秦波

（河南機(jī)電職業(yè)學(xué)院信息工程學(xué)院 河南省鄭州市 451192）

安全隱患是當(dāng)前計算機(jī)技術(shù)技術(shù)發(fā)展過程中遇到的一個核心問題，積極創(chuàng)新和優(yōu)化計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全維護(hù)措施，以實(shí)現(xiàn)降低系統(tǒng)安全風(fēng)險，為廣大用戶提供一個安全的網(wǎng)絡(luò)環(huán)境。關(guān)于計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全維護(hù)策略的制定，其出發(fā)點(diǎn)和落腳點(diǎn)主要定位在兩個方面，其一是有效防御計算機(jī)病毒，其二是防止黑客入侵。

1 預(yù)防計算機(jī)病毒的有效技術(shù)

目前比較常見的計算機(jī)病毒類型主要包括蠕蟲病毒、木馬病毒、系統(tǒng)病毒、腳本病毒、程序病毒以及其他病毒，而且每一種病毒的危害程度呈現(xiàn)出逐漸加重的趨勢。其中，蠕蟲病毒的主要傳播方式是通過網(wǎng)絡(luò)和系統(tǒng)漏洞來進(jìn)行，絕大部分蠕蟲病毒都是通過帶毒郵件來傳送的，比較具有代表性的一種蠕蟲病毒便是熊貓燒香。木馬病毒通常不是獨(dú)立存在的，其和黑客病毒幾乎是相依相伴的關(guān)系，其主要是通過系統(tǒng)漏洞和網(wǎng)絡(luò)來進(jìn)入用戶系統(tǒng)當(dāng)中，而且木馬病毒的隱身性很強(qiáng)，可以很好地配合黑客完成盜取信息資源的任務(wù)。系統(tǒng)病毒的傳播載體多集中在各種文件上面。腳本病毒集中在網(wǎng)頁傳播，其中宏病毒便是腳本病毒的一種主要類型。程序病毒有著種植傳播特性，其在實(shí)際運(yùn)行過程中還會自行釋放出更多新的病毒。要想實(shí)現(xiàn)有效預(yù)防計算機(jī)病毒的目標(biāo)，建議其可以從以下幾個方面來著手：

1.1 殺毒軟件

在計算機(jī)網(wǎng)絡(luò)系統(tǒng)當(dāng)中，都會安裝各種各樣的殺毒軟件，以抵御病毒的侵?jǐn)_?，F(xiàn)在性能比較好的殺毒軟件安裝都非常簡便，通常幾分鐘就可以安裝到每一個NT 服務(wù)器上面，而且也可以將其下載到全部目的機(jī)器上面，殺毒軟件和操作系統(tǒng)以及各種安全措施便可以緊密融合到一塊，這樣一來，便可以極大程度上縮減網(wǎng)絡(luò)管理人員的工作量，網(wǎng)絡(luò)管理人員只需集中進(jìn)行設(shè)置和管理即可。而且對于廣大普通網(wǎng)絡(luò)用戶來說，安裝殺毒軟件是最直接的病毒防御措施。

關(guān)于殺毒軟件工作原理主要有兩種類型：一種類型的殺毒軟件是在內(nèi)存里劃分一部分空間，專門用于比較殺毒軟件所自帶的病毒庫特征碼和計算機(jī)中保存和出現(xiàn)過的各種數(shù)據(jù)，通過比較來做出計算機(jī)是不是中毒的情況。而另一種類型的殺毒軟件，其會在被劃分到的內(nèi)存當(dāng)中虛擬執(zhí)行用戶提交上來的程序或者執(zhí)行系統(tǒng)，根據(jù)虛擬結(jié)果來判斷是否中毒。

此外，殺毒軟件可以生成現(xiàn)有主機(jī)操作系統(tǒng)的虛擬鏡像，鏡像的功能和真實(shí)操作系統(tǒng)的功能有著高度一致性。這一技術(shù)擁有著獨(dú)立分檔操作能力，借助該技術(shù)可有效降低垃圾文件的出現(xiàn)概率。此外，殺毒軟件所生成的虛擬環(huán)境可以和主機(jī)操作系統(tǒng)處于隔離狀態(tài)，讓主機(jī)遠(yuǎn)離病毒感染，大大提高了運(yùn)行系統(tǒng)的安全性。

