云圆圆,张安宁,袁广恋

(江苏金盾检测技术股份有限公司,江苏 南京 210042)

0 引言

计算机网络发展极其迅速,人们日常的生活、学习工作都脱离不了计算机网络。另外,计算机网络在经济政治文化等领域也处于不可替代的地位。但是,网络漏洞的存在使网络的安全得不到保证,使人们不得不重视网络安全问题。

现如今,网络存储的信息十分庞大,若是将有关国家安全的任何信息、个人的隐私信息存入计算机网络,或者在计算机上留下相关的信息,都会使敌方势力觊觎,从而进行攻击[1]。因此,建立健全安全的计算机网络环境迫在眉睫。

1 计算机网络安全漏洞

1.1 网络安全漏洞的概念及特点

1.1.1 网络安全漏洞的概念

计算机网络安全漏洞是指计算机的软件、硬件、协议等方面在编写上存在的缺陷或产生的错误[2]。不同型号设备会在运行时产生不同类型的漏洞,不仅仅是因为软件、硬件及协议中存在的漏洞。电脑使用时间越久,存在的漏洞可能就越多,那么电脑系统就会越脆弱,计算机感染木马病毒的风险概率就越大。计算机在感染上病毒后,就会产生许多新的漏洞。虽然漏洞可以进行修复,但是给漏洞添加补丁或升级系统并无法排除补丁及系统携带着漏洞,没有办法彻底地将漏洞问题解决[3]。

虽然无法将漏洞问题完全解决,但人们可以趁着漏洞还未被不法分子利用之前,在修复的过程中将已经发现的漏洞及时地利用杀毒软件进行修复。修复成功后仍要提高警惕进行防范,因为对漏洞的修复工作是一个不断修补的过程。

1.1.2 网络安全漏洞的特点

(1)潜伏性,隐蔽性强。

计算机系统或者网络系统存在漏洞时,受限于各种条件,漏洞虽然不会马上进行攻击,但是会偷偷地潜伏着,如果没有安装杀毒软件进行深度查杀,是很难发现的。在条件满足后,漏洞就会发起一系列的攻击,从而破坏计算机的操作系统及数据,也可能盗取及破坏数据,威胁网络用户的日常生活[4]。

(2)突发性,扩散性强。

因为网络是虚拟存在的,人们无法直观地看到其中存在的危险,所以也无法直观地察觉到漏洞的袭击[5]。又因为网络具有扩散性,在漏洞发生时,人们如果没有第一时间进行修复或控制,漏洞就会不断扩大,造成的问题也会越来越严重。

(3)危害性,破坏性大。

如果计算机系统被病毒攻击,病毒会在软硬件系统中飞速扩增,有可能造成整个计算机网络的瘫痪[6]。病毒会利用自身的特性去破坏数据或盗取用户隐私信息,可能造成财产的流失。如果计算机中有重要信息,那造成的破坏将不可估量。

1.2 安全漏洞的分类和攻击性原理

1.2.1 计算机硬件中的安全漏洞

计算机硬件漏洞是十分常见的漏洞之一,一般是指计算机在运行时或网络链路上电子信息的泄露问题。不法分子会利用特殊的设备对泄露的信息进行收集,来获取机密信息,使拥有者造成损失[7]。硬件漏洞还包括硬件存储设备因借用他人、湿水或掉电而导致存储信息的损坏、泄密等情形。

1.2.2 计算机网络软件中的安全漏洞

如今,各种App都被研发出来以满足用户的各种需求,但是这些App不可避免地都存在多多少少的漏洞,为不法分子提供了进攻软件的接口[8]。也有一部分开发人员恶意在软件开发的过程中开启了“后门”,利用后门来损害网络用户的利益。因此,人们必须提高网络安全意识,从官方网站下载正规版本的软件,在有更新版本的情况下需要及时更新,也需要及时安装补丁包,这样才可以更好地防范软件安全漏洞。

1.2.3 网络操作系统中的安全漏洞

网络操作系统是一种特殊的软件。网络操作系统为了更好地迎合用户的不同需求,不断地开发出各种各样的功能,但随之也会产生出各种各样的缺陷。这些缺陷在使用过程中逐渐暴露。

有数据表明,世界上的任何一套操作系统在开发的过程中都是不完善的,都存在一些漏洞[9]。而且,这些漏洞在网络系统中长时间运作,导致其不断地发展。因此,在网络通信时,网络病毒和黑客会顺沿着这些漏洞对操作系统进行入侵,从而进行非法访问,获取非法数据,然后在系统中胡乱破坏,导致操作系统瘫痪,危害网络用户的相关利益。

