鞏國忠

(天津現(xiàn)代職業(yè)技術(shù)學(xué)院，天津　300350)

網(wǎng)絡(luò)應(yīng)用的安全策略

鞏國忠

(天津現(xiàn)代職業(yè)技術(shù)學(xué)院，天津300350)

摘要：通過分析計算機(jī)安全研究的背景、計算機(jī)系統(tǒng)的脆弱性、計算機(jī)系統(tǒng)面臨的威脅、計算機(jī)系統(tǒng)安全防護(hù)措施，論述了建立網(wǎng)絡(luò)安全的安全策略。

關(guān)鍵詞：網(wǎng)絡(luò)安全；病毒；反病毒；黑客；防火墻

網(wǎng)絡(luò)入侵一般分成兩個階段，即被動攻擊和主動攻擊，被動攻擊一般在信息系統(tǒng)的外部進(jìn)行，對信息網(wǎng)絡(luò)本身一般不造成損壞，系統(tǒng)仍可正常運行，其目的是信息竊取、密碼破譯及信息流量分析。主動攻擊直接進(jìn)入信息系統(tǒng)內(nèi)部，往往會影響系統(tǒng)的運行、造成巨大的損失，并給網(wǎng)絡(luò)信息帶來災(zāi)難性的后果。被動攻擊是主動攻擊的前奏，一旦被動攻擊成功，隨之而來的就是對系統(tǒng)的破壞。主動攻擊包括以下幾種方式。

一、通過假冒方式進(jìn)行攻擊

通過軟件將本身的IP地址偽裝成目標(biāo)系統(tǒng)認(rèn)可的IP地址，冒充合法用戶與目標(biāo)主機(jī)進(jìn)行會話，目標(biāo)主機(jī)就會認(rèn)為是合法的用戶與之通信，一旦攻擊者冒充成功，就可以在目標(biāo)主機(jī)并不知曉的情況下成功實施欺騙或入侵，并通過改變arp表、投放大量的無用數(shù)據(jù)報等手段使網(wǎng)絡(luò)處于混亂的、數(shù)據(jù)不可達(dá)的、大量無用數(shù)據(jù)報待處理的網(wǎng)絡(luò)癱瘓狀態(tài)，有些系統(tǒng)管理員通過重啟路由器暫時修復(fù)癱瘓的網(wǎng)絡(luò)，但是沒有多長時間，系統(tǒng)又會處于癱瘓狀態(tài)。

二、利用開放的端口進(jìn)行攻擊

操作系統(tǒng)中的很多服務(wù)都對應(yīng)了不同的端口，很多端口是默認(rèn)打開的，不同的端口起著不同的作用，21端口對應(yīng)的是FTP用于文件傳輸，23端口對應(yīng)的是TELNET用于遠(yuǎn)程登錄，25端口對應(yīng)的是SMTP用于郵件發(fā)送，80端口對應(yīng)的是HTTP用于傳遞網(wǎng)頁 ，110端口對應(yīng)的是POP3用于郵件的接收，由于操作系統(tǒng)版本的不同，端口的開放情況也是不同的，比如在windows 2000系統(tǒng)中23端口是自動狀態(tài)并沒啟動，為了提高安全性，在windows xp版本中23端口是被禁用的，只有設(shè)置成自動才能打開，而到了windows 7系統(tǒng)就根本沒有啟動telnet功能，只能啟動windows功能并解禁后才能啟動。攻擊者先通過探測軟件掃描網(wǎng)絡(luò)中主機(jī)的端口開放情況，再對打開端口的主機(jī)進(jìn)行攻擊。

三、通過移植木馬進(jìn)行攻擊

“木馬”程序是比較流行的病毒文件，與一般的病毒不同，它不會自我繁殖，也不會感染其他文件，它實際上是一段特定的程序(木馬程序)。攻擊機(jī)可以通過被攻擊機(jī)漏洞將木馬程序植入并隱藏，再和自身的控制軟件相配合可以打開更多的端口并控制其主機(jī)。木馬病毒具有隱蔽性、自動打開端口等特點，具有遠(yuǎn)程控制、盜取密碼、獲得主機(jī)信息資料、自動發(fā)送郵件等功能。另外，黑客還可以通過移植木馬病毒控制僵尸主機(jī)，并以僵尸主機(jī)為跳板，攻擊其他主機(jī)。著名的DDOS(拒絕服務(wù))病毒就是利用大量的僵尸主機(jī)向目標(biāo)主機(jī)進(jìn)行攻擊。

