計(jì)算機(jī)網(wǎng)絡(luò)安全淺析

李美玲 宋凱 汪慶偉 王海臻 張毅

進(jìn)入大數(shù)據(jù)時(shí)代，計(jì)算機(jī)網(wǎng)絡(luò)覆蓋了軍事、政治、金融等各行各業(yè)，大范圍、海量信息傳輸成為現(xiàn)實(shí)，資源獲取方式、信息處理密度和強(qiáng)度大幅度提升，有效地促進(jìn)了企業(yè)和個(gè)人工作效率的提高[1]。伴隨著網(wǎng)絡(luò)規(guī)模不斷壯大的同時(shí)，新型計(jì)算機(jī)病毒不斷涌現(xiàn)，網(wǎng)絡(luò)攻擊樣式持續(xù)更新，網(wǎng)絡(luò)上的各種敏感和涉密信息受到主動(dòng)和被動(dòng)攻擊，網(wǎng)絡(luò)安全面臨的威脅日益嚴(yán)峻。習(xí)主席指出，“沒有網(wǎng)絡(luò)安全就沒有國家安全”。因此，必須高度重視網(wǎng)絡(luò)安全工作，做好網(wǎng)絡(luò)安全防范。

1 計(jì)算機(jī)網(wǎng)絡(luò)安全面臨的威脅

1.1 網(wǎng)絡(luò)安全意識薄弱

多數(shù)單位對網(wǎng)絡(luò)安全的宣傳力度不夠，用戶沒有樹立網(wǎng)絡(luò)安全意識，往往按照個(gè)人意愿操作計(jì)算機(jī)，不懂如何使用各種網(wǎng)絡(luò)防御系統(tǒng)、網(wǎng)絡(luò)安防知識抵御外部攻擊、保護(hù)重要數(shù)據(jù)的安全。比如，隨意登錄陌生的網(wǎng)站、隨意下載來歷不明的文件、安全設(shè)備及終端設(shè)置弱口令、開放危險(xiǎn)端口、高危漏洞未及時(shí)修補(bǔ)等，這些安全意識上的匱乏，是導(dǎo)致網(wǎng)絡(luò)安全問題頻發(fā)的重要因素。

1.2 高危漏洞普遍存在

當(dāng)前，用戶計(jì)算機(jī)普遍使用的是Windows 操作系統(tǒng)，多數(shù)為盜版系統(tǒng)，存在諸多漏洞，這些漏洞不易被發(fā)現(xiàn)，且修復(fù)周期比較長。比如，OpenSSL 遠(yuǎn)程執(zhí)行代碼漏洞、Win10 操作系統(tǒng)權(quán)限提升漏洞等，這些漏洞容易受到黑客的攻擊和利用，在目標(biāo)主機(jī)上執(zhí)行任意代碼、獲取控制權(quán)限等惡意操作，給整個(gè)網(wǎng)絡(luò)系統(tǒng)帶來極大安全風(fēng)險(xiǎn)和威脅。此外，路由器、交換機(jī)、防火墻等設(shè)備內(nèi)部控制系統(tǒng)也存在諸多漏洞，而這些漏洞的修復(fù)一般需要廠家支持，但廠家往往不提供相關(guān)服務(wù)，導(dǎo)致設(shè)備在運(yùn)行中出現(xiàn)各類安全問題和隱患。

1.3 計(jì)算機(jī)病毒種類繁多

計(jì)算機(jī)病毒隨著計(jì)算機(jī)技術(shù)的發(fā)展而逐漸升級蔓延，病毒種類越來越多，感染方式越來越廣。計(jì)算機(jī)被感染后，病毒常以不易察覺的方式破壞計(jì)算機(jī)系統(tǒng)，繞過殺毒軟件檢測機(jī)制，甚至破壞殺毒軟件正常運(yùn)行，導(dǎo)致計(jì)算機(jī)用戶資料損壞、數(shù)據(jù)篡改丟失、網(wǎng)絡(luò)不能正常使用，甚至造成整個(gè)網(wǎng)絡(luò)癱瘓等[2]。比如，流行的木馬病毒通過自身偽裝，隱藏在用戶感興趣的文檔或程序中吸引用戶下載執(zhí)行，集成到程序中、隱藏在配置文件中、偽裝在普通文件中、內(nèi)置到注冊表中規(guī)避監(jiān)控查殺，待條件成熟后進(jìn)行破壞。

