絡(luò)環(huán)境中進(jìn)行交換。網(wǎng)絡(luò)隔離技術(shù)具有高度的安全性，在理論與實(shí)踐上都要比防火墻高一個(gè)安全級(jí)別。

參考文獻(xiàn)

[1] 張輝.數(shù)據(jù)通信與網(wǎng)絡(luò)[M].北京：北京郵電大學(xué)出版社，2010.

[2] 網(wǎng)絡(luò)測(cè)試與故障診斷試驗(yàn)教程[M].北京：清華大學(xué)出版社，2011.

[3] 方睿.網(wǎng)絡(luò)測(cè)試技術(shù)[M].北京：北京郵電大學(xué)出版社，2010.

[4] 司學(xué)斌.計(jì)算機(jī)維護(hù)維修與病毒防治策略研究[J].電腦編程技巧與維護(hù)，2011（22）.