1.2.4 协议漏洞

计算机网络通信是以TCP/IP协议体系为基础的通信。协议漏洞是指因TCP/IP缺陷而形成的漏洞[10]。网络病毒就可以利用协议漏洞进行攻击。处理协议漏洞时,一般是在协议层进行防范。因为TCP/IP协议本身的不完善,且我国对协议漏洞的处理还不是十分有效,无法保证协议本身对协议漏洞信息的有效控制,所以有的黑客在进行TCP/IP协议交互通信时,打开了相应的端口,让黑客找到攻击的入口,造成了数据信息安全问题,阻碍了正常的通信。

2 防范计算机网络漏洞的相关策略

2.1 优化防火墙技术

人们为了解决网络安全问题研发了防火墙技术,并且将防火墙技术作为网络安全防护的主要技术[11]。防火墙是介于计算机和连接网络之间的程序软件,应用于计算机系统,使外部网络和计算机系统之间产生一层隔离罩。

防火墙技术包括访问政策、验证工具、数据包、应用网关4个部分[12]。网络信息的流入和流出都需要经过防火墙这4个部分的过滤,实时监控网络的存取访问是否合法,并对非法数据进行隔离,不让黑客利用数据进行病毒传播。另外,防火墙还具有抗攻击的功能,可以有效地防御外界攻击,也具有修复系统漏洞的功能,能够精确地引导计算机杀毒软件对计算机中的可疑文件进行查杀。

网络病毒、木马以及非法访问入侵者等会被防火墙有效地拦截在计算机系统之外。因为防火墙良好的性能、出色的防护能力,所以被计算机用户广泛使用。

2.2 实施服务器安全控制

现在越来越多的网络用户给自己搭建了私人服务器,服务器也是计算机的一种类型。服务器中存储的信息量大且重要,如果服务器受到黑客或者病毒的攻击,可能会导致大量数据丢失或泄露,所以人们也要对服务器的安全提高重视[13]。

首先,服务器是一种硬件设施,具有便携性,需要对搭建的环境进行保护,避免其在风吹日晒的环境中工作,其中最好的选择是放置在正规的IDC机房中使用。其次,人们也需要考虑病毒及黑客等的攻击,通过在服务器中安装防火墙,利用防火墙技术,有效地防范黑客的随意攻击。服务器的功能就是为客户端提供服务,可以利用设置密码、设置用户权限等方式,来平衡服务器的服务性能和安全性能。设置权限即授予用户能高效完成工作所需的最小权限,用以防范可疑人员的干扰,避免无权限的人访问。另外,还可以通过防病毒软件、定期深入扫描杀毒、修复补丁等一系列操作来保证服务器的安全性。

2.3 进行权限控制

计算机权限控制是指用户和用户组被赋予一定的权限,从而限制没有权限的非法操作的一种安全保护措施[14]。主机用户通过对权限的设置,可以限制用户和用户组仅能获取到的数据,也可以限制设备执行的操作权限。权限控制实现的两种方式为:(1)受托者指派。受托者指派是指设置用户及用户组使用网络服务器的目录、文件和设备的范围。(2)继承权限屏蔽。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录继承的权限。

从用户的角度看,根据用户权限的大小,可分为3类用户。(1)特殊用户:即系统管理员,主要负责全局管理;(2)一般用户:指系统管理员根据他们的实际需要为他们分配操作权限的用户,即一般使用者;(3)审计用户:指负责网络的安全控制与资源使用情况的审计人员,主要开放查询权限给审计人员使用。

因此,计算机管理员可通过合理设置用户权限,来控制没有访问权限用户的非法访问,以此规避由权限设置问题导致的风险。

2.4 入网访问控制

入网访问控制是网络访问的第一层访问控制,它的控制功能如下:

(1)检测登录到服务器并获取网络资源的用户是不是合法用户,并限制非法用户的访问。

(2)控制用户的入网时间和工作站台,即在这控制之外的任何时间和工作站都无法访问。

(3)用户的入网访问控制分为账号和密码的验证、用户账号的权限查询。

这3个条件之中只要有一个未通过,那么用户就无法进入网络。而且,用户密码全部处于隐藏状态,且长度都不少于6个字符,安全性较高。如果用户多次输入密码不正确,会被认为是非法入侵用户,系统会限制登入网络,并且还会给出警报[15]。

当用户名和口令验证有效之后,就进一步进行用户账号的检查。只有系统管理员才能建立用户账号。另外,有些网站资源是需要用户缴费后,才可以入网访问。那么,当用户余额不足时,该用户的账号会被自动限制,也就无法进入网络访问资源。由此可见,入网访问控制措施可给予系统一定的安全性,保障数据信息的安全。

