开放环境下信息网络安全问题与对策研究
2013-09-01肖祥省
肖祥省
(海南广播电视大学信息办,海南 海口 570208)
一 问题的提出
计算机病毒[1]是危害计算机安全的罪魁祸首,病毒充分利用杀毒软件的局限性和系统漏洞对系统进行攻击,导致系统瘫痪或带毒工作。计算机不联网、外来移动存储介质使用较少的封闭环境,系统感染病毒、遭到破坏或数据损坏的可能性远小于联网、频繁使用多种外来移动存储介质的开放环境。目前,在联网的电脑中,使用Windows操作系统占了最大份额。
Windows系统在没有任何防护措施情况下,可能同时有成千上万的威胁试图攻击,一旦突破防线,用户的损失可能达到100%。可以说计算机病毒是信息安全问题主要来源,我们离不开网络,而网络为病毒传播提供了方便、快速途径。中国青年报社调查中心2008年所做的一项公众社会调查显示,有88.8%的人表示自己有因为个人信息泄露而遭遇困扰的经历,其中垃圾短信、电话骚扰、垃圾邮件被视为三大“罪魁”。据国家安全部门负责人透露,有63.6%的企业用户处于“高度风险”级别,我国每年因网络泄密导致的经济损失高达上百亿元。因此,信息网络安全技术受到越来越多关注。
二 影响信息网络安全因素分析
互联网上用户,对网络和信息安全认识差别很大。常常看到:未设置用户密码的系统;为了方便仅设置简单密码就长时间上网,在网上到处转悠的用户等。
现实生活中的确有少数人以进入他人空间、盗取重要数据或控制他人电脑为生,为了达到个人目的而采取多种卑鄙手段。当然,还有其他因素,现分三个方面加以论述。
(一)病毒危害
病毒危害主要有:制造或利用病毒让他人成为肉鸡;盗用或破解他人密码、强行登录他人空间或系统;发送含有病毒的邮件或附件;提供带有病毒的程序或工具;在应用程序中设置后门或捆绑木马;对已有病毒体进行修改而产生杀毒软件一时无法识别的新病毒等。
(二)硬件故障或缺陷
随着硬件使用时间增加、电子元件稳定性会逐渐降低,再加上机器内部粉尘越积越多和空气潮湿等,导致硬件运行不稳定乃至损坏,从而导致严重的信息安全问题。存储介质故障会损坏数据完整性,系统蓝屏或无故重启也有可能损坏数据的完整性。
硬件设计有缺陷往往会导致严重的信息网络安全问题。如华为早期的交换机S2016、S2024等无法设置端口隔离,从而导致ARP病毒对局域网用户的严重影响:同一网段的机器仅中毒者可以正常上网,其他机器只能是旁观。
(三)人为因素和管理制度欠缺
属于人为因素和管理制度欠缺造成信息网络安全的因素较多,如:未制定严格的数据备份计划;未采取有效的安全防护措施;未设置用户密码或使用弱口令;随意下载和使用来源不明的程序;文件或文件夹的误删除,并且其存放位置正好是系统分区;盘被误格式化或GHOST损坏;让有毛病的机器或系统带病工作;随意关闭防火墙或中止杀毒软件的正常运行;缺乏切实可行的应急方案;没有办法确认操作系统的可用性;缺乏信息安全意识和管理措施;网络设备未设置个性化密码和访问控制列表;随意使用移动存储设备等。
三 提高信息网络安全措施
(一)选择可靠的操作系统和安装杀毒软件
操作系统稳定性对整个电脑的可用性影响非常大,对多人使用的服务器尤甚。因此服务器系统必须选用正版操作系统或来源是正版的拷贝,而不能随意使用从网上下载的系统安装盘或GHOST镜像。另外,在系统安装过程中应拔出网线,安装好杀毒软件后才能接通网络,并优先更新病毒库和操作系统的补丁。
(二)选择性能可靠和病毒库更新快的杀毒软件
有些杀毒软件为了片面追求运行速度,忽视了对dll类文件的查毒,而Windows系统有大量这类文件,估计其数量与exe文件相当。忽视对dll类文件的中毒检查,即仅保护系统的一小部分文件,即使安装有杀毒软件,系统也很容易中毒。
(三)增加密码复杂度和删除或禁用不必要账户
黑客攻击大多从系统漏洞和破解用户密码着手,通过扫描获得漏洞和用户名,获得了已知漏洞就很容易攻击成功。为提高系统安全性、增加破译难度,就要为各类用户设置复杂密码,其长度应不少于8个字符,且由多类字符组成,并定期更换;不必要的账户要尽快禁用。要经常查看系统“安全性”事件,检查各用户登录情况;还可在DOS窗口借用net user显示本系统所定义的用户名称,看看是否有非正常用户名存在。
