計算機網(wǎng)絡安全防護策略

唐 玲，尹珧人

（1.沈陽城市學院，沈陽 110041；2.沈陽音樂學院，沈陽 110041）

1 引言

隨著計算機網(wǎng)絡的發(fā)展，各類網(wǎng)絡安全事件層出不窮。本文基于筆者多年來網(wǎng)絡安全攻防經(jīng)驗，深入淺出的分析了存在的問題及解決方案。

2 計算機網(wǎng)絡安全概念

計算機網(wǎng)絡安全是指利用網(wǎng)絡管理控制和技術措施，保證在一個網(wǎng)絡環(huán)境里，數(shù)據(jù)的保密性、完整性及可使用性受到保護。

3 計算機網(wǎng)絡安全面臨的主要問題

3.1 內(nèi)部網(wǎng)絡安全風險

3.1.1 操作系統(tǒng)漏洞

隨著技術的發(fā)展，操作系統(tǒng)承載的應用越來越復雜，不可避免的導致系統(tǒng)漏洞會越來越多，如果不能及時為系統(tǒng)打補丁，會給各類木馬、病毒留出可乘之機。

3.1.2 應用軟件漏洞

軟件開發(fā)者開發(fā)技術以及編程語言的局限性，會導致各類應用軟件出現(xiàn)安全漏洞。常見的漏洞包括緩沖區(qū)溢出以及編程錯誤。

3.1.3 人為因素造成的網(wǎng)絡安全風險

如不給計算機設置管理員密碼、不開啟防火墻、隨意打開偽裝成正常郵件的病毒程序等行為都會給計算機帶來網(wǎng)絡安全隱患。

3.2 外部網(wǎng)絡安全風險

3.2.1 計算機病毒

計算機病毒是人利用計算機軟件和硬件所固有的脆弱性編制的一組指令集或程序代碼。可以在短時間內(nèi)感染大量互聯(lián)網(wǎng)用戶，造成很大損失。

3.2.2 黑客攻擊

黑客攻擊的目的一般有兩種，一是竊取數(shù)據(jù)，手段包括安裝網(wǎng)絡后門，采取網(wǎng)絡監(jiān)聽等；二是擾亂系統(tǒng)正常運行，手段包括采用拒絕服務攻擊或信息炸彈等。

3.2.3 網(wǎng)絡監(jiān)聽

網(wǎng)絡偵聽是指獲取網(wǎng)絡電纜上傳輸?shù)乃芯W(wǎng)絡報文的技術，可以借助工具監(jiān)視網(wǎng)絡狀態(tài)、數(shù)據(jù)流程以及網(wǎng)絡上信息傳輸。

（4）實驗考試的開放。通過多種形式的開放式教學，使學生在課堂上掌握必要的理論知識；通過開放的實驗教學提高學生的動手能力，這是實驗教學的目的，考試只是實現(xiàn)這個目的的一種手段。整個教學過程是開放的，考試也應是開放的。可以通過設置一定的實驗內(nèi)容或題目，而不設定實驗步驟，不提供實驗指導書，讓學生在規(guī)定的時間獨立去完成實驗內(nèi)容，寫出實驗報告。學生最終這門課的成績，應由理論成績和實驗成績兩部分組成，不同專業(yè)，所占比例可以不同［3］。

3.2.4 拒絕服務攻擊

拒絕服務攻擊的目的是讓目標機器停止提供服務。一般來說有兩種手段，一是迫使服務器的緩沖區(qū)滿，不接收新的請求；二是使用IP欺騙，迫使服務器把非法用戶的連接復位，影響合法用戶的連接。

3.2.5 密碼攻擊

密碼攻擊是指在不知道密匙的情況下，利用各種可利用的手段恢復出明文。一旦攻擊者成功地獲得了資源的訪問權(quán)，他就擁有了與那些賬戶的用戶相同的權(quán)利。