1.4 黑客攻擊難以防范

相比計(jì)算機(jī)病毒而言，黑客攻擊更難以防范，成為網(wǎng)絡(luò)防御的最大挑戰(zhàn)。黑客大多為編程技術(shù)或IT 水平較高人員，利用計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)中的缺陷和不足，根據(jù)其特定的需求對重要信息進(jìn)行秘密的破壞、利用、竊取。比如，在因特網(wǎng)中，境外黑客人員對我國重要網(wǎng)站和主機(jī)實(shí)施APT 攻擊和網(wǎng)站后門攻擊等，企圖盜用我重要信息。此外，在大數(shù)據(jù)時(shí)代，信息數(shù)據(jù)體量不斷增大，數(shù)據(jù)間關(guān)聯(lián)程度高，黑客悄無聲息地攻擊某一數(shù)據(jù)，同時(shí)利用數(shù)據(jù)間的聯(lián)系帶來更大范圍的危害[3]。

1.5 網(wǎng)絡(luò)安全技術(shù)落后

在網(wǎng)絡(luò)安全防范中，通常使用防火墻等網(wǎng)絡(luò)安全防護(hù)技術(shù)，抵御潛在的網(wǎng)絡(luò)攻擊行為[4]。但當(dāng)一種先進(jìn)的攻擊技術(shù)或病毒出現(xiàn)后，多數(shù)網(wǎng)絡(luò)安全防護(hù)設(shè)備在很長時(shí)間內(nèi)得不到升級更新，其防護(hù)功能無法抵抗不斷更新的網(wǎng)絡(luò)攻擊行為。另一方面，技術(shù)人員能力水平欠缺。常用的各種網(wǎng)絡(luò)安全設(shè)備，如防火墻、入侵檢測、安全審計(jì)等，都需要專業(yè)人員進(jìn)行正確的配置和日常合理的維護(hù)管理，但有的單位缺乏過硬的專業(yè)人才，或相關(guān)人員專業(yè)水平有限，在廠家安裝配置完策略后，無法根據(jù)病毒更新情況及時(shí)完善防火墻相關(guān)配置策略，導(dǎo)致網(wǎng)絡(luò)設(shè)備性能不夠完善，帶來安全隱患。

2 加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全的措施

2.1 提高網(wǎng)絡(luò)安全意識

培養(yǎng)和樹立網(wǎng)絡(luò)安全意識是網(wǎng)絡(luò)安全工作的基礎(chǔ)和重要前提。第一，相關(guān)部門要加大網(wǎng)絡(luò)安全宣傳教育工作，如舉辦講座、張貼宣傳海報(bào)等，使用戶充分認(rèn)識到維護(hù)網(wǎng)絡(luò)安全的重要性，培養(yǎng)人員養(yǎng)成規(guī)范性、安全性操作的習(xí)慣，減少無意識操作帶來的安全問題。第二，加大技術(shù)人才培養(yǎng)，組織開展網(wǎng)絡(luò)安防設(shè)備操作、網(wǎng)絡(luò)狀態(tài)監(jiān)測等學(xué)習(xí)操作，提高技術(shù)人員能力水平，確保遇有情況時(shí)，能正確處置網(wǎng)絡(luò)中存在的各類安全威脅。第三，要加大對單位內(nèi)部用戶監(jiān)管，嚴(yán)格落實(shí)《網(wǎng)絡(luò)安全法》等法律法規(guī)，并結(jié)合單位實(shí)際制定網(wǎng)絡(luò)管理規(guī)章制度，及時(shí)糾正違規(guī)使用網(wǎng)絡(luò)行為，積極開展維護(hù)網(wǎng)絡(luò)安全的配套活動(dòng)，提升全員維護(hù)網(wǎng)絡(luò)安全的意識和水平。