1.2 口令控制

設(shè)置口令權(quán)限是有效防止病毒入侵的重要屏障，也是諸多技術(shù)中最經(jīng)濟(jì)和最容易的一種抵御病毒的方式。一般關(guān)于口令權(quán)限歸網(wǎng)絡(luò)管理員和終端操作人員所有，其在每一次管理和登錄網(wǎng)絡(luò)系統(tǒng)時都會設(shè)置不同的樓齡，確保網(wǎng)絡(luò)系統(tǒng)運(yùn)行的安全性，防止有不法分子或者不良用戶越權(quán)訪問和適用信息資源，破壞用戶的個人隱私。

1.3 網(wǎng)關(guān)設(shè)防

通常發(fā)生計算機(jī)病毒攻擊網(wǎng)絡(luò)資源應(yīng)用程序時，這些病毒基本上會出現(xiàn)在信息共享的網(wǎng)絡(luò)介質(zhì)當(dāng)中，針對這種病毒的攻擊，在網(wǎng)絡(luò)前段進(jìn)行殺毒是有效也是最直接的一種方式，在網(wǎng)關(guān)上進(jìn)行設(shè)防，確保防范手段可以滲透到整個網(wǎng)絡(luò)的方方面面。

1.4 信息加密

信息加密技術(shù)（如圖1所示），其利用的數(shù)學(xué)手段和物理手段，保護(hù)傳輸過程中和存儲體內(nèi)的電子信息，避免出現(xiàn)信息泄露的情況。信息加密技術(shù)所依據(jù)的原理是借助密碼算數(shù)來轉(zhuǎn)化數(shù)據(jù)，任何人沒有正確秘鑰都沒有辦法讀懂相關(guān)信息內(nèi)容。目前，關(guān)于信息加密技術(shù)已經(jīng)有幾百種方式，但是按照雙方收發(fā)秘鑰是否相通，可以劃分為常規(guī)算法和公鑰加密算法兩種類型，幾百種具體的方式都可以歸入到這兩種類型當(dāng)中來，無論是常規(guī)算法還是公鑰加密算法，各自都有著各自的長處和短處。

圖1：信息加密技術(shù)

2 抵御網(wǎng)絡(luò)黑客攻擊的有效技術(shù)措施

2.1 包過濾路由器阻斷攻擊

眾所周知，轉(zhuǎn)發(fā)分組是路由器最基本的一項(xiàng)功能，通過分組來進(jìn)一步接近目的，實(shí)現(xiàn)目標(biāo)。為實(shí)現(xiàn)轉(zhuǎn)發(fā)分組的功能，在讀取到目的地以后，路由器會結(jié)合路由算法來完成分組出口的安排，而包過濾路由器的優(yōu)勢則體現(xiàn)在其要比一般的路由器多了更高效的安全控制功能。包過濾路由器對所接收的每個數(shù)據(jù)包做允許拒絕的決定。路由器審查每個數(shù)據(jù)報以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于可以提供給IP 轉(zhuǎn)發(fā)過程的包頭信息。包頭信息中包括IP 源地址、IP 目標(biāo)端F 地址、內(nèi)裝協(xié)（ICP、UDP、ICMP、或IP Tunnel）、TCP/UDP 目標(biāo)端口、ICMP 消息類型、包的進(jìn)入接口和出接口如果有匹配并且規(guī)則允許該數(shù)據(jù)包，那么該數(shù)據(jù)包就會按照路由表中的信息被轉(zhuǎn)發(fā)。如果匹配并且規(guī)則拒絕該數(shù)據(jù)包，那么該數(shù)據(jù)包就會被丟棄。如果沒有匹配規(guī)則，用戶配置的缺省參數(shù)會決定是轉(zhuǎn)發(fā)還是丟棄數(shù)據(jù)包。

2.2 雙宿網(wǎng)關(guān)防火墻

雙宿網(wǎng)關(guān)防火墻也是比較有效的一種安全系統(tǒng)維護(hù)方式。雙宿網(wǎng)關(guān)防火墻與常規(guī)網(wǎng)關(guān)防火墻的本質(zhì)區(qū)別就在預(yù)期其是用雙宿主機(jī)來做的，安裝了兩個網(wǎng)絡(luò)適配器，分別和兩個網(wǎng)絡(luò)連接在一起。雙宿主機(jī)如圖2所示。

圖2：雙重宿主主機(jī)

