網(wǎng)絡安全風險分析及運維防范措施

◆魯 霞 何 歡 胡仲殊 盧小云

（荊門市氣象局 湖北 448000）

網(wǎng)絡安全風險分析及運維防范措施

◆魯 霞 何 歡 胡仲殊 盧小云

（荊門市氣象局 湖北 448000）

隨著網(wǎng)絡技術(shù)的迅速發(fā)展和廣泛應用，互聯(lián)網(wǎng)已成為我們工作和生活的重要組成。網(wǎng)絡在給我們帶來便利的同時，也帶來了黑客、計算機病毒甚至網(wǎng)上犯罪等安全隱患，網(wǎng)絡安全逐漸成為一個潛在的巨大問題。本文對當今網(wǎng)絡存在的風險問題進行分析，并提出運維防范措施，旨在不斷增強信息網(wǎng)絡安全應用水平。

網(wǎng)絡安全; 黑客攻擊; 應用漏洞; 防火墻; 運維防范

0 前言

Intelnet網(wǎng)絡環(huán)境為信息共享、信息交流、信息服務創(chuàng)造了理想空間。但正是由于互聯(lián)網(wǎng)具有這種開放、交互以及分散的特征，使網(wǎng)絡應用產(chǎn)生了一些安全問題，統(tǒng)計表明，近些年針對政府部門和重要行業(yè)單位網(wǎng)站的網(wǎng)絡攻擊頻度、烈度和復雜度不斷加劇，出現(xiàn)了向網(wǎng)站中植入釣魚頁面、針對性地實施拒絕服務攻擊，竊取網(wǎng)站數(shù)據(jù)和網(wǎng)上個人信息實施網(wǎng)絡犯罪等情況，我們的信息網(wǎng)絡安全受到極大威脅。如何更有效的保護網(wǎng)絡系統(tǒng)重要信息和數(shù)據(jù)，進一步提高網(wǎng)絡系統(tǒng)安全性成為所有網(wǎng)絡應用必須考慮和必須解決的一個重要問題。

1 網(wǎng)絡安全常見問題

1.1 網(wǎng)絡安全定義

從本質(zhì)上來講，網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常運行，網(wǎng)絡服務不中斷。從廣義來說，凡事涉及到網(wǎng)絡上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡安全所要研究的領(lǐng)域[1]。網(wǎng)絡安全問題既涉及技術(shù)層面，也涉及管理層面。技術(shù)方面?zhèn)戎赜诜婪锻獠糠欠ㄓ脩舻墓?，管理方面則側(cè)重于內(nèi)部人為因素。

1.2 常見安全問題

常見的網(wǎng)絡安全問題表現(xiàn)形式有以下三種:第一是黑客攻擊。“黑客”泛指電腦系統(tǒng)的非法入侵者。黑客一旦入侵成功，小則文件受損、機密泄露，大至威脅國家安全。目前隨著Web應用程序的增多，這些Web應用程序所帶來的安全漏洞越來越多，過去的安全問題還未得到及時解決，新的安全漏洞又猶如雨后春筍不斷涌現(xiàn); 再則，隨著中國網(wǎng)民的急劇增加，中國計算機系統(tǒng)已成為黑客利用的主要對象之一，它們經(jīng)黑客遠端控制后，會發(fā)出大量的垃圾郵件，惡意攻擊其它網(wǎng)站，傳播非法文字信息等，因此黑客攻擊問題更加顯現(xiàn)。第二是計算機病毒。目前，數(shù)據(jù)安全的頭號危險仍然是計算機病毒。計算機感染上病毒后，輕則使計算機效率下降，重則造成系統(tǒng)死機或毀壞，部分文件或全部數(shù)據(jù)丟失，甚至造成計算機主板等部件的損壞。有了互聯(lián)網(wǎng)后，病毒的傳播速度更快，涉及范圍更廣，危害性更大。另外就是垃圾郵箱和間諜軟件泛濫。一些人利用電子郵箱地址的公開性和系統(tǒng)的可廣播性進行商業(yè)、宗教、政治等活動，把自己的電子郵件強行推入別人的電子郵箱，強迫他人接收垃圾郵件。間諜軟件的功能繁多，它可以監(jiān)視用戶行為，或是發(fā)布廣告，修改系統(tǒng)設置，威脅用戶隱私和計算機安全，并可能不同程度地影響系統(tǒng)性能，嚴重時可破壞計算機系統(tǒng)，甚至實施網(wǎng)上盜竊、詐騙等金融犯罪活動[1]。

