◆鲁 霞 何 欢 胡仲殊 卢小云

（荆门市气象局 湖北 448000）

网络安全风险分析及运维防范措施

◆鲁 霞 何 欢 胡仲殊 卢小云

（荆门市气象局 湖北 448000）

随着网络技术的迅速发展和广泛应用，互联网已成为我们工作和生活的重要组成。网络在给我们带来便利的同时，也带来了黑客、计算机病毒甚至网上犯罪等安全隐患，网络安全逐渐成为一个潜在的巨大问题。本文对当今网络存在的风险问题进行分析，并提出运维防范措施，旨在不断增强信息网络安全应用水平。

网络安全; 黑客攻击; 应用漏洞; 防火墙; 运维防范

0 前言

Intelnet网络环境为信息共享、信息交流、信息服务创造了理想空间。但正是由于互联网具有这种开放、交互以及分散的特征，使网络应用产生了一些安全问题，统计表明，近些年针对政府部门和重要行业单位网站的网络攻击频度、烈度和复杂度不断加剧，出现了向网站中植入钓鱼页面、针对性地实施拒绝服务攻击，窃取网站数据和网上个人信息实施网络犯罪等情况，我们的信息网络安全受到极大威胁。如何更有效的保护网络系统重要信息和数据，进一步提高网络系统安全性成为所有网络应用必须考虑和必须解决的一个重要问题。

1 网络安全常见问题

1.1 网络安全定义

从本质上来讲，网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常运行，网络服务不中断。从广义来说，凡事涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域[1]。网络安全问题既涉及技术层面，也涉及管理层面。技术方面侧重于防范外部非法用户的攻击，管理方面则侧重于内部人为因素。

1.2 常见安全问题

常见的网络安全问题表现形式有以下三种:第一是黑客攻击。“黑客”泛指电脑系统的非法入侵者。黑客一旦入侵成功，小则文件受损、机密泄露，大至威胁国家安全。目前随着Web应用程序的增多，这些Web应用程序所带来的安全漏洞越来越多，过去的安全问题还未得到及时解决，新的安全漏洞又犹如雨后春笋不断涌现; 再则，随着中国网民的急剧增加，中国计算机系统已成为黑客利用的主要对象之一，它们经黑客远端控制后，会发出大量的垃圾邮件，恶意攻击其它网站，传播非法文字信息等，因此黑客攻击问题更加显现。第二是计算机病毒。目前，数据安全的头号危险仍然是计算机病毒。计算机感染上病毒后，轻则使计算机效率下降，重则造成系统死机或毁坏，部分文件或全部数据丢失，甚至造成计算机主板等部件的损坏。有了互联网后，病毒的传播速度更快，涉及范围更广，危害性更大。另外就是垃圾邮箱和间谍软件泛滥。一些人利用电子邮箱地址的公开性和系统的可广播性进行商业、宗教、政治等活动，把自己的电子邮件强行推入别人的电子邮箱，强迫他人接收垃圾邮件。间谍软件的功能繁多，它可以监视用户行为，或是发布广告，修改系统设置，威胁用户隐私和计算机安全，并可能不同程度地影响系统性能，严重时可破坏计算机系统，甚至实施网上盗窃、诈骗等金融犯罪活动[1]。

2 网络安全面临的主要安全威胁分析

2.1 黑客攻击由网络层转向应用层

当今网络安全面临的主要威胁已由网络层转向应用层。主要表现在两个层面:（1）Web应用程序不断增多，这些程序所带来的安全漏洞也越来越多; （2）随着互联网技术的发展，被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗，组织性和经济利益驱动非常明显。未经过特殊安全训练的程序员缺乏相关的网页安全知识; 应用部门缺乏良好的编程规范和代码检测机制等等。解决此类问题仅仅靠打补丁和安装防火墙还远远不够，必须在WEB层面上进行整治。

2.2 面向WEB应用层的主要攻击及特点

（1）WEB安全主要攻击

美国最权威的RSA大会研究显示，目前Web应用安全已超过所有以前网络层安全，逐渐成为最严重、最广泛、危害性最大的安全问题。WEB安全的挑战主要来自以下几个方面:XSS跨站攻击、SQL 注入、恶意代码以及发布平台自身漏洞等，前二者尤甚。

XSS跨站攻击:跨站脚本攻击（Cross-site scripting，通常简称为XSS），可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。跨站攻击的实施步骤见图1。

图1 跨站攻击的实施步骤

SQL 注入:SQL注入类漏洞被黑客广泛用于非法获取网站控制权。是发生在应用程序的数据库层上的安全漏洞。利用SQL注入漏洞，攻击者可直接攻击数据库，可能导致数据被窃取、更改、删除,导致网站页面被篡改、植入后门程序甚至被黑客获取系统权限等危害。这种漏洞在网上极为普遍，通常是由于程序员对注入不了解,或者程序过滤不严格,或者某个参数忘记检查导致。

