云圓圓,張安寧,袁廣戀

(江蘇金盾檢測技術股份有限公司,江蘇 南京 210042)

0 引言

計算機網(wǎng)絡發(fā)展極其迅速,人們?nèi)粘５纳睢W習工作都脫離不了計算機網(wǎng)絡。另外,計算機網(wǎng)絡在經(jīng)濟政治文化等領域也處于不可替代的地位。但是,網(wǎng)絡漏洞的存在使網(wǎng)絡的安全得不到保證,使人們不得不重視網(wǎng)絡安全問題。

現(xiàn)如今,網(wǎng)絡存儲的信息十分龐大,若是將有關國家安全的任何信息、個人的隱私信息存入計算機網(wǎng)絡,或者在計算機上留下相關的信息,都會使敵方勢力覬覦,從而進行攻擊[1]。因此,建立健全安全的計算機網(wǎng)絡環(huán)境迫在眉睫。

1 計算機網(wǎng)絡安全漏洞

1.1 網(wǎng)絡安全漏洞的概念及特點

1.1.1 網(wǎng)絡安全漏洞的概念

計算機網(wǎng)絡安全漏洞是指計算機的軟件、硬件、協(xié)議等方面在編寫上存在的缺陷或產(chǎn)生的錯誤[2]。不同型號設備會在運行時產(chǎn)生不同類型的漏洞,不僅僅是因為軟件、硬件及協(xié)議中存在的漏洞。電腦使用時間越久,存在的漏洞可能就越多,那么電腦系統(tǒng)就會越脆弱,計算機感染木馬病毒的風險概率就越大。計算機在感染上病毒后,就會產(chǎn)生許多新的漏洞。雖然漏洞可以進行修復,但是給漏洞添加補丁或升級系統(tǒng)并無法排除補丁及系統(tǒng)攜帶著漏洞,沒有辦法徹底地將漏洞問題解決[3]。

雖然無法將漏洞問題完全解決,但人們可以趁著漏洞還未被不法分子利用之前,在修復的過程中將已經(jīng)發(fā)現(xiàn)的漏洞及時地利用殺毒軟件進行修復。修復成功后仍要提高警惕進行防范,因為對漏洞的修復工作是一個不斷修補的過程。

1.1.2 網(wǎng)絡安全漏洞的特點

(1)潛伏性,隱蔽性強。

計算機系統(tǒng)或者網(wǎng)絡系統(tǒng)存在漏洞時,受限于各種條件,漏洞雖然不會馬上進行攻擊,但是會偷偷地潛伏著,如果沒有安裝殺毒軟件進行深度查殺,是很難發(fā)現(xiàn)的。在條件滿足后,漏洞就會發(fā)起一系列的攻擊,從而破壞計算機的操作系統(tǒng)及數(shù)據(jù),也可能盜取及破壞數(shù)據(jù),威脅網(wǎng)絡用戶的日常生活[4]。

(2)突發(fā)性,擴散性強。

因為網(wǎng)絡是虛擬存在的,人們無法直觀地看到其中存在的危險,所以也無法直觀地察覺到漏洞的襲擊[5]。又因為網(wǎng)絡具有擴散性,在漏洞發(fā)生時,人們?nèi)绻麤]有第一時間進行修復或控制,漏洞就會不斷擴大,造成的問題也會越來越嚴重。

(3)危害性,破壞性大。

如果計算機系統(tǒng)被病毒攻擊,病毒會在軟硬件系統(tǒng)中飛速擴增,有可能造成整個計算機網(wǎng)絡的癱瘓[6]。病毒會利用自身的特性去破壞數(shù)據(jù)或盜取用戶隱私信息,可能造成財產(chǎn)的流失。如果計算機中有重要信息,那造成的破壞將不可估量。

1.2 安全漏洞的分類和攻擊性原理

1.2.1 計算機硬件中的安全漏洞

計算機硬件漏洞是十分常見的漏洞之一,一般是指計算機在運行時或網(wǎng)絡鏈路上電子信息的泄露問題。不法分子會利用特殊的設備對泄露的信息進行收集,來獲取機密信息,使擁有者造成損失[7]。硬件漏洞還包括硬件存儲設備因借用他人、濕水或掉電而導致存儲信息的損壞、泄密等情形。

