計算機網絡安全漏洞防范措施研究

云圓圓,張安寧,袁廣戀

(江蘇金盾檢測技術股份有限公司,江蘇 南京 210042)

0 引言

計算機網絡發展極其迅速,人們日常的生活、學習工作都脫離不了計算機網絡。另外,計算機網絡在經濟政治文化等領域也處于不可替代的地位。但是,網絡漏洞的存在使網絡的安全得不到保證,使人們不得不重視網絡安全問題。

現如今,網絡存儲的信息十分龐大,若是將有關國家安全的任何信息、個人的隱私信息存入計算機網絡,或者在計算機上留下相關的信息,都會使敵方勢力覬覦,從而進行攻擊[1]。因此,建立健全安全的計算機網絡環境迫在眉睫。

1 計算機網絡安全漏洞

1.1 網絡安全漏洞的概念及特點

1.1.1 網絡安全漏洞的概念

計算機網絡安全漏洞是指計算機的軟件、硬件、協議等方面在編寫上存在的缺陷或產生的錯誤[2]。不同型號設備會在運行時產生不同類型的漏洞,不僅僅是因為軟件、硬件及協議中存在的漏洞。電腦使用時間越久,存在的漏洞可能就越多,那么電腦系統就會越脆弱,計算機感染木馬病毒的風險概率就越大。計算機在感染上病毒后,就會產生許多新的漏洞。雖然漏洞可以進行修復,但是給漏洞添加補丁或升級系統并無法排除補丁及系統攜帶著漏洞,沒有辦法徹底地將漏洞問題解決[3]。

雖然無法將漏洞問題完全解決,但人們可以趁著漏洞還未被不法分子利用之前,在修復的過程中將已經發現的漏洞及時地利用殺毒軟件進行修復。修復成功后仍要提高警惕進行防范,因為對漏洞的修復工作是一個不斷修補的過程。

1.1.2 網絡安全漏洞的特點

(1)潛伏性,隱蔽性強。

計算機系統或者網絡系統存在漏洞時,受限于各種條件,漏洞雖然不會馬上進行攻擊,但是會偷偷地潛伏著,如果沒有安裝殺毒軟件進行深度查殺,是很難發現的。在條件滿足后,漏洞就會發起一系列的攻擊,從而破壞計算機的操作系統及數據,也可能盜取及破壞數據,威脅網絡用戶的日常生活[4]。

(2)突發性,擴散性強。

因為網絡是虛擬存在的,人們無法直觀地看到其中存在的危險,所以也無法直觀地察覺到漏洞的襲擊[5]。又因為網絡具有擴散性,在漏洞發生時,人們如果沒有第一時間進行修復或控制,漏洞就會不斷擴大,造成的問題也會越來越嚴重。

(3)危害性,破壞性大。

如果計算機系統被病毒攻擊,病毒會在軟硬件系統中飛速擴增,有可能造成整個計算機網絡的癱瘓[6]。病毒會利用自身的特性去破壞數據或盜取用戶隱私信息,可能造成財產的流失。如果計算機中有重要信息,那造成的破壞將不可估量。

1.2 安全漏洞的分類和攻擊性原理

1.2.1 計算機硬件中的安全漏洞

計算機硬件漏洞是十分常見的漏洞之一,一般是指計算機在運行時或網絡鏈路上電子信息的泄露問題。不法分子會利用特殊的設備對泄露的信息進行收集,來獲取機密信息,使擁有者造成損失[7]。硬件漏洞還包括硬件存儲設備因借用他人、濕水或掉電而導致存儲信息的損壞、泄密等情形。

1.2.2 計算機網絡軟件中的安全漏洞

如今,各種App都被研發出來以滿足用戶的各種需求,但是這些App不可避免地都存在多多少少的漏洞,為不法分子提供了進攻軟件的接口[8]。也有一部分開發人員惡意在軟件開發的過程中開啟了“后門”,利用后門來損害網絡用戶的利益。因此,人們必須提高網絡安全意識,從官方網站下載正規版本的軟件,在有更新版本的情況下需要及時更新,也需要及時安裝補丁包,這樣才可以更好地防范軟件安全漏洞。

1.2.3 網絡操作系統中的安全漏洞

網絡操作系統是一種特殊的軟件。網絡操作系統為了更好地迎合用戶的不同需求,不斷地開發出各種各樣的功能,但隨之也會產生出各種各樣的缺陷。這些缺陷在使用過程中逐漸暴露。

有數據表明,世界上的任何一套操作系統在開發的過程中都是不完善的,都存在一些漏洞[9]。而且,這些漏洞在網絡系統中長時間運作,導致其不斷地發展。因此,在網絡通信時,網絡病毒和黑客會順沿著這些漏洞對操作系統進行入侵,從而進行非法訪問,獲取非法數據,然后在系統中胡亂破壞,導致操作系統癱瘓,危害網絡用戶的相關利益。