目前，為了應(yīng)對不斷更新的網(wǎng)絡(luò)攻擊手段，提高網(wǎng)絡(luò)安全性，也出現(xiàn)了很多的防范措施，已從過去的被動防護(hù)到現(xiàn)在的主動監(jiān)測，其手段有防火墻技術(shù)、代理服務(wù)器技術(shù)、VPN技術(shù)，端口監(jiān)聽監(jiān)控技術(shù)等。操作系統(tǒng)自身也增強了安全防范策略，如定制組策略等。

主要防范手段有：

(一)文件系統(tǒng)使用NTFS

所用磁盤文件系統(tǒng)都要使用NTFS，尤其在網(wǎng)絡(luò)操作系統(tǒng)中NTFS尤為重要，其特點是讀寫磁盤速度快、密碼安全性能較高。若分揀系統(tǒng)是FAT32，可使用convert命令升級文件系統(tǒng)。

(二)定期安裝補丁程序，填補漏洞

系統(tǒng)漏洞是操作系統(tǒng)軟件或應(yīng)用軟件在邏輯設(shè)計上的缺陷或在編寫時產(chǎn)生的錯誤，這個缺陷或錯誤可以被不法者或者電腦黑客利用，通過植入木馬、病毒等方式來攻擊或控制整個電腦，從而竊取電腦中的重要資料和信息，甚至破壞系統(tǒng)。windows系統(tǒng)從發(fā)布的那一天起，隨著用戶的深入使用，系統(tǒng)中存在的漏洞會被不斷暴露出來，因而隨著時間的推移，舊的系統(tǒng)漏洞會不斷消失，新的系統(tǒng)漏洞會不斷出現(xiàn)。系統(tǒng)漏洞問題也會長期存在。只有定期安裝補丁程序修復(fù)漏洞，才能使系統(tǒng)盡量減少黑客利用漏洞攻擊系統(tǒng)的機(jī)會。可使用360安全衛(wèi)士，進(jìn)行漏洞掃描和安裝補丁程序。

(三)設(shè)置系統(tǒng)密碼及定制安全策略

在系統(tǒng)自身的組策略中，提供了密碼策略和賬戶鎖定策略主要用于定制安全策略，密碼策略是設(shè)置密碼安全級別的一種策略，包括密碼復(fù)雜性要求、最小長度、使用期限、密碼歷史以及還原加密等。用戶設(shè)置密碼往往過于簡單，通過密碼策略強制用戶設(shè)置復(fù)雜的密碼來征集安全性。賬戶鎖定策略是限制用戶輸入錯誤密碼的次數(shù)，一旦超過設(shè)定的錯誤密碼次數(shù)系統(tǒng)便自動鎖定該用戶，禁止密碼的探測，黑客往往利用密碼字典通過大量的密碼探測暴力破解用戶密碼。采取賬戶鎖定的方式很好的保護(hù)了該賬戶的安全，挫敗連續(xù)的猜解嘗試密碼的可能。Windows系統(tǒng)在默認(rèn)情況下，為方便用戶并沒有對密碼策略和賬戶鎖定策略進(jìn)行設(shè)置。

設(shè)置密碼策略和賬戶鎖定策略是先進(jìn)入組策略：開始—運行上輸入gpedit.msc進(jìn)入組策略。

密碼策略設(shè)置如下圖：

賬戶鎖定策略如下圖：

四、磁盤共享管理

在windows系統(tǒng)中，系統(tǒng)自動設(shè)置了所有磁盤及空連接的默認(rèn)共享，而在資源管理器中并看不到共享的標(biāo)識，這是因為該共享是隱藏共享，對于普通用戶來說是不清楚的，但這對黑客利用默認(rèn)的共享進(jìn)行木馬移植、攻擊系統(tǒng)提供了方便。關(guān)閉默認(rèn)共享有兩條途徑。