1.2.2 計算機網(wǎng)絡軟件中的安全漏洞

如今,各種App都被研發(fā)出來以滿足用戶的各種需求,但是這些App不可避免地都存在多多少少的漏洞,為不法分子提供了進攻軟件的接口[8]。也有一部分開發(fā)人員惡意在軟件開發(fā)的過程中開啟了“后門”,利用后門來損害網(wǎng)絡用戶的利益。因此,人們必須提高網(wǎng)絡安全意識,從官方網(wǎng)站下載正規(guī)版本的軟件,在有更新版本的情況下需要及時更新,也需要及時安裝補丁包,這樣才可以更好地防范軟件安全漏洞。

1.2.3 網(wǎng)絡操作系統(tǒng)中的安全漏洞

網(wǎng)絡操作系統(tǒng)是一種特殊的軟件。網(wǎng)絡操作系統(tǒng)為了更好地迎合用戶的不同需求,不斷地開發(fā)出各種各樣的功能,但隨之也會產(chǎn)生出各種各樣的缺陷。這些缺陷在使用過程中逐漸暴露。

有數(shù)據(jù)表明,世界上的任何一套操作系統(tǒng)在開發(fā)的過程中都是不完善的,都存在一些漏洞[9]。而且,這些漏洞在網(wǎng)絡系統(tǒng)中長時間運作,導致其不斷地發(fā)展。因此,在網(wǎng)絡通信時,網(wǎng)絡病毒和黑客會順沿著這些漏洞對操作系統(tǒng)進行入侵,從而進行非法訪問,獲取非法數(shù)據(jù),然后在系統(tǒng)中胡亂破壞,導致操作系統(tǒng)癱瘓,危害網(wǎng)絡用戶的相關利益。

1.2.4 協(xié)議漏洞

計算機網(wǎng)絡通信是以TCP/IP協(xié)議體系為基礎的通信。協(xié)議漏洞是指因TCP/IP缺陷而形成的漏洞[10]。網(wǎng)絡病毒就可以利用協(xié)議漏洞進行攻擊。處理協(xié)議漏洞時,一般是在協(xié)議層進行防范。因為TCP/IP協(xié)議本身的不完善,且我國對協(xié)議漏洞的處理還不是十分有效,無法保證協(xié)議本身對協(xié)議漏洞信息的有效控制,所以有的黑客在進行TCP/IP協(xié)議交互通信時,打開了相應的端口,讓黑客找到攻擊的入口,造成了數(shù)據(jù)信息安全問題,阻礙了正常的通信。

2 防范計算機網(wǎng)絡漏洞的相關策略

2.1 優(yōu)化防火墻技術

人們?yōu)榱私鉀Q網(wǎng)絡安全問題研發(fā)了防火墻技術,并且將防火墻技術作為網(wǎng)絡安全防護的主要技術[11]。防火墻是介于計算機和連接網(wǎng)絡之間的程序軟件,應用于計算機系統(tǒng),使外部網(wǎng)絡和計算機系統(tǒng)之間產(chǎn)生一層隔離罩。

防火墻技術包括訪問政策、驗證工具、數(shù)據(jù)包、應用網(wǎng)關4個部分[12]。網(wǎng)絡信息的流入和流出都需要經(jīng)過防火墻這4個部分的過濾,實時監(jiān)控網(wǎng)絡的存取訪問是否合法,并對非法數(shù)據(jù)進行隔離,不讓黑客利用數(shù)據(jù)進行病毒傳播。另外,防火墻還具有抗攻擊的功能,可以有效地防御外界攻擊,也具有修復系統(tǒng)漏洞的功能,能夠精確地引導計算機殺毒軟件對計算機中的可疑文件進行查殺。

網(wǎng)絡病毒、木馬以及非法訪問入侵者等會被防火墻有效地攔截在計算機系統(tǒng)之外。因為防火墻良好的性能、出色的防護能力,所以被計算機用戶廣泛使用。

2.2 實施服務器安全控制

現(xiàn)在越來越多的網(wǎng)絡用戶給自己搭建了私人服務器,服務器也是計算機的一種類型。服務器中存儲的信息量大且重要,如果服務器受到黑客或者病毒的攻擊,可能會導致大量數(shù)據(jù)丟失或泄露,所以人們也要對服務器的安全提高重視[13]。

首先,服務器是一種硬件設施,具有便攜性,需要對搭建的環(huán)境進行保護,避免其在風吹日曬的環(huán)境中工作,其中最好的選擇是放置在正規(guī)的IDC機房中使用。其次,人們也需要考慮病毒及黑客等的攻擊,通過在服務器中安裝防火墻,利用防火墻技術,有效地防范黑客的隨意攻擊。服務器的功能就是為客戶端提供服務,可以利用設置密碼、設置用戶權限等方式,來平衡服務器的服務性能和安全性能。設置權限即授予用戶能高效完成工作所需的最小權限,用以防范可疑人員的干擾,避免無權限的人訪問。另外,還可以通過防病毒軟件、定期深入掃描殺毒、修復補丁等一系列操作來保證服務器的安全性。