2.5 网络协议策略

网络协议在网络通信中是无法被替换的,但是因为网络协议自身存在的问题,导致许多网络攻击是基于网络协议的漏洞进行攻击的,存在许多欺骗类攻击。因此,为了避免攻击者利用欺骗类漏洞入侵,人们一定要基于网络协议漏洞采取相应的防范策略。

网络用户除了可利用防火墙技术对防火墙外部的广播地址进行隐藏,以避免攻击者利用外,还可将系统中所有软件设置为保护的方式来增强系统的安全性。

因为基于协议漏洞的攻击多种多样,而且通信协议的漏洞是最严重的漏洞,所以对于类似的网络攻击,网络用户应尽量在通识网络协议原理的基础之上,不断地了解防范欺骗类攻击的最新技术,以更好地保护自己的信息安全。

2.6 扫描漏洞技术

计算机系统功能多样,肯定会存在系统漏洞。为了不给黑客任何可乘之机,计算机用户要定期检测系统漏洞并予以修复。

漏洞扫描技术不单单可以对本地计算机进行检查分析,还可以通过远程控制的方式对远程计算机进行检查分析。扫描系统漏洞的技术有模拟黑客攻击技术和端口扫描技术[16]。模拟黑客扫描技术是指通过模拟黑客攻击的方式来检测系统漏洞之所在。端口扫描技术即通过在系统上开启的网络服务、端口和漏洞数据库对比,来测试是否存在漏洞,以更好地对计算机安全进行有效的保护。

2.7 安装防病毒系统

近年来,病毒的攻击力不断增强。针对网络安全漏洞进行的攻击,即使拥有防火墙的保护也有部分病毒能够突破防火墙进入主机,对计算机造成伤害。为了网络系统的安全,用户应该在使用计算机前先安装正规的、性能良好的杀毒软件,现在常见的360安全卫士、腾讯管家等杀毒软件都能有效主动地防御病毒入侵。

对于部分已经成功突破防火墙进入系统的病毒,网络用户需要经常对主机进行全盘查杀,也要及时地对发现的补丁进行“打补丁”,按时对病毒库、软件进行更新[17],以保护计算机系统。

研发人员考虑到大多普通的计算机使用者没有太多计算机知识,从而在设计研发阶段就为使用者考虑操作方式,使计算机用户仅利用简便的操作就能够实现预防病毒入侵、查杀病毒等效果,从而更好地保证数据信息安全。

2.8 建立健全的网络安全法规

相关部门应该建立健全的法规,使网络用户在意识和行为上产生约束,让网络用户在使用网络时牢记有法可依、有法必依。但是现在我国的相关网络安全法规依旧不够完善,对于黑客攻击的惩治力度不够,这让攻击者无所畏惧,依旧有大量商业情报丢失和网络诈骗现象的出现,导致我国网络安全案件逐年攀升。建议相关部门学习国内外成功的网络安全治理经验,对恶意攻击者进行严厉的打击,加大网络安全知识的宣传力度,加强网络安全人才的培养,组建网络安全团队,依法维护网络秩序,以构建安全和谐的网络环境。

2.9 提高网络用户的网络安全意识

虽然计算机网络已经在全球范围内得到了普及,但是人们的网络安全意识相对薄弱,导致人们容易受到网络漏洞的损害。因此,网络用户首先要培养自身的网络安全意识,拥有良好的网络使用习惯,掌握常见的网络安全问题及处理方式,拥有辨识网络危险的能力。

在日常使用网络的过程中,网络用户要访问正规的绿色安全网站,避免访问含有大量网络陷阱的钓鱼等不良网站[18]。为了数据的安全,网络用户可以对数据进行加密和备份。备份材料时要在多处备份,可以使用U盘、百度云网盘、硬盘等,做到防患于未然。加密即利用加密的手段对存储的重要数据以及网络传输的信息进行加密,使得这些加密的信息只有被拥有相应权限的人解密使用。

通过以上措施,即使数据被盗取,盗取数据的人也会因为没有密钥而无法破解加密信息,防止信息丢失,避免造成损失。

3 结语

在今后的发展中,网络漏洞问题会与科技发展融为一体,无法进行分离。由漏洞问题导致的安全问题也会拥有更多的种类,可以说网络安全问题直接影响到了人们的生活问题。因此,无论是国家的任何部门或者是个人都要对计算机网络安全问题提高警惕,积极有效地采取相关防治措施,不应有任何马虎大意。