(四)关注系统漏洞和尽快安装系统补丁
黑客除了使用工具破解用户密码外,还会借助工具扫描系统漏洞和所开放的服务端口,借此攻击系统。比较有效的办法是自动查找系统漏洞补丁和更新,即开启系统自动更新功能。Windows系统设置方法是:在桌面“我的电脑”点右键->在弹出的窗口选“属性”->在弹出的窗口点“自动更新”标签,根据自己的使用方式和上网时间,选择相应更新方式和时间点,尽量避开大量用户同时访问时间,即对服务器宜选用下班时间或凌晨更新为宜。
(五)长时间不使用网络可断开或禁用网络
长时间联网为黑客尝试用户密码、查找漏洞提供了机会,个人电脑若长期不使用网络,可考虑断网,以提高系统安全性。但服务器不可这样做,而只能是增加密码长度、复杂度和定期更换密码,并限制所开放端口个数,在防火墙上设置更为合理的访问控制规则等。通过系统DOS窗口、使用netstat–na可查看服务器所开放的端口个数和每个端口的外部连接个数,在没有打开浏览器情况下,根据外部连接数量多少可间接判断系统是否正常。
(六)避免使用来路不明程序和系统GHOST
网上下载程序很多带有病毒,对于来路不明或小网站的程序不要随意试用,若想使用,宜在未有重要数据、应用系统的机器上试用,并且要有性能可靠的杀毒软件在正常运行,才能对其安全性和可用性进行测试。即使如此,试用的风险仍然很高。
(七)提高硬件可用性和增加UPS
保持使用环境干净、干燥和整洁,定期清理服务器机箱,既能延长机器使用寿命,又能减少故障发生频率。同时注意防雷、防磁、防火和温度控制。有数据更新的服务器,尤其是数据库服务器,必须为其配备UPS供电。注意服务器与UPS、稳压器及空调等保持一定距离,避免磁场对服务器存储设备的影响。
(八)共享数据的只读访问
尽量删除系统缺省的“盘共享”。共享数据只能由专人或指定部门更新,而不能把更新权限开放给太多人,并定期检查共享信息的完整性,避免共享信息被人嵌入病毒而影响授权用户正常使用。实现方式上宜使用数据库或FTP来管理[4],避免长期使用共享文件夹模式。
(九)拥有无病毒的U盘或光盘应急系统
系统出现故障,应该先确定故障原因,而不是简单进行系统恢复或重装,即要查看事件记录,为此需要运行WINDOWS PE系统。虽然光盘应急系统兼容性和安全性比U盘系统高,但启动速度慢,且不方便版本更新、携带和内容的实时保存;而U盘应急系统启动速度快,版本更新方便,且能制作带病毒库更新功能的移动杀毒系统,同时还能方便实时存储信息和保存各类服务器的驱动程序或系统补丁,还可以随时把事件记录文件拷贝到U盘,再到其他机器上仔细分析,这样能大大减少事件分析和系统恢复所占用的服务器时间。故在能兼容各服务器启动情况下,宜选用U盘作应急系统[2],但可见区的U盘应急系统是非常容易中毒的。针对这一特殊情况和自己长期从事病毒检测、数据恢复、系统维护等的需要,笔者特意开发了内含多类操作系统、硬件检测、系统维护和移动杀毒工具的并行容错型多启系统盘,弥补了U盘系统容易中毒的缺陷,是容错型多启,其启动的成功率和防病毒性能明显高于市场上的普通U盘系统,现已申请发明专利[3],借助它能为用户提供干净、防毒、杀毒、维护、容错型多启系统盘。
(十)禁用服务器USB口
服务器正常运行,其数据传输可通过网络进行。为提高服务器安全性,减少系统数据外泄,在服务器已安装好并能正常使用情况下,宜禁用USB口。
(十一)为网络设备设置密码
为各网络设备设置个性化密码,允许配置访问的IP地址,并根据所处位置设置不同密码,避免使用同一个密码。
(十二)防火墙和网关设置
根据各服务器所开启服务、端口和允许访问对象,在防火墙和网关上设置访问控制列表,从而减少外网对各服务器的攻击。定期检查各网络设备日志,尤其是对服务器的访问。
(十三)定期备份重要数据和检查各类事件记录
对一些重要数据和文件要定期进行备份,确保系统或数据损坏时,能在规定时间内恢复和投产使用。另外,在做系统或数据备份同时,借用事件查看器查看系统所保存的各种事件,尤其是“安全性”事件中的系统登录。查看方法是:在桌面“我的电脑”点鼠标右键->在弹出的窗口选“管理”->在弹出窗口的左侧点“系统工具->事件查看器”,在窗口的右侧就会显示事件类型列表;在某类事件上双击,即会在窗口的右侧显示此类事件的详细列表;在详细列表上点鼠标右键->在弹出的窗口选“属性”,即可看到此事件的详情,如图1。据此可以判断本机运行和各用户的登录情况。
