計算機網絡安全隱患及其防護策略

張紅軍　崔興全　杜新卓

[摘 要]本文對網絡中存在的安全隱患進行歸納，并有針對性的對這些安全隱患的防護手段進行深入的剖析，為有效防范網絡安全問題提供有力保障。

[關鍵詞]網絡 安全隱患 防護策略

中圖分類號：TP3 文獻標識碼：A 文章編號：1009-914X（2016）05-0369-01

近幾年，我國計算機網絡技術發展突飛猛進，在諸多領域有了長足進步，但由于起步較晚、基礎薄弱，與西方發達國家相比，仍有很多不足，特別是在網絡安全管理方面更是如此，無論是安全意識和防護能力都有較大差距。如何確保網絡與信息安全，把網絡信息安全管理工作抓到實處、抓出成效，已經成為當前網絡信息安全管理人員面臨的一個重要課題。

一、網絡的安全隱患

（一）人為破壞。一方面是來自于網絡外部的攻擊。互聯網為外部攻擊提供了便利條件，當內部網的對外接口沒有采取嚴格的安全管控措施時，網絡攻擊者就能夠很容易進入內部從事破壞活動。另一方面是來自于網絡內部的攻擊。當內部網規模較大時，用戶數量增多，如果安全管理不嚴格，就有可能遭到內部用戶的攻擊。由于內部用戶分別具有相應級別的使用權限，因此造成的破壞程度往往也最嚴重。

（二）管理失誤。一是分工不明確。少數管理者權限過大，從而造成行政管理權與網絡使用權不匹配，增大了安全隱患。二是職責不清楚。操作人員一般未經過系統的、全面的、專業的培訓，保密意識比較淡薄，管理員賬號及口令管理不嚴，致使網絡存在較大的安全威脅。三是制度不落實。安全教育、預測分析、定期排查等基本安全制度落實不力，缺乏有效監督，造成網絡安全性大大降低。

（三）技術漏洞。一是網絡服務隱患。操作系統都會提供各類服務供用戶使用，如遠程接入服務，當服務器對遠程用戶缺乏有效認證時，將無法監督其操作行為，造成的網絡威脅較大。二是操作系統隱患。不同的操作系統均存在一定程度的安全漏洞，特別是操作系統為開發人員提供的無口令入口，在帶來便捷的同時，也給網絡攻擊者留下了可乘之機。三是網絡協議隱患。現有網絡中TCP/IP協議使用最為廣泛，該協議在設計之初確立的目標不是安全，而是互連互通互操作，這種公開性為其實際應用埋下了安全隱患。

二、網絡的安全防護策略

（一）嚴格安全管理。網絡安全事故往往是由管理失誤引起的。建立完善和嚴格執行人員、機房、軟件及操作等安全制度，加大用戶管理力度，著力提升網絡安全性能，同時建立實時的監控系統，組織定期的安全培訓，能夠最大限度地降低安全風險，防止各類問題發生。

（二）構筑防火墻。防火墻處于本地網絡與外部網絡之間，可以對經過的網絡通信進行掃描，只有符合特定條件的用戶或數據才被允許通過，從而過濾掉大量攻擊。除此之外，防火墻還能夠關閉不使用的端口及特定的端口，禁止來自于特殊站點的訪問，防止“不速之客”非法訪問網絡。

（三）加密與認證。加密與認證是網絡安全技術的核心。加密是隱藏信息的過程，它能夠以較小的代價，對傳輸信息提供強有力的安全保護。借助加密手段，信息即使被截取或泄露，未被授權者也不能理解其真正含義。認證是檢驗用戶和數據正確性的過程，主要包括消息完整性認證、身份認證，以及消息序號和操作時間等認證。只有通過了認證，才可以上網訪問，這樣能夠有效阻止入侵者對信息系統進行主動攻擊。

（四）安全漏洞掃描。漏洞掃瞄技術是一種主動的防御措施，能夠有效阻止黑客的攻擊行為，做到防患于未然。通過網絡安全漏洞掃描，系統管理員能夠全面了解網絡設置參數和服務運行狀態，客觀評估系統風險等級，及時發現和堵塞安全漏洞，從而在入侵者攻擊前做好防范。

（五）訪問控制。通常用于系統管理員控制用戶對服務器、目錄、文件等網絡資源的訪問。如果沒有訪問控制，那么用戶只要接入網絡，就可以隨意訪問網絡上的任何資源，這是非常危險的。在網絡入口處實施訪問控制，既可以保證合法用戶訪問授權保護的網絡資源，又可以防止非法主體進入受保護的網絡資源進行非授權的訪問。

（六）最小授權。關停安全策略中那些沒有經過定義的網絡服務，為用戶設置滿足需要的最小權限，并及時注銷非必要賬號，可以在相當大程度上減小網絡入侵的風險。目前最為常見的攻擊手段有主機掃描、用戶掃描、端口掃描以及破解用戶口令等等，最小授權原則可以極低的代價大幅提高網絡安全性。

（七）入侵檢測。能夠有效彌補防火墻技術在某些功能上的不足，是防火墻之后的第二道安全屏障。入侵檢測系統在幾乎不影響網絡性能的情況下實時監控網絡，自動檢測可疑的網絡活動，一旦發現有違反安全策略的行為和被攻擊的跡象將及時作出響應，包括切斷網絡連接、記錄事件和報警等。

（八）主機加固。網絡上的一切操作行為都是在操作系統的基礎上完成的，因此操作系統的安全性能直接決定了網絡的安全性能。現有的各種操作系統，如Windows等，在安全性方面都存在先天的不足。采取禁止一些非必要的服務等方式，并及時了解網絡安全方面的消息，下載系統安全補丁，可以把操作系統和應用平臺的安全隱患大大降低。

（九）病毒防范。計算機病毒借助網絡或移動存儲介質傳播，利用駐留內存、截取中斷向量等方式進行傳染和破壞，所造成的后果難以估計。為了降低病毒危害，必須建立合理的病毒防護體系和制度，及時更新病毒庫；當發現病毒侵入時，應立即采取有效手段阻止病毒進一步的破壞行為，并恢復受影響的計算機系統和數據。

（十）網絡隔離。按照數據的保密、功能等各項要求，通過使用專用的物理硬件和不同的安全協議在網絡之間架設安全隔離網墻，實現多個系統既在空間上物理隔離，又能過濾數據交換過程中的病毒、惡意代碼等內容，保證數據信息在可信的網絡環境中進行交換。網絡隔離技術具有高度的安全性，在理論與實踐上都要比防火墻高一個安全級別。

參考文獻

[1] 張輝.數據通信與網絡[M].北京：北京郵電大學出版社，2010.

[2] 網絡測試與故障診斷試驗教程[M].北京：清華大學出版社，2011.

[3] 方睿.網絡測試技術[M].北京：北京郵電大學出版社，2010.

[4] 司學斌.計算機維護維修與病毒防治策略研究[J].電腦編程技巧與維護，2011（22）.