2.3 進行權限控制

計算機權限控制是指用戶和用戶組被賦予一定的權限,從而限制沒有權限的非法操作的一種安全保護措施[14]。主機用戶通過對權限的設置,可以限制用戶和用戶組僅能獲取到的數(shù)據(jù),也可以限制設備執(zhí)行的操作權限。權限控制實現(xiàn)的兩種方式為:(1)受托者指派。受托者指派是指設置用戶及用戶組使用網(wǎng)絡服務器的目錄、文件和設備的范圍。(2)繼承權限屏蔽。繼承權限屏蔽相當于一個過濾器,可以限制子目錄從父目錄繼承的權限。

從用戶的角度看,根據(jù)用戶權限的大小,可分為3類用戶。(1)特殊用戶:即系統(tǒng)管理員,主要負責全局管理;(2)一般用戶:指系統(tǒng)管理員根據(jù)他們的實際需要為他們分配操作權限的用戶,即一般使用者;(3)審計用戶:指負責網(wǎng)絡的安全控制與資源使用情況的審計人員,主要開放查詢權限給審計人員使用。

因此,計算機管理員可通過合理設置用戶權限,來控制沒有訪問權限用戶的非法訪問,以此規(guī)避由權限設置問題導致的風險。

2.4 入網(wǎng)訪問控制

入網(wǎng)訪問控制是網(wǎng)絡訪問的第一層訪問控制,它的控制功能如下:

(1)檢測登錄到服務器并獲取網(wǎng)絡資源的用戶是不是合法用戶,并限制非法用戶的訪問。

(2)控制用戶的入網(wǎng)時間和工作站臺,即在這控制之外的任何時間和工作站都無法訪問。

(3)用戶的入網(wǎng)訪問控制分為賬號和密碼的驗證、用戶賬號的權限查詢。

這3個條件之中只要有一個未通過,那么用戶就無法進入網(wǎng)絡。而且,用戶密碼全部處于隱藏狀態(tài),且長度都不少于6個字符,安全性較高。如果用戶多次輸入密碼不正確,會被認為是非法入侵用戶,系統(tǒng)會限制登入網(wǎng)絡,并且還會給出警報[15]。

當用戶名和口令驗證有效之后,就進一步進行用戶賬號的檢查。只有系統(tǒng)管理員才能建立用戶賬號。另外,有些網(wǎng)站資源是需要用戶繳費后,才可以入網(wǎng)訪問。那么,當用戶余額不足時,該用戶的賬號會被自動限制,也就無法進入網(wǎng)絡訪問資源。由此可見,入網(wǎng)訪問控制措施可給予系統(tǒng)一定的安全性,保障數(shù)據(jù)信息的安全。

2.5 網(wǎng)絡協(xié)議策略

網(wǎng)絡協(xié)議在網(wǎng)絡通信中是無法被替換的,但是因為網(wǎng)絡協(xié)議自身存在的問題,導致許多網(wǎng)絡攻擊是基于網(wǎng)絡協(xié)議的漏洞進行攻擊的,存在許多欺騙類攻擊。因此,為了避免攻擊者利用欺騙類漏洞入侵,人們一定要基于網(wǎng)絡協(xié)議漏洞采取相應的防范策略。

網(wǎng)絡用戶除了可利用防火墻技術對防火墻外部的廣播地址進行隱藏,以避免攻擊者利用外,還可將系統(tǒng)中所有軟件設置為保護的方式來增強系統(tǒng)的安全性。

因為基于協(xié)議漏洞的攻擊多種多樣,而且通信協(xié)議的漏洞是最嚴重的漏洞,所以對于類似的網(wǎng)絡攻擊,網(wǎng)絡用戶應盡量在通識網(wǎng)絡協(xié)議原理的基礎之上,不斷地了解防范欺騙類攻擊的最新技術,以更好地保護自己的信息安全。

2.6 掃描漏洞技術

計算機系統(tǒng)功能多樣,肯定會存在系統(tǒng)漏洞。為了不給黑客任何可乘之機,計算機用戶要定期檢測系統(tǒng)漏洞并予以修復。

漏洞掃描技術不單單可以對本地計算機進行檢查分析,還可以通過遠程控制的方式對遠程計算機進行檢查分析。掃描系統(tǒng)漏洞的技術有模擬黑客攻擊技術和端口掃描技術[16]。模擬黑客掃描技術是指通過模擬黑客攻擊的方式來檢測系統(tǒng)漏洞之所在。端口掃描技術即通過在系統(tǒng)上開啟的網(wǎng)絡服務、端口和漏洞數(shù)據(jù)庫對比,來測試是否存在漏洞,以更好地對計算機安全進行有效的保護。