2.2 做好終端安全管理

第一，要全面了解計(jì)算機(jī)終端操作系統(tǒng)，評估系統(tǒng)初始狀態(tài)及使用過程的安全性，定期維護(hù)系統(tǒng)，及時(shí)更新漏洞補(bǔ)丁，為計(jì)算機(jī)運(yùn)行提供安全穩(wěn)定的環(huán)境。第二，注重身份驗(yàn)證，采取口令登錄方式，設(shè)置字母、數(shù)字、符號混合的安全級別較高的口令，定期更改口令，禁止將所有賬戶設(shè)置為同一口令或設(shè)置永久保存密碼等。第三，做好病毒防護(hù)工作，不下載來歷不明的軟件和程序，在軟件安裝中選擇自定義安裝，避免因一鍵快速安裝而捆綁下載不必要的軟件和病毒[5]；要加強(qiáng)網(wǎng)絡(luò)殺毒工具使用，及時(shí)更新病毒庫，每日進(jìn)行快速掃描，每周進(jìn)行全盤掃描等；在文件下載、數(shù)據(jù)傳輸、郵件接收后要先進(jìn)行病毒查殺再使用文件，保證計(jì)算機(jī)系統(tǒng)安全穩(wěn)定運(yùn)行。

2.3 加強(qiáng)安防設(shè)備使用

第一，要加大防火墻技術(shù)應(yīng)用。防火墻應(yīng)用在不同安全級別的網(wǎng)絡(luò)之間，實(shí)現(xiàn)訪問控制和審計(jì)等功能，提高內(nèi)部網(wǎng)絡(luò)的安全性。要根據(jù)單位實(shí)際，合理使用不同類型的防火墻，科學(xué)設(shè)置安全策略，對常見的高危端口進(jìn)行封堵，建立完善的安全防護(hù)體系。第二，加強(qiáng)備份，尤其注重對重要數(shù)據(jù)、各項(xiàng)策略和訪問行為等進(jìn)行記錄和異地備份，防止因斷電、設(shè)備故障等造成策略和重要信息丟失。第三，因防火墻無法及時(shí)準(zhǔn)確發(fā)現(xiàn)病毒和來自內(nèi)網(wǎng)的攻擊，而入侵檢測系統(tǒng)可以在入侵發(fā)生時(shí)，評估可疑的入侵并發(fā)出警告，還可以觀察源自系統(tǒng)內(nèi)部的攻擊[6]，所以要將防火墻與入侵檢測系統(tǒng)聯(lián)合使用，兩者結(jié)合更好地提高網(wǎng)絡(luò)安全性。第四，有效利用虛擬專網(wǎng)VPN 技術(shù)。虛擬專網(wǎng)組建靈活、方便、節(jié)省成本[7]，在規(guī)劃單位網(wǎng)絡(luò)時(shí)，要對網(wǎng)絡(luò)架構(gòu)進(jìn)行合理規(guī)劃，應(yīng)用數(shù)據(jù)加密技術(shù)等，實(shí)現(xiàn)對重要數(shù)據(jù)的傳輸。

3 結(jié)語

綜上，計(jì)算機(jī)網(wǎng)絡(luò)安全不僅是技術(shù)問題，也是管理問題。在日常工作和生活中，要將多種防范措施相結(jié)合，制定綜合解決方案，從技術(shù)和管理上同時(shí)發(fā)力。對個(gè)人而言，要提高網(wǎng)絡(luò)安全意識，養(yǎng)成規(guī)范使用網(wǎng)絡(luò)的習(xí)慣。對于單位而言，要積極探索大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)安全管理的新特點(diǎn)、新規(guī)律，摸清計(jì)算機(jī)網(wǎng)絡(luò)安全中的薄弱環(huán)節(jié)，培養(yǎng)網(wǎng)絡(luò)安全技術(shù)骨干。對于政府而言，要完善網(wǎng)絡(luò)安全相關(guān)法律法規(guī)，加大網(wǎng)絡(luò)安全宣傳力度，重視安全網(wǎng)關(guān)、IPS入侵防御系統(tǒng)、防火墻等安全技術(shù)的研制和開發(fā)，提高網(wǎng)絡(luò)防御技術(shù)水平，使計(jì)算機(jī)網(wǎng)絡(luò)更好地應(yīng)用于工作、學(xué)習(xí)與生活。