南通市建设信息中心 葛春林

刍议网络安全威胁防范策略

南通市建设信息中心 葛春林

计算机网络技术的飞速发展使得互联网已经深入渗透到人类社会的生产生活之中，由此产生的网络安全问题也越来越受到人们的关注和重视。为避免因网络安全问题造成的不可预估的损失和灾难，在享受互联网带来的便捷生活的同时，应当采取一些必需的策略和措施来保障网络环境的安全，防范可能出现的威胁和风险。本文首先阐述了计算机网络面临的三类安全威胁，然后从五个方面提出针对这些威胁的防范对策，旨在为目标人群安全使用网络提供必要的指导建议，以期达到从整体上加强网络安全威胁防御的目的。

网络安全；威胁风险；安全漏洞；防范策略

0 引言

经济多元化发展的今天，人们的生活越来越离不开信息网络世界，对网络空间的安全也提出了更高的要求。网络安全问题可以造成的严重危害有目共睹，仅以2016年为例，就有OpenSSL新型安全漏洞“水牢”威胁我国十余万家网站、315晚会上曝光不法分子利用公共WIFI漏洞盗取他人银行账户资产、俄罗斯黑客盗取2.7亿邮箱账号密码并在黑市交易、山东临沂准大一新生徐玉玉因电信诈骗死亡、国家电网掌上电力及电e宝等App泄露大量用户数据等重大网络安全事件发生。因此，提高全民的网络安全意识、普及网络安全威胁防范知识已成为当务之急。只有在全民做好防范应对的前提下，才真正能够抵御来自于互联网的绝大部分威胁和风险，营造一个健康和谐、更好地为人类生活服务的网络社会。

1 网络安全三类威胁

根据国家互联网应急中心（CNCERT）网络安全信息与动态监测结果，2016年12月12日至12月18日，我国境内被篡改网站数量达3438个（其中政府网站79个）；境内被植入后门的网站数量达1614个（其中政府网站33个）；针对境内网站的仿冒页面数量达2486个。境内感染网络病毒的主机数量达94.8万，其中包括被木马或被僵尸程序控制主机72.8万，感染飞客（conficker）蠕虫主机22万；新增信息安全漏洞274个，其中高危漏洞98个。与前一周相比，被篡改网站、仿冒页面、感染病毒主机、新增信息安全漏洞等数量都在增加[1]。可见，互联网安全威胁普遍、大量存在，而且有不断增加的趋势。这些威胁依据安全三要素“人、机、环境”可分类为：人为威胁、计算机威胁和网络威胁。

1.1 人为威胁

人为威胁[2]即由用户非正常操作引起的威胁，包括：（1）无意识的操作失误，如系统管理员安全配置不当、系统登录口令强度太弱、长时间离开未锁定计算机、重要账号随意转借他人、下载运行存在安全风险的软件程序等；（2）有意识的主动攻击，如通过钓鱼邮件、社会工程学等方法窃取重要数据信息，或者利用病毒木马传播、恶意代码植入、拒绝服务攻击等方式对系统和数据进行篡改甚至破坏。

1.2 计算机威胁

计算机威胁主要是由计算机自身部署的软硬件产生的威胁，包括：（1）因操作系统、数据库或其他应用系统未及时升级至最新版本导致存在可被利用的漏洞或者“后门”[3]；（2）因需要提供某些特定服务而开启相应端口，这些服务和端口同时也可能被攻击者利用；（3）因接入外部设备（如U盘、摄像头、打印机等）导致敏感信息泄露或计算机被感染等问题。

1.3 网络威胁

网络威胁是三类威胁中存在最广泛、危害性最强的。互联网上充斥着各种各样、不计其数的病毒、木马和恶意代码，未作任何防护措施的计算机直接接入网络中的危险不言而喻；网络通信协议使得具有不同硬件架构和操作系统的计算机能够互联互通，但许多早期协议在设计之初并未考虑网络安全问题，不可避免会存在安全隐患；除此之外，互联网中还遍布各种具有攻击能力的网络工具，攻击者可以操纵这些工具并结合一些攻击命令实现各种攻击目的，轻则窃取重要文件或造成目标计算机运行异常，重则完全控制目标计算机甚至造成物理性严重破坏。

2 常用网络安全防范策略

为有效防范上述网络安全威胁，结合生活生产实际，常用且有效的一些应对策略和措施包括以下方面。

2.1 完善用户账户口令安全

包括操作系统（如Windows、Linux/Unix）、数据库（如SQL Server、Oracle、MySQL）、中间件（如Tomcat、Weblogic、JBoss）、远程连接和文件共享服务（如Ftp、Telnet、SSH）、网络设备（如网关、交换机、路由器、摄像头、打印机）等重要软硬件资源的管理员口令都应设置为大小写字母、数字及特殊字符的强组合，且应达到一定长度并定期更换（如8位以上、每3月更换）。研究表明，暴力破解8位强组合口令的时间是8位纯数字口令的7.2*107倍，是6位强组合口令的9.2*103倍，长度越长、组合越复杂的口令被破解成功的概率将以指数级减小。