1.2.4 協議漏洞

計算機網絡通信是以TCP/IP協議體系為基礎的通信。協議漏洞是指因TCP/IP缺陷而形成的漏洞[10]。網絡病毒就可以利用協議漏洞進行攻擊。處理協議漏洞時,一般是在協議層進行防范。因為TCP/IP協議本身的不完善,且我國對協議漏洞的處理還不是十分有效,無法保證協議本身對協議漏洞信息的有效控制,所以有的黑客在進行TCP/IP協議交互通信時,打開了相應的端口,讓黑客找到攻擊的入口,造成了數據信息安全問題,阻礙了正常的通信。

2 防范計算機網絡漏洞的相關策略

2.1 優化防火墻技術

人們為了解決網絡安全問題研發了防火墻技術,并且將防火墻技術作為網絡安全防護的主要技術[11]。防火墻是介于計算機和連接網絡之間的程序軟件,應用于計算機系統,使外部網絡和計算機系統之間產生一層隔離罩。

防火墻技術包括訪問政策、驗證工具、數據包、應用網關4個部分[12]。網絡信息的流入和流出都需要經過防火墻這4個部分的過濾,實時監控網絡的存取訪問是否合法,并對非法數據進行隔離,不讓黑客利用數據進行病毒傳播。另外,防火墻還具有抗攻擊的功能,可以有效地防御外界攻擊,也具有修復系統漏洞的功能,能夠精確地引導計算機殺毒軟件對計算機中的可疑文件進行查殺。

網絡病毒、木馬以及非法訪問入侵者等會被防火墻有效地攔截在計算機系統之外。因為防火墻良好的性能、出色的防護能力,所以被計算機用戶廣泛使用。

2.2 實施服務器安全控制

現在越來越多的網絡用戶給自己搭建了私人服務器,服務器也是計算機的一種類型。服務器中存儲的信息量大且重要,如果服務器受到黑客或者病毒的攻擊,可能會導致大量數據丟失或泄露,所以人們也要對服務器的安全提高重視[13]。

首先,服務器是一種硬件設施,具有便攜性,需要對搭建的環境進行保護,避免其在風吹日曬的環境中工作,其中最好的選擇是放置在正規的IDC機房中使用。其次,人們也需要考慮病毒及黑客等的攻擊,通過在服務器中安裝防火墻,利用防火墻技術,有效地防范黑客的隨意攻擊。服務器的功能就是為客戶端提供服務,可以利用設置密碼、設置用戶權限等方式,來平衡服務器的服務性能和安全性能。設置權限即授予用戶能高效完成工作所需的最小權限,用以防范可疑人員的干擾,避免無權限的人訪問。另外,還可以通過防病毒軟件、定期深入掃描殺毒、修復補丁等一系列操作來保證服務器的安全性。

2.3 進行權限控制

計算機權限控制是指用戶和用戶組被賦予一定的權限,從而限制沒有權限的非法操作的一種安全保護措施[14]。主機用戶通過對權限的設置,可以限制用戶和用戶組僅能獲取到的數據,也可以限制設備執行的操作權限。權限控制實現的兩種方式為:(1)受托者指派。受托者指派是指設置用戶及用戶組使用網絡服務器的目錄、文件和設備的范圍。(2)繼承權限屏蔽。繼承權限屏蔽相當于一個過濾器,可以限制子目錄從父目錄繼承的權限。

從用戶的角度看,根據用戶權限的大小,可分為3類用戶。(1)特殊用戶:即系統管理員,主要負責全局管理;(2)一般用戶:指系統管理員根據他們的實際需要為他們分配操作權限的用戶,即一般使用者;(3)審計用戶:指負責網絡的安全控制與資源使用情況的審計人員,主要開放查詢權限給審計人員使用。

因此,計算機管理員可通過合理設置用戶權限,來控制沒有訪問權限用戶的非法訪問,以此規避由權限設置問題導致的風險。

2.4 入網訪問控制

入網訪問控制是網絡訪問的第一層訪問控制,它的控制功能如下:

(1)檢測登錄到服務器并獲取網絡資源的用戶是不是合法用戶,并限制非法用戶的訪問。

(2)控制用戶的入網時間和工作站臺,即在這控制之外的任何時間和工作站都無法訪問。

(3)用戶的入網訪問控制分為賬號和密碼的驗證、用戶賬號的權限查詢。

這3個條件之中只要有一個未通過,那么用戶就無法進入網絡。而且,用戶密碼全部處于隱藏狀態,且長度都不少于6個字符,安全性較高。如果用戶多次輸入密碼不正確,會被認為是非法入侵用戶,系統會限制登入網絡,并且還會給出警報[15]。

當用戶名和口令驗證有效之后,就進一步進行用戶賬號的檢查。只有系統管理員才能建立用戶賬號。另外,有些網站資源是需要用戶繳費后,才可以入網訪問。那么,當用戶余額不足時,該用戶的賬號會被自動限制,也就無法進入網絡訪問資源。由此可見,入網訪問控制措施可給予系統一定的安全性,保障數據信息的安全。