图1 查看系统事件详情
(十四)机房内禁用无线设备
无线网络主要用于普通用户上网,不宜用于服务器比较集中的机房;否则有可能被他人利用来直接攻击服务器群。另外,无线路由器必须开启安全选项和授权访问,尽量选用破解难度高的WPA-PSK/WPA2-PSK加密模式,只有这样才能避免无线路由器成为公共上网AP。
(十五)及时锁定电脑
长时间离开一定要锁定或关闭电脑,平时要注意设置屏幕保护功能,避免因自己大意而出现意外,方法是:在桌面空白处点鼠标右键->在弹出的窗口选“属性”->在弹出的窗口点“屏幕保护程序”,在“等待时间”选择5分钟,并设置“在恢复时使用密码保护”即可。确认要马上离开办公室,需快速锁定电脑:按住,在弹出的对话窗口中选择“锁定计算机”;或在任务管理器的“关机(U)”菜单->选择“待机”项;或用快速锁定电脑。
(十六)不装或不开远程协助
除非特别需要才开启远程控制软件,并要注意选择产品,尽可能选择安全性高、有加密传输的产品。平时应把服务器的远程控制软件关掉或取消其服务,只有在出差或休假时才启用,以备不时之需。
四 安全故障挽救措施
即使做了多方面努力,也注意到了上述各个方面,机器仍有可能无反应,系统发生蓝屏、中毒、瘫痪、数据丢失、分区表损坏或硬盘被格式化、GHOST镜像覆盖等故障,此时必须冷静处理,否则故障没有找到和成功处理,还有可能造成数据或硬件的二次损坏或更严重的信息安全问题。
根据启动时出错类型差异,挽救方法大体可分为三种情况:一拯救中毒系统,二挽救丢失数据,三修复硬件故障。
(一)拯救中毒系统
系统中毒一般有可加载的系统或能看到系统启动画面,有些还能正常进入系统,但系统反应明显变慢,或时常出现蓝屏、重启等现象。在确认硬件无故障、运行正常情况下,宜选用带移动杀毒工具的应急盘重新启动系统,先对硬件进行检测,在硬件检测通过后,再启动带杀毒功能的PE系统对系统盘进行全面检测,根据中毒情况确定选用文件或系统恢复[2]。确认中毒太深,文件修复太困难才考虑用以前的备份恢复系统或重装系统,并再次使用移动杀毒工具检测系统盘,若恢复后的系统有病毒,仍可根据中毒情况确定选用文件恢复或系统重装方式来搭建无病毒系统。
(二)挽救丢失数据
重要数据丢失宜先挽救数据,确认数据都恢复和备份到其他安全地方后,才考虑恢复系统或安装新系统,否则可能导致数据二次损坏。正常的WINDOWS系统在启动时会自动检查各盘是否正常关闭,若非正常关闭,则会自动运行磁盘扫描程序检查各分区内文件完整性,而对于蓝屏或重启的系统,其许多盘属于非正常关闭,若让其自动执行扫描势必会破坏待恢复的内容。
采用笔者开发的容错型多启系统盘有以下优势:既可在DOS系统下,又可在WINDOWS PE环境下恢复数据、进行分区或磁盘拷贝。笔者认为应该使用DOS环境进行数据恢复。DOS系统小、简单,方便用户自己控制磁盘读取和写入,并可把恢复数据实时保存到U盘,恢复数据量大还可加挂移动硬盘,容错型多启系统盘既方便待恢复数据读取、拷贝,又避免拆机、拆盘、装盘、挂盘的麻烦和盘数据二次损坏风险。
(三)修复硬件故障
系统硬件故障有多种,如硬件没插好、金手子氧化等,约90%是内存接触有问题,一般可从报警声音差异分辩,试着把内存、独立显卡拔出来先擦拭一下灰尘再重新插回去。在系统能正常自检情况下,建议使用安全性有保证的容错型多启系统盘,利用其中的诊断工具实现对硬件的稳定性进行测试,并可检查本机硬盘状态和其内系统中毒情况,为用户快速诊断和缩小故障范围提供便利。
[1]肖祥省.再论计算机病毒体的利用[J].微型电脑应用,1995(3).
[2]肖祥省.用移动杀毒工具挽救已瘫痪的电脑系统[J],海南大学学报(自然科学版),2012(3).
[3]肖祥省.一区多用创建容错型多启系统盘,专利号201210247646.0,2012.
[4]清宏计算机工作室.C++BUILDER编程技巧(网络与数据库篇)[M].北京:机械工业出版社 ,2001.
[5]韩冰.网络安全体系的构建[J].海南广播电视大学学报.2003(1).