雙宿主機(jī)結(jié)構(gòu)采用主機(jī)替代路由器執(zhí)行安全控制功能，故類似于包過濾防火墻。雙宿主機(jī)即一臺配有多個網(wǎng)絡(luò)接口的主機(jī)，它可以用來在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行尋徑。如果在一臺雙宿主機(jī)中尋徑功能被禁止了，則這個主機(jī)可以隔離與它相連的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的通信，而與它相連的內(nèi)部和外部網(wǎng)絡(luò)都可以執(zhí)行由它所提供的網(wǎng)絡(luò)應(yīng)用，如果這個應(yīng)用允許的話，它們就可以共享數(shù)據(jù)。這樣就保證內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的某些節(jié)點(diǎn)之間可以通過雙宿主機(jī)上的共享數(shù)據(jù)傳遞信息，但內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間卻不能傳遞信息，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的作用。雙宿網(wǎng)關(guān)防火墻雖然有著自身的特色和優(yōu)勢，可是其有著一個非常大的弊端：對于雙宿網(wǎng)關(guān)防火墻來說，如果有入侵者進(jìn)入到了堡壘主機(jī)，并把堡壘主機(jī)設(shè)置進(jìn)行了修改，設(shè)置為只限路由器功能，這樣的修改就意味著所有用戶都可以隨便進(jìn)入到內(nèi)部網(wǎng)絡(luò)進(jìn)行訪問，其所造成的破壞力不容小覷。

2.3 過濾主機(jī)網(wǎng)關(guān)

過濾主機(jī)網(wǎng)關(guān)是由過濾路由器和雙宿網(wǎng)關(guān)兩大核心部分組成的。其防火墻的配置通常如圖3所示，即一個位于堡壘主機(jī)和INTERNET 之間的過濾路由器和一個位于內(nèi)部網(wǎng)絡(luò)下的堡壘主機(jī)。這個系統(tǒng)結(jié)構(gòu)的第一個安全設(shè)施是過濾路由器，它阻塞外部網(wǎng)絡(luò)進(jìn)來的除了通向堡壘主機(jī)的所有其他信息流。

圖3：防火墻的配置

2.4 過濾子網(wǎng)網(wǎng)關(guān)

一個安全的過濾子網(wǎng)建立在內(nèi)部網(wǎng)絡(luò)與INTERNET 之間，這個子網(wǎng)的入口通常是一個堡壘主機(jī)，分組過濾器通常位于子網(wǎng)與INTERNET 之間以及內(nèi)部網(wǎng)絡(luò)與子網(wǎng)之間。分組過濾器通過出入信息流的過濾起到了子網(wǎng)與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的緩沖作用。在堡壘主機(jī)上可以實(shí)現(xiàn)對外網(wǎng)絡(luò)的交互訪問。過濾路由器會將各種禁止的信息和不能識別的信息都完全過濾掉之后再將剩下的信息內(nèi)容傳送到堡壘主機(jī)上面，再交由其他代理做出進(jìn)一步的檢查。因此，廣大使用者可以結(jié)合自身實(shí)際情況和真實(shí)需求來選擇單獨(dú)適用或者同時使用各種防火墻技術(shù)來構(gòu)建起牢固的安全防線。

2.5 更新系統(tǒng)補(bǔ)丁

任何一個系統(tǒng)都不是完美無缺的，即使在發(fā)布之后還是會存在著這樣或者那樣的問題和漏洞，而這些問題和漏洞便為黑客和攻擊者們提供給了可乘之機(jī)。因此，必須要制定出與之相對應(yīng)的措施來解決這些問題，修復(fù)這些漏洞，這便是補(bǔ)丁程序。當(dāng)這些補(bǔ)丁程序被順利安裝和運(yùn)行之后，黑客們便失去了利用漏洞來攻擊的機(jī)會。更新系統(tǒng)補(bǔ)丁是個人開展網(wǎng)絡(luò)系統(tǒng)安全維護(hù)工作的一個重要途徑和方式，以Win10 系統(tǒng)為例，用戶個人進(jìn)行更新系統(tǒng)補(bǔ)丁的步驟是：首先，打開開始菜單，在“所有應(yīng)用”里找到“"settings”·在“settings”里找到“更新和恢復(fù)”。然后，在“更新和恢復(fù)”頁面里找到“Windows更新”，并進(jìn)入下載系統(tǒng)補(bǔ)丁·下載好補(bǔ)丁，點(diǎn)擊“立即重新啟動”，就進(jìn)入安裝補(bǔ)丁。最后重新進(jìn)入Win10 后，在系統(tǒng)右下角會彈出一個消息“更新成功”，就代表補(bǔ)丁安裝成功了。這在個人進(jìn)行網(wǎng)絡(luò)系統(tǒng)安全維護(hù)的多項(xiàng)措施當(dāng)中算是應(yīng)用頻率比較高且操作比較簡單的一種方式，其也有著非常強(qiáng)的實(shí)效性。