計算機網(wǎng)絡安全隱患及其防護策略

張紅軍　崔興全　杜新卓

[摘 要]本文對網(wǎng)絡中存在的安全隱患進行歸納，并有針對性的對這些安全隱患的防護手段進行深入的剖析，為有效防范網(wǎng)絡安全問題提供有力保障。

[關鍵詞]網(wǎng)絡 安全隱患 防護策略

中圖分類號：TP3 文獻標識碼：A 文章編號：1009-914X（2016）05-0369-01

近幾年，我國計算機網(wǎng)絡技術發(fā)展突飛猛進，在諸多領域有了長足進步，但由于起步較晚、基礎薄弱，與西方發(fā)達國家相比，仍有很多不足，特別是在網(wǎng)絡安全管理方面更是如此，無論是安全意識和防護能力都有較大差距。如何確保網(wǎng)絡與信息安全，把網(wǎng)絡信息安全管理工作抓到實處、抓出成效，已經(jīng)成為當前網(wǎng)絡信息安全管理人員面臨的一個重要課題。

一、網(wǎng)絡的安全隱患

（一）人為破壞。一方面是來自于網(wǎng)絡外部的攻擊。互聯(lián)網(wǎng)為外部攻擊提供了便利條件，當內(nèi)部網(wǎng)的對外接口沒有采取嚴格的安全管控措施時，網(wǎng)絡攻擊者就能夠很容易進入內(nèi)部從事破壞活動。另一方面是來自于網(wǎng)絡內(nèi)部的攻擊。當內(nèi)部網(wǎng)規(guī)模較大時，用戶數(shù)量增多，如果安全管理不嚴格，就有可能遭到內(nèi)部用戶的攻擊。由于內(nèi)部用戶分別具有相應級別的使用權限，因此造成的破壞程度往往也最嚴重。

（二）管理失誤。一是分工不明確。少數(shù)管理者權限過大，從而造成行政管理權與網(wǎng)絡使用權不匹配，增大了安全隱患。二是職責不清楚。操作人員一般未經(jīng)過系統(tǒng)的、全面的、專業(yè)的培訓，保密意識比較淡薄，管理員賬號及口令管理不嚴，致使網(wǎng)絡存在較大的安全威脅。三是制度不落實。安全教育、預測分析、定期排查等基本安全制度落實不力，缺乏有效監(jiān)督，造成網(wǎng)絡安全性大大降低。

（三）技術漏洞。一是網(wǎng)絡服務隱患。操作系統(tǒng)都會提供各類服務供用戶使用，如遠程接入服務，當服務器對遠程用戶缺乏有效認證時，將無法監(jiān)督其操作行為，造成的網(wǎng)絡威脅較大。二是操作系統(tǒng)隱患。不同的操作系統(tǒng)均存在一定程度的安全漏洞，特別是操作系統(tǒng)為開發(fā)人員提供的無口令入口，在帶來便捷的同時，也給網(wǎng)絡攻擊者留下了可乘之機。三是網(wǎng)絡協(xié)議隱患?，F(xiàn)有網(wǎng)絡中TCP/IP協(xié)議使用最為廣泛，該協(xié)議在設計之初確立的目標不是安全，而是互連互通互操作，這種公開性為其實際應用埋下了安全隱患。

二、網(wǎng)絡的安全防護策略

（一）嚴格安全管理。網(wǎng)絡安全事故往往是由管理失誤引起的。建立完善和嚴格執(zhí)行人員、機房、軟件及操作等安全制度，加大用戶管理力度，著力提升網(wǎng)絡安全性能，同時建立實時的監(jiān)控系統(tǒng)，組織定期的安全培訓，能夠最大限度地降低安全風險，防止各類問題發(fā)生。

（二）構筑防火墻。防火墻處于本地網(wǎng)絡與外部網(wǎng)絡之間，可以對經(jīng)過的網(wǎng)絡通信進行掃描，只有符合特定條件的用戶或數(shù)據(jù)才被允許通過，從而過濾掉大量攻擊。除此之外，防火墻還能夠關閉不使用的端口及特定的端口，禁止來自于特殊站點的訪問，防止“不速之客”非法訪問網(wǎng)絡。