2 網(wǎng)絡安全面臨的主要安全威脅分析

2.1 黑客攻擊由網(wǎng)絡層轉(zhuǎn)向應用層

當今網(wǎng)絡安全面臨的主要威脅已由網(wǎng)絡層轉(zhuǎn)向應用層。主要表現(xiàn)在兩個層面:（1）Web應用程序不斷增多，這些程序所帶來的安全漏洞也越來越多; （2）隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，被用來進行攻擊的黑客工具越來越多、黑客活動越來越猖獗，組織性和經(jīng)濟利益驅(qū)動非常明顯。未經(jīng)過特殊安全訓練的程序員缺乏相關(guān)的網(wǎng)頁安全知識; 應用部門缺乏良好的編程規(guī)范和代碼檢測機制等等。解決此類問題僅僅靠打補丁和安裝防火墻還遠遠不夠，必須在WEB層面上進行整治。

2.2 面向WEB應用層的主要攻擊及特點

（1）WEB安全主要攻擊

美國最權(quán)威的RSA大會研究顯示，目前Web應用安全已超過所有以前網(wǎng)絡層安全，逐漸成為最嚴重、最廣泛、危害性最大的安全問題。WEB安全的挑戰(zhàn)主要來自以下幾個方面:XSS跨站攻擊、SQL 注入、惡意代碼以及發(fā)布平臺自身漏洞等，前二者尤甚。

XSS跨站攻擊:跨站腳本攻擊（Cross-site scripting，通常簡稱為XSS），可被用于進行竊取隱私、釣魚欺騙、偷取密碼、傳播惡意代碼等攻擊行為?？缯竟舻膶嵤┎襟E見圖1。

圖1 跨站攻擊的實施步驟

SQL 注入:SQL注入類漏洞被黑客廣泛用于非法獲取網(wǎng)站控制權(quán)。是發(fā)生在應用程序的數(shù)據(jù)庫層上的安全漏洞。利用SQL注入漏洞，攻擊者可直接攻擊數(shù)據(jù)庫，可能導致數(shù)據(jù)被竊取、更改、刪除,導致網(wǎng)站頁面被篡改、植入后門程序甚至被黑客獲取系統(tǒng)權(quán)限等危害。這種漏洞在網(wǎng)上極為普遍，通常是由于程序員對注入不了解,或者程序過濾不嚴格,或者某個參數(shù)忘記檢查導致。

（2）面向WEB應用層的攻擊特點

隱蔽性強:利用Web漏洞發(fā)起對WEB應用的攻擊紛繁復雜，包括SQL注入，跨站腳本攻擊等等，一個共同特點是隱蔽性強，不易發(fā)覺。

攻擊時間短:可在短短幾秒到幾分鐘內(nèi)完成一次數(shù)據(jù)竊取、一次木馬種植、完成對整個數(shù)據(jù)庫或Web服務器的控制，以至于非常困難做出人為反應。

造成后果嚴重:一旦發(fā)生這類安全事件，必將造成嚴重后果，其影響和損失也是不可估量的。

3 網(wǎng)絡安全運維防范措施

3.1 預防病毒

預防病毒最有效辦法就是，安裝殺毒軟件并定期殺毒。但是，沒有哪一種殺毒軟件是萬能的，所以當本機的殺毒軟件無法找到病毒時，用戶可以到網(wǎng)上下載一些專殺工具，如木馬專殺工具、蠕蟲專殺工具或宏病毒專殺工具等。作為用戶，我們每周至少更新一次殺毒軟件病毒庫; 每周對電腦硬盤進行一次全面的掃描、殺毒，以便及時發(fā)現(xiàn)隱蔽在系統(tǒng)中的病毒。作為網(wǎng)管來說，要在網(wǎng)絡上安裝網(wǎng)絡版殺毒軟件，對全網(wǎng)進行監(jiān)控、定期查殺病毒，一旦發(fā)現(xiàn)網(wǎng)絡受到攻擊時，應在第一時間找到攻擊源，并開展斷網(wǎng)隔離清理工作。

3.2 安裝防火墻

有人會問:安裝了殺毒軟件還需要防火墻嗎？回答是肯定的。因為殺毒軟件和防火墻是信息安全中的兩個不同范疇，殺毒軟件只能預防計算機病毒，一旦網(wǎng)絡受到黑客攻擊時，只能借助防火墻來攔截。防火墻是設置在不同網(wǎng)絡之間信息的安全出入口，用戶可以根據(jù)安全需要設定安全規(guī)則，并通過它來實現(xiàn)安全規(guī)劃以控制出入網(wǎng)絡的信息流。