(一)圖形方式停止共享

進(jìn)入計算機(jī)管理窗口(在桌面的計算機(jī)上點擊右鍵→管理)，依次進(jìn)入共享文件夾→共享

(二)命令方式停止共享

在運行窗口中鍵入cmd進(jìn)入仿真dos模式，使用net share命令停止共享

C:》net share C$ /d

C:》net share D$ /d

C:》net share ipc$ /d

五、關(guān)閉不必要的端口

計算機(jī)端口分成兩種類型，一類是系統(tǒng)端口，端口號自1到1023，這些端口不允許占用，它們都有確切的定義，對應(yīng)著因特網(wǎng)上常見的一些服務(wù)，每一個打開的端口，代表著一個系統(tǒng)服務(wù)，例如，80端口代表W W W服務(wù)，用于對外發(fā)布網(wǎng)頁。21端口對應(yīng)著FTP服務(wù)，用于文件傳輸控制，25端口對應(yīng)著SMTP服務(wù)，用于郵件的發(fā)送，110端口對應(yīng)著POP3服務(wù)，用于郵件的接收，119端口對應(yīng)著NNTP服務(wù)，用于網(wǎng)絡(luò)新聞的接收等。另一類端口是系統(tǒng)臨時會話的動態(tài)端口，端口號自1024到65535，當(dāng)本地主機(jī)與網(wǎng)絡(luò)主機(jī)連接時立刻創(chuàng)建一個動態(tài)端口與網(wǎng)絡(luò)主機(jī)建立通訊通道，當(dāng)通訊結(jié)束并斷開后，端口自動被關(guān)閉。

查看本地主機(jī)所開放的端口情況可使用系統(tǒng)提供的命令Netstat，在DOS模式下鍵入netstat -an。

由此看出，21端口、25端口、80端口是打開的。

另外netstat-nab命令，還可以顯示每個連接是由哪些程序創(chuàng)建的。

系統(tǒng)端口大多對應(yīng)著系統(tǒng)服務(wù)，停止服務(wù)，端口就關(guān)閉了，比如關(guān)閉25端口就是關(guān)閉smtp服務(wù)，關(guān)閉80端口就是關(guān)閉word wide web服務(wù)在計算機(jī)管理窗口中可以找到所有系統(tǒng)服務(wù)。

圖中，只要雙擊SMTP服務(wù)并在打開的窗口中，停止服務(wù)就是關(guān)閉了25端口。

六、定期清理cookie文件

cookie是由 Internet 站點創(chuàng)建的信息存儲文件。它是為了辨別用戶身份、進(jìn)行session跟蹤而儲存在用戶本地終端上的加密了的數(shù)據(jù)文件。這些數(shù)據(jù)通常存儲了用戶個人信息、姓名、電子郵件地址、用戶名及密碼等，用戶很難讀懂cookie里面的文件，但是黑客可以利用軟件將里面的文件讀取并翻譯，從而得到所需信息。定期刪除cookie以保證系統(tǒng)信息的安全。操作步驟是：打開瀏覽器—點擊“工具”菜單，單擊“Internet 選項”。在“常規(guī)”選項卡上單擊“設(shè)置”，然后單擊“查看文件”。選擇要刪除的 Cookie(通常統(tǒng)統(tǒng)刪掉)。

七、安裝殺毒軟件和防火墻

殺毒軟件也稱反病毒軟件或防毒軟件，是用于消除電腦病毒、特洛伊木馬和惡意軟件等計算機(jī)威脅的一類軟件。殺毒軟件通常集成監(jiān)控識別、病毒掃描和清除、自動升級等功能。病毒技術(shù)在不斷的進(jìn)步，殺毒軟件也隨之不斷更新和升級。

防火墻(Firewall)，也稱防護(hù)墻，是一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)。是在信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)之間，通過預(yù)定義的安全策略，對內(nèi)外網(wǎng)通信強制實施訪問控制的安全應(yīng)用設(shè)備。是將不信任網(wǎng)絡(luò)對信任網(wǎng)絡(luò)的安全威脅強制到單一安全控制點。因此系統(tǒng)必須安裝一套殺毒軟件和防護(hù)衛(wèi)士，如360安全衛(wèi)士。

八、VPN技術(shù)

VPN (Virtual Private Network)，中文含義是“虛擬專用網(wǎng)絡(luò)”，虛擬專用網(wǎng)絡(luò)通過特殊的加密通訊協(xié)議，在Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間虛擬出來的企業(yè)內(nèi)部專線，VPN的核心就是利用公共網(wǎng)絡(luò)建立一個虛擬內(nèi)部網(wǎng)絡(luò)。

VPN使用的虛擬網(wǎng)絡(luò)協(xié)議：

IPSec：IP層協(xié)議安全結(jié)構(gòu)(Security Architecture for IP network)

PPTP：點到點隧道協(xié)議(Point to Point Tunneling Protocol)

PPP：點到點協(xié)議(Point to Point Protocol)

L2F：第二層轉(zhuǎn)發(fā)協(xié)議(Layer Two Forwarding Protocol)