（三）加密與認證。加密與認證是網(wǎng)絡安全技術的核心。加密是隱藏信息的過程，它能夠以較小的代價，對傳輸信息提供強有力的安全保護。借助加密手段，信息即使被截取或泄露，未被授權者也不能理解其真正含義。認證是檢驗用戶和數(shù)據(jù)正確性的過程，主要包括消息完整性認證、身份認證，以及消息序號和操作時間等認證。只有通過了認證，才可以上網(wǎng)訪問，這樣能夠有效阻止入侵者對信息系統(tǒng)進行主動攻擊。

（四）安全漏洞掃描。漏洞掃瞄技術是一種主動的防御措施，能夠有效阻止黑客的攻擊行為，做到防患于未然。通過網(wǎng)絡安全漏洞掃描，系統(tǒng)管理員能夠全面了解網(wǎng)絡設置參數(shù)和服務運行狀態(tài)，客觀評估系統(tǒng)風險等級，及時發(fā)現(xiàn)和堵塞安全漏洞，從而在入侵者攻擊前做好防范。

（五）訪問控制。通常用于系統(tǒng)管理員控制用戶對服務器、目錄、文件等網(wǎng)絡資源的訪問。如果沒有訪問控制，那么用戶只要接入網(wǎng)絡，就可以隨意訪問網(wǎng)絡上的任何資源，這是非常危險的。在網(wǎng)絡入口處實施訪問控制，既可以保證合法用戶訪問授權保護的網(wǎng)絡資源，又可以防止非法主體進入受保護的網(wǎng)絡資源進行非授權的訪問。

（六）最小授權。關停安全策略中那些沒有經(jīng)過定義的網(wǎng)絡服務，為用戶設置滿足需要的最小權限，并及時注銷非必要賬號，可以在相當大程度上減小網(wǎng)絡入侵的風險。目前最為常見的攻擊手段有主機掃描、用戶掃描、端口掃描以及破解用戶口令等等，最小授權原則可以極低的代價大幅提高網(wǎng)絡安全性。

（七）入侵檢測。能夠有效彌補防火墻技術在某些功能上的不足，是防火墻之后的第二道安全屏障。入侵檢測系統(tǒng)在幾乎不影響網(wǎng)絡性能的情況下實時監(jiān)控網(wǎng)絡，自動檢測可疑的網(wǎng)絡活動，一旦發(fā)現(xiàn)有違反安全策略的行為和被攻擊的跡象將及時作出響應，包括切斷網(wǎng)絡連接、記錄事件和報警等。

（八）主機加固。網(wǎng)絡上的一切操作行為都是在操作系統(tǒng)的基礎上完成的，因此操作系統(tǒng)的安全性能直接決定了網(wǎng)絡的安全性能?，F(xiàn)有的各種操作系統(tǒng)，如Windows等，在安全性方面都存在先天的不足。采取禁止一些非必要的服務等方式，并及時了解網(wǎng)絡安全方面的消息，下載系統(tǒng)安全補丁，可以把操作系統(tǒng)和應用平臺的安全隱患大大降低。

（九）病毒防范。計算機病毒借助網(wǎng)絡或移動存儲介質(zhì)傳播，利用駐留內(nèi)存、截取中斷向量等方式進行傳染和破壞，所造成的后果難以估計。為了降低病毒危害，必須建立合理的病毒防護體系和制度，及時更新病毒庫；當發(fā)現(xiàn)病毒侵入時，應立即采取有效手段阻止病毒進一步的破壞行為，并恢復受影響的計算機系統(tǒng)和數(shù)據(jù)。

（十）網(wǎng)絡隔離。按照數(shù)據(jù)的保密、功能等各項要求，通過使用專用的物理硬件和不同的安全協(xié)議在網(wǎng)絡之間架設安全隔離網(wǎng)墻，實現(xiàn)多個系統(tǒng)既在空間上物理隔離，又能過濾數(shù)據(jù)交換過程中的病毒、惡意代碼等內(nèi)容，保證數(shù)據(jù)信息在可信的網(wǎng)絡環(huán)境中進行交換。網(wǎng)絡隔離技術具有高度的安全性，在理論與實踐上都要比防火墻高一個安全級別。

參考文獻

[1] 張輝.數(shù)據(jù)通信與網(wǎng)絡[M].北京：北京郵電大學出版社，2010.

[2] 網(wǎng)絡測試與故障診斷試驗教程[M].北京：清華大學出版社，2011.

[3] 方睿.網(wǎng)絡測試技術[M].北京：北京郵電大學出版社，2010.

[4] 司學斌.計算機維護維修與病毒防治策略研究[J].電腦編程技巧與維護，2011（22）.