這里以荊門國家突發(fā)預警信息發(fā)布系統(tǒng)中應用的北京天融信公司的網(wǎng)絡衛(wèi)士防火墻為實例，介紹防火墻在網(wǎng)絡中的應用和配置。該防火墻采用了目前流行的多種網(wǎng)絡安全機制，如多端口結(jié)構(gòu)、NAT（網(wǎng)絡地址轉(zhuǎn)換）、端口和地址映射、用戶認證、過濾策略、應用程序識別、入侵防御、VPN接入等等。其基本配置有兩種方式，即串口管理和Web管理，后者更常用。在此應用中，該防火墻需將業(yè)務網(wǎng)絡劃分為局域網(wǎng)、DMZ區(qū)（隔離區(qū)）、電子政務外網(wǎng)三個分區(qū)，而且三個分區(qū)間必須實施嚴格的訪問控制，同時開通相關(guān)訪問權(quán)限，因此在配置防火墻時，除了要對主機地址、網(wǎng)絡接口、區(qū)域、靜態(tài)路由、源地址與目標地址轉(zhuǎn)換等進行設置和定義外，還要根據(jù)業(yè)務應用策略進行訪問控制安全配置，啟用相應服務才能實現(xiàn)既定功能[2-3]。其安全應用策略部分設置如圖2。

圖2 防火墻安全策略部分設置

3.3 增強網(wǎng)絡安全意識和安全管理

只要有數(shù)據(jù)交換傳播就有安全威脅風險，網(wǎng)絡安全不僅僅是技術(shù)問題，同時也是一個安全意識和安全管理問題。特別是作為一個部門一個單位的網(wǎng)絡運維管理人員，除了建立相關(guān)制度，掌握相關(guān)技術(shù)，還要盡量避免和克服一些不良操作習慣和心理:第一，共享心理，就是所有IT人員或終端用戶都使用相同賬戶登陸服務器或網(wǎng)絡設備等，操作失誤也沒人知道，濫用、誤用權(quán)限嚴重; 第二，怕麻煩心理，在對各種設備進行巡檢需要進行多次認證，為了求簡單提高效率而使用相同的或有特征的密碼; 第三，“健忘”心理，我們的業(yè)務系統(tǒng)在經(jīng)第三方人員進入時往往會建立一些臨時賬戶，臨時賬戶忘記清除，日積月累，臨時賬戶泛濫，存在被惡意人員利用的可能; 第四，廣播心理，管理者在對賬戶進行調(diào)整后，往往以廣播的方式告知更改后用戶名及登陸口令等，若有人離職，賬戶口令可能泄密; 第五，黑盒心理，隨著云技術(shù)的發(fā)展應用，網(wǎng)絡運維狀態(tài)變得不夠透明，誰正在操作你的服務器，你的服務器每天產(chǎn)生多少運維訪問，重要系統(tǒng)上每天都有些什么操作，是否有高危操作正在進行，誰負責告警等等。這些問題不引起注意最終可能導致我們的信息系統(tǒng)存在設備沒有隱藏和保護、沒有限制可訪問人員以及操作不可控、無法監(jiān)測等問題。因此使用中，重點要統(tǒng)一全網(wǎng)入口，進行集中管理，實行身份認證，訪問控制，權(quán)限管理和操作審計，以確保網(wǎng)絡和數(shù)據(jù)安全。

3.4 養(yǎng)成良好的上網(wǎng)習慣

作為網(wǎng)絡用戶來說，養(yǎng)成良好的上網(wǎng)習慣，是保證網(wǎng)絡安全和個人信息安全的基礎(chǔ)。在使用中，要及時對操作系統(tǒng)、應用程序進行升級打補丁，保持持續(xù)更新狀態(tài); 在啟用個人防火墻的同時，安裝360安全衛(wèi)士等病毒防護軟件。不要輕易接收或點擊陌生人發(fā)來的文件和鏈接; 不要去訪問一些內(nèi)容低級粗俗的網(wǎng)站。應避免在公共WIFI環(huán)境中，登陸個人網(wǎng)銀賬戶進行網(wǎng)上交易; 網(wǎng)上需要傳輸重要文件時，盡量壓縮后再加密傳輸; 電腦用完后關(guān)機，攝像頭不用時最好轉(zhuǎn)向視覺死角等等。

4 結(jié)語

總的來說，網(wǎng)絡安全是一個動態(tài)平衡的過程，目前解決網(wǎng)絡安全的大部分技術(shù)是存在的，但隨著攻擊者對安全技術(shù)的深入研究，可能會發(fā)現(xiàn)新的安全問題，與此同時由于應用系統(tǒng)在不斷的更新和改版這個過程又會引入新的安全問題，因此尚沒有一種技術(shù)或產(chǎn)品可以使網(wǎng)絡應用安全一勞永逸，這就決定了網(wǎng)絡安全問題是一個長遠持久的課題，要保障應用的安全只有通過不斷進行安全評估、安全防護才能確保網(wǎng)絡安全。

[1]王紅.淺談寬帶網(wǎng)用戶網(wǎng)絡安全常見問題[J].網(wǎng)絡通訊與安全，2007.

[2]柏楓.網(wǎng)絡防火墻在氣象信息網(wǎng)絡系統(tǒng)中的應用[J].氣象與減災，2011.

[3]郭曉佳.NetEye FW4016防火墻在氣象網(wǎng)絡安全上的應用[J].網(wǎng)絡安全技術(shù)與應用，2009.