L2TP：第二層隧道協(xié)議(Layer 2 Tunneling Protocol)

PAP：密碼認(rèn)證協(xié)議 (Password Authentication Protocol)

CHAP：詢問握手認(rèn)證協(xié)議(Challenge Handshake Authentication Protocol

VPN的實現(xiàn)分成兩步進(jìn)行：1.服務(wù)器端安裝帶有VPN功能的路由器并對路由器進(jìn)行配置，包括開通隧道協(xié)議、建立隧道名稱、創(chuàng)建VPN用戶等。2.客戶端創(chuàng)建一個新的VPN連接并以服務(wù)器創(chuàng)建的賬戶登陸。

九、域管理

網(wǎng)絡(luò)服務(wù)器安裝了網(wǎng)絡(luò)操作系統(tǒng)后,如windows 2003 server，它只是叫做普通服務(wù)器，普通服務(wù)器是工作組方式的分散管理模式，每一臺計算機(jī)都是獨自自主的，用戶賬戶和權(quán)限信息保存在本機(jī)中，同時借助工作組來共享信息。而域控制器(DC)實現(xiàn)的是主從管理模式，通過一臺域控制器來集中管理域內(nèi)主機(jī)的所有用戶帳號和權(quán)限，帳號信息保存在域控制器內(nèi)，共享信息分散在每臺計算機(jī)中，但是訪問權(quán)限由控制器統(tǒng)一管理。域控制器的實現(xiàn)就是在普通服務(wù)器上安裝活動目錄(AD)來提升服務(wù)器成為域控制器。

域管理的優(yōu)點是：

帳號集中管理,由域控制器設(shè)置賬戶，所有帳號均存在服務(wù)器上，方便對帳號的重命名和密碼重設(shè)；軟件集中管理，利用軟件發(fā)布策略統(tǒng)一分發(fā)軟件，可以讓用戶自由選擇安裝軟件；桌面統(tǒng)一定制，每臺客戶機(jī)只能使用域控制器定制的桌面，提高系統(tǒng)的工作效率；安全的網(wǎng)絡(luò)系統(tǒng)，資料統(tǒng)一管理不易丟失和被盜；監(jiān)控及定制網(wǎng)絡(luò)帶寬，使網(wǎng)絡(luò)速度合理分配；統(tǒng)一部署殺毒軟件和掃毒任務(wù)，避免電腦系統(tǒng)經(jīng)常崩潰，既節(jié)省開支，又不影響工作。域管理的實現(xiàn)就是所有客戶端都隸屬于域控制器并以域控制器建立的用戶名登陸，只有登陸成功才能享受域中資源并接受域控制器定制的策略。

在科技進(jìn)步，網(wǎng)絡(luò)全面應(yīng)用，網(wǎng)絡(luò)環(huán)境越來越復(fù)雜的今天，網(wǎng)絡(luò)信息安全越來越受到人們的重視，信息系統(tǒng)自身的缺陷決定了網(wǎng)絡(luò)安全的脆弱性，只依靠幾種防范措施，還不足以實現(xiàn)網(wǎng)絡(luò)信息的真正安全，必須重視網(wǎng)絡(luò)安全對信息保護(hù)的重要性，只有依靠健全的管理和監(jiān)督制度、合理的防控目標(biāo)、完整的技術(shù)方案和相關(guān)的配套法規(guī)才能使網(wǎng)絡(luò)信息更加安全。

參考文獻(xiàn)：

[1](美)沃克哈特著.網(wǎng)絡(luò)安全Hacks[M].陳新，譯.北京：中國電力出版社，2010.

[2] 馮昊著.計算機(jī)網(wǎng)絡(luò)安全[M].北京：清華大學(xué)出版社，2011.

Security Policy of Network Application

GONG Guo-zhong

(TianjinModernVocationalTechnologyCollege,Tianjin300350)

Abstract:Through the analysis on background of computer security research background, vulnerability of computer system, threads faced by computer system, and the computer system security protection measures, this paper discusses the safety strategy to build up network security.

Key words:network security; virus; anti-virus; hacker; and firewall

收稿日期：2016-04-12

作者簡介：鞏國忠(1962-)，男，天津市人,天津現(xiàn)代職業(yè)技術(shù)學(xué)院講師，副教授，高級工程師，主要研究網(wǎng)絡(luò)應(yīng)用及教學(xué)。

中圖分類號：TP393

文獻(xiàn)標(biāo)識碼：A

文章編號：1673-582X(2016)05-0071-05