（2）面向WEB应用层的攻击特点

隐蔽性强:利用Web漏洞发起对WEB应用的攻击纷繁复杂，包括SQL注入，跨站脚本攻击等等，一个共同特点是隐蔽性强，不易发觉。

攻击时间短:可在短短几秒到几分钟内完成一次数据窃取、一次木马种植、完成对整个数据库或Web服务器的控制，以至于非常困难做出人为反应。

造成后果严重:一旦发生这类安全事件，必将造成严重后果，其影响和损失也是不可估量的。

3 网络安全运维防范措施

3.1 预防病毒

预防病毒最有效办法就是，安装杀毒软件并定期杀毒。但是，没有哪一种杀毒软件是万能的，所以当本机的杀毒软件无法找到病毒时，用户可以到网上下载一些专杀工具，如木马专杀工具、蠕虫专杀工具或宏病毒专杀工具等。作为用户，我们每周至少更新一次杀毒软件病毒库; 每周对电脑硬盘进行一次全面的扫描、杀毒，以便及时发现隐蔽在系统中的病毒。作为网管来说，要在网络上安装网络版杀毒软件，对全网进行监控、定期查杀病毒，一旦发现网络受到攻击时，应在第一时间找到攻击源，并开展断网隔离清理工作。

3.2 安装防火墙

有人会问:安装了杀毒软件还需要防火墙吗？回答是肯定的。因为杀毒软件和防火墙是信息安全中的两个不同范畴，杀毒软件只能预防计算机病毒，一旦网络受到黑客攻击时，只能借助防火墙来拦截。防火墙是设置在不同网络之间信息的安全出入口，用户可以根据安全需要设定安全规则，并通过它来实现安全规划以控制出入网络的信息流。

这里以荆门国家突发预警信息发布系统中应用的北京天融信公司的网络卫士防火墙为实例，介绍防火墙在网络中的应用和配置。该防火墙采用了目前流行的多种网络安全机制，如多端口结构、NAT（网络地址转换）、端口和地址映射、用户认证、过滤策略、应用程序识别、入侵防御、VPN接入等等。其基本配置有两种方式，即串口管理和Web管理，后者更常用。在此应用中，该防火墙需将业务网络划分为局域网、DMZ区（隔离区）、电子政务外网三个分区，而且三个分区间必须实施严格的访问控制，同时开通相关访问权限，因此在配置防火墙时，除了要对主机地址、网络接口、区域、静态路由、源地址与目标地址转换等进行设置和定义外，还要根据业务应用策略进行访问控制安全配置，启用相应服务才能实现既定功能[2-3]。其安全应用策略部分设置如图2。

图2 防火墙安全策略部分设置

3.3 增强网络安全意识和安全管理

只要有数据交换传播就有安全威胁风险，网络安全不仅仅是技术问题，同时也是一个安全意识和安全管理问题。特别是作为一个部门一个单位的网络运维管理人员，除了建立相关制度，掌握相关技术，还要尽量避免和克服一些不良操作习惯和心理:第一，共享心理，就是所有IT人员或终端用户都使用相同账户登陆服务器或网络设备等，操作失误也没人知道，滥用、误用权限严重; 第二，怕麻烦心理，在对各种设备进行巡检需要进行多次认证，为了求简单提高效率而使用相同的或有特征的密码; 第三，“健忘”心理，我们的业务系统在经第三方人员进入时往往会建立一些临时账户，临时账户忘记清除，日积月累，临时账户泛滥，存在被恶意人员利用的可能; 第四，广播心理，管理者在对账户进行调整后，往往以广播的方式告知更改后用户名及登陆口令等，若有人离职，账户口令可能泄密; 第五，黑盒心理，随着云技术的发展应用，网络运维状态变得不够透明，谁正在操作你的服务器，你的服务器每天产生多少运维访问，重要系统上每天都有些什么操作，是否有高危操作正在进行，谁负责告警等等。这些问题不引起注意最终可能导致我们的信息系统存在设备没有隐藏和保护、没有限制可访问人员以及操作不可控、无法监测等问题。因此使用中，重点要统一全网入口，进行集中管理，实行身份认证，访问控制，权限管理和操作审计，以确保网络和数据安全。

3.4 养成良好的上网习惯

作为网络用户来说，养成良好的上网习惯，是保证网络安全和个人信息安全的基础。在使用中，要及时对操作系统、应用程序进行升级打补丁，保持持续更新状态; 在启用个人防火墙的同时，安装360安全卫士等病毒防护软件。不要轻易接收或点击陌生人发来的文件和链接; 不要去访问一些内容低级粗俗的网站。应避免在公共WIFI环境中，登陆个人网银账户进行网上交易; 网上需要传输重要文件时，尽量压缩后再加密传输; 电脑用完后关机，摄像头不用时最好转向视觉死角等等。

4 结语

总的来说，网络安全是一个动态平衡的过程，目前解决网络安全的大部分技术是存在的，但随着攻击者对安全技术的深入研究，可能会发现新的安全问题，与此同时由于应用系统在不断的更新和改版这个过程又会引入新的安全问题，因此尚没有一种技术或产品可以使网络应用安全一劳永逸，这就决定了网络安全问题是一个长远持久的课题，要保障应用的安全只有通过不断进行安全评估、安全防护才能确保网络安全。

[1]王红.浅谈宽带网用户网络安全常见问题[J].网络通讯与安全，2007.

[2]柏枫.网络防火墙在气象信息网络系统中的应用[J].气象与减灾，2011.

[3]郭晓佳.NetEye FW4016防火墙在气象网络安全上的应用[J].网络安全技术与应用，2009.