对于Windows操作系统，应特别注意禁用Guest来宾账户，有为数不少的成功入侵案例就是利用这个账号存在的漏洞来达到入侵目的。为进一步加强反入侵效果，还可以将系统默认的管理员用户名administrator修改为其他名称，同时再创建一个具有极小权限的administrator账户，从而对攻击者造成干扰和迷惑，争取时间组织有效防御。

2.2 禁用不常用的端口

操作系统一般会默认开放一些网络服务，如果确认不会用到这些服务，就应该禁用服务对应的端口，减少计算机暴露在网络中的安全风险。对于个人终端计算机，可以禁用的常见端口包括：21（Ftp服务）、23（Telnet服务）、80/8080（Http服务）、139/445（网络共享服务）、443（Https服务）、3389（远程连接服务）等，这样可以阻止相当一部分网络攻击。对于部署了数据库和中间件的服务器计算机，应该更改以下默认端口：1433（SQL Server）、1521（Oracle）、3306（MySQL）、7001（Weblogic）、8080（Tomcat/JBoss）等，达到在网络中隐藏自身的目的。

2.3 及时更新最新升级补丁

任何软件系统都不可能是绝对安全的，总会被有意者发现新的安全问题，因此开发商需要不断发布升级补丁和重大版本更新来修复和封堵漏洞，保持系统的安全性和稳定性。如果不及时更新至最新的版本，就很容易被攻击者利用已知漏洞获得系统控制权限或致使系统瘫痪。因此，应定期检查重要的软件系统如操作系统、数据库、中间件、办公软件、开发环境（如Java、PHP）等是否存在重要升级补丁或重大版本更新，及时选择合适的时机完成升级更新，封堵来自于软件本身的威胁。

2.4 部署安装必要的安全软、硬件

要保证计算机安全接入互联网，以下安全软件和硬件是必须部署安装的：（1）防火墙/安全网关，用于实现对网络的访问控制，过滤不安全的流量数据包，禁用指定端口的通信和来自特定ip地址的访问等[4]；（2）防病毒软件，用于防范、拦截、查杀、隔离计算机病毒、木马和恶意代码；（3）加密U盘，用于防止他人在未通过身份鉴别的情况下直接获取U盘中的文件数据。

企业级用户还应部署如下系统以达到更高的安全防护级别：（1）入侵检测系统/入侵防御系统，用于自动检测和防御来自外部网络的可能的攻击行为，并为网络安全管理人员提供日志审计以追溯攻击来源、识别较隐蔽的攻击行为等；（2）漏洞扫描系统，通过扫描等方式检测本地或远程计算机系统存在的安全脆弱性，发现可被利用的安全漏洞隐患并提供相应的修复和加固建议；（3）灾备系统，用于对信息系统进行数据、软件和硬件备份，使得在灾难发生导致系统损毁时，能够迅速、可靠地恢复到正常运行状态。

2.5 应用加密技术存储、传输文件

对于具有密级级别的文件资料，如国家、商业、企业的绝密、机密和秘密文件，应当进行加密存储，防止攻击者在成功入侵获得文件后轻易解读。目前的加密存储方式可分为硬件加密、软件加密和智能加密三类，其中使用最广泛、最便捷的是软件加密方式，常见如压缩软件WinRAR提供的加密压缩包功能，以及一些专业加密软件如“超级加密3000”、“文件夹超级加密大师”、“隐身侠”等。密级很高的文件不建议使用软件加密，应选择安全性更高的硬件和智能加密方式。

重要文件和信息在网络中的传输也应该进行加密。一些早期的网络传输协议如ftp、telnet等均以明文方式传输信息，只要传输的网络数据包被截获，所有信息都将彻底暴露，毫无安全性可言，也正因如此，ftp和telnet服务已经逐渐被相对安全得多的ssh服务所代替。除了信息传输方式应设置为密文外，被传输的文件本身也应当加密，以防传输通道被劫持或中间节点服务器被控制导致文件被他人获得后可无限制访问。

3 结语

网络安全问题已经成为一个全新的研究领域，构建安全网络空间的目标任重而道远。文中的防范策略只是从抵御常见网络安全威胁角度出发提出的，对于专业黑客实施的精确攻击将很难起到效果。尽管如此，做好这些防范策略的宣贯和实施，仍然是有效提升非专业人士网络安全意识、加强互联网整体安全的重要手段和途径，也是建立完善、健全的网络安全防御体系的重要基础。

[1]国家互联网应急中心.网络安全信息与动态周报2016年第51期[EB/OL].http://www.cert.org.cn,2016-12-23.

[2]邹凯.计算机网络安全防范技术探讨[J].硅谷,2012,9(1):181-181.

[3]全丰菽.计算机网络安全的防范策略分析[J].信息与电脑:理论版, 2010(8):10-11.

[4]耿金秀.浅谈计算机网络安全防范措施[J].中国科技信息,2011(8):110-111.