2.5 網絡協議策略

網絡協議在網絡通信中是無法被替換的,但是因為網絡協議自身存在的問題,導致許多網絡攻擊是基于網絡協議的漏洞進行攻擊的,存在許多欺騙類攻擊。因此,為了避免攻擊者利用欺騙類漏洞入侵,人們一定要基于網絡協議漏洞采取相應的防范策略。

網絡用戶除了可利用防火墻技術對防火墻外部的廣播地址進行隱藏,以避免攻擊者利用外,還可將系統中所有軟件設置為保護的方式來增強系統的安全性。

因為基于協議漏洞的攻擊多種多樣,而且通信協議的漏洞是最嚴重的漏洞,所以對于類似的網絡攻擊,網絡用戶應盡量在通識網絡協議原理的基礎之上,不斷地了解防范欺騙類攻擊的最新技術,以更好地保護自己的信息安全。

2.6 掃描漏洞技術

計算機系統功能多樣,肯定會存在系統漏洞。為了不給黑客任何可乘之機,計算機用戶要定期檢測系統漏洞并予以修復。

漏洞掃描技術不單單可以對本地計算機進行檢查分析,還可以通過遠程控制的方式對遠程計算機進行檢查分析。掃描系統漏洞的技術有模擬黑客攻擊技術和端口掃描技術[16]。模擬黑客掃描技術是指通過模擬黑客攻擊的方式來檢測系統漏洞之所在。端口掃描技術即通過在系統上開啟的網絡服務、端口和漏洞數據庫對比,來測試是否存在漏洞,以更好地對計算機安全進行有效的保護。

2.7 安裝防病毒系統

近年來,病毒的攻擊力不斷增強。針對網絡安全漏洞進行的攻擊,即使擁有防火墻的保護也有部分病毒能夠突破防火墻進入主機,對計算機造成傷害。為了網絡系統的安全,用戶應該在使用計算機前先安裝正規的、性能良好的殺毒軟件,現在常見的360安全衛士、騰訊管家等殺毒軟件都能有效主動地防御病毒入侵。

對于部分已經成功突破防火墻進入系統的病毒,網絡用戶需要經常對主機進行全盤查殺,也要及時地對發現的補丁進行“打補丁”,按時對病毒庫、軟件進行更新[17],以保護計算機系統。

研發人員考慮到大多普通的計算機使用者沒有太多計算機知識,從而在設計研發階段就為使用者考慮操作方式,使計算機用戶僅利用簡便的操作就能夠實現預防病毒入侵、查殺病毒等效果,從而更好地保證數據信息安全。

2.8 建立健全的網絡安全法規

相關部門應該建立健全的法規,使網絡用戶在意識和行為上產生約束,讓網絡用戶在使用網絡時牢記有法可依、有法必依。但是現在我國的相關網絡安全法規依舊不夠完善,對于黑客攻擊的懲治力度不夠,這讓攻擊者無所畏懼,依舊有大量商業情報丟失和網絡詐騙現象的出現,導致我國網絡安全案件逐年攀升。建議相關部門學習國內外成功的網絡安全治理經驗,對惡意攻擊者進行嚴厲的打擊,加大網絡安全知識的宣傳力度,加強網絡安全人才的培養,組建網絡安全團隊,依法維護網絡秩序,以構建安全和諧的網絡環境。

2.9 提高網絡用戶的網絡安全意識

雖然計算機網絡已經在全球范圍內得到了普及,但是人們的網絡安全意識相對薄弱,導致人們容易受到網絡漏洞的損害。因此,網絡用戶首先要培養自身的網絡安全意識,擁有良好的網絡使用習慣,掌握常見的網絡安全問題及處理方式,擁有辨識網絡危險的能力。

在日常使用網絡的過程中,網絡用戶要訪問正規的綠色安全網站,避免訪問含有大量網絡陷阱的釣魚等不良網站[18]。為了數據的安全,網絡用戶可以對數據進行加密和備份。備份材料時要在多處備份,可以使用U盤、百度云網盤、硬盤等,做到防患于未然。加密即利用加密的手段對存儲的重要數據以及網絡傳輸的信息進行加密,使得這些加密的信息只有被擁有相應權限的人解密使用。

通過以上措施,即使數據被盜取,盜取數據的人也會因為沒有密鑰而無法破解加密信息,防止信息丟失,避免造成損失。

3 結語

在今后的發展中,網絡漏洞問題會與科技發展融為一體,無法進行分離。由漏洞問題導致的安全問題也會擁有更多的種類,可以說網絡安全問題直接影響到了人們的生活問題。因此,無論是國家的任何部門或者是個人都要對計算機網絡安全問題提高警惕,積極有效地采取相關防治措施,不應有任何馬虎大意。