3.2.6 應用層攻擊

應用層攻擊是指利用應用軟件的設計缺陷獲得計算機的訪問權(quán)，以及在該計算機上運行相應應用程序所需賬戶的許可權(quán)。如利用HTML規(guī)范、Web瀏覽器的操作性和HTTP協(xié)議的漏洞進行攻擊。

3.2.7 緩沖區(qū)溢出

原理是攻擊者通過往程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他的指令。

3.2.8 源路由欺騙攻擊

通常情況下，信息包從起點到終點走過的路徑是由位于此兩點間的路由器決定的，數(shù)據(jù)包本身只知道去往何處，但不知道該如何去。源路由可使將此數(shù)據(jù)包要經(jīng)過的路徑寫在數(shù)據(jù)包里，使數(shù)據(jù)包循著一個對方不可預料的路徑到達目的主機。

3.2.9 源IP地址欺騙

是指各類活動產(chǎn)生的IP數(shù)據(jù)包為偽造的源IP地址，冒充其他系統(tǒng)或發(fā)件人的身份來達到誘騙的目的。通過偽造數(shù)據(jù)包包頭，使顯示的信息源不是實際的來源。

4 計算機網(wǎng)絡安全防范策略

4.1 對重要數(shù)據(jù)進行備份

為防止病毒、木馬、黑客攻擊將重要數(shù)據(jù)破壞，需要將其保存到其他相對安全的地方，這就叫做備份。當用戶的電腦受到攻擊時，就可以從備份的地方找出數(shù)據(jù)重新恢復。

4.2 增強網(wǎng)絡安全意識

意識到網(wǎng)絡安全的重要性，增強網(wǎng)絡安全意識對計算機網(wǎng)絡安全防護極為重要。比如不要安裝“來路不明”的軟件，不要隨意打開不健康的網(wǎng)頁等。

4.3 啟用防火墻

在操作系統(tǒng)中啟用防火墻，可以在我們訪問互聯(lián)網(wǎng)時，自動過濾掉一些不安全的站點，以達到安全方木的目的。

4.4 安裝殺毒軟件

殺毒軟件可以保護電腦安全，可以維護電腦日常運轉(zhuǎn)，可以阻止電腦外來程序的侵入，因此安裝殺毒軟件對網(wǎng)絡安全防護是十分重要的，但要想使殺毒軟件的正常工作，需要定期升級病毒庫。

4.5 定期給操作系統(tǒng)打補丁

要對操作系統(tǒng)定期升級，下載最新版本的補丁才能有效防范黑客和病毒的入侵，以確保計算機網(wǎng)絡安全。

4.6 加強瀏覽器安全設置

為了避免惡意程序通過瀏覽器進行攻擊，需要加強瀏覽器安全設置。以IE瀏覽器為例，選擇工具→Internet 選項→安全設置→ 自定義級別進行安全設置。

4.7 定期更換管理員賬戶密碼

為了防止密碼泄露造成的損失，需要設置一個復雜性較強、難度較大的密碼，并定期更換管理員賬號，同時對管理員賬號權(quán)限進行重新設置。

4.8 關閉 guest賬戶

為了提高計算機系統(tǒng)的安全性，需要禁用Guest 賬戶，如果在某些特定場合下必須使用Guest 賬戶，需要為Guest 賬戶設置安全級別較高的密碼，使用結(jié)束后立即關閉Guest 賬戶。出于安全考慮，應該封閉Windows默認端口，這些端口包括：TCP 135、139、445、593、1025 端口以及 UDP 135、137、138、445 端口等。

4.9 關閉不常用的端口

4.10 隱藏IP地址

在互聯(lián)網(wǎng)中，ip地址就是每一臺聯(lián)網(wǎng)電腦的 “身份證”。黑客入侵之前會使用某些網(wǎng)絡探測技術對目標電腦的相關信息進行監(jiān)測，以獲取IP 地址。為了減少安全隱患可以采VPN技術隱藏IP 地址。