2.7 安裝防病毒系統(tǒng)

近年來,病毒的攻擊力不斷增強。針對網(wǎng)絡安全漏洞進行的攻擊,即使擁有防火墻的保護也有部分病毒能夠突破防火墻進入主機,對計算機造成傷害。為了網(wǎng)絡系統(tǒng)的安全,用戶應該在使用計算機前先安裝正規(guī)的、性能良好的殺毒軟件,現(xiàn)在常見的360安全衛(wèi)士、騰訊管家等殺毒軟件都能有效主動地防御病毒入侵。

對于部分已經(jīng)成功突破防火墻進入系統(tǒng)的病毒,網(wǎng)絡用戶需要經(jīng)常對主機進行全盤查殺,也要及時地對發(fā)現(xiàn)的補丁進行“打補丁”,按時對病毒庫、軟件進行更新[17],以保護計算機系統(tǒng)。

研發(fā)人員考慮到大多普通的計算機使用者沒有太多計算機知識,從而在設計研發(fā)階段就為使用者考慮操作方式,使計算機用戶僅利用簡便的操作就能夠?qū)崿F(xiàn)預防病毒入侵、查殺病毒等效果,從而更好地保證數(shù)據(jù)信息安全。

2.8 建立健全的網(wǎng)絡安全法規(guī)

相關部門應該建立健全的法規(guī),使網(wǎng)絡用戶在意識和行為上產(chǎn)生約束,讓網(wǎng)絡用戶在使用網(wǎng)絡時牢記有法可依、有法必依。但是現(xiàn)在我國的相關網(wǎng)絡安全法規(guī)依舊不夠完善,對于黑客攻擊的懲治力度不夠,這讓攻擊者無所畏懼,依舊有大量商業(yè)情報丟失和網(wǎng)絡詐騙現(xiàn)象的出現(xiàn),導致我國網(wǎng)絡安全案件逐年攀升。建議相關部門學習國內(nèi)外成功的網(wǎng)絡安全治理經(jīng)驗,對惡意攻擊者進行嚴厲的打擊,加大網(wǎng)絡安全知識的宣傳力度,加強網(wǎng)絡安全人才的培養(yǎng),組建網(wǎng)絡安全團隊,依法維護網(wǎng)絡秩序,以構建安全和諧的網(wǎng)絡環(huán)境。

2.9 提高網(wǎng)絡用戶的網(wǎng)絡安全意識

雖然計算機網(wǎng)絡已經(jīng)在全球范圍內(nèi)得到了普及,但是人們的網(wǎng)絡安全意識相對薄弱,導致人們?nèi)菀资艿骄W(wǎng)絡漏洞的損害。因此,網(wǎng)絡用戶首先要培養(yǎng)自身的網(wǎng)絡安全意識,擁有良好的網(wǎng)絡使用習慣,掌握常見的網(wǎng)絡安全問題及處理方式,擁有辨識網(wǎng)絡危險的能力。

在日常使用網(wǎng)絡的過程中,網(wǎng)絡用戶要訪問正規(guī)的綠色安全網(wǎng)站,避免訪問含有大量網(wǎng)絡陷阱的釣魚等不良網(wǎng)站[18]。為了數(shù)據(jù)的安全,網(wǎng)絡用戶可以對數(shù)據(jù)進行加密和備份。備份材料時要在多處備份,可以使用U盤、百度云網(wǎng)盤、硬盤等,做到防患于未然。加密即利用加密的手段對存儲的重要數(shù)據(jù)以及網(wǎng)絡傳輸?shù)男畔⑦M行加密,使得這些加密的信息只有被擁有相應權限的人解密使用。

通過以上措施,即使數(shù)據(jù)被盜取,盜取數(shù)據(jù)的人也會因為沒有密鑰而無法破解加密信息,防止信息丟失,避免造成損失。

3 結語

在今后的發(fā)展中,網(wǎng)絡漏洞問題會與科技發(fā)展融為一體,無法進行分離。由漏洞問題導致的安全問題也會擁有更多的種類,可以說網(wǎng)絡安全問題直接影響到了人們的生活問題。因此,無論是國家的任何部門或者是個人都要對計算機網(wǎng)絡安全問題提高警惕,積極有效地采取相關防治措施,不應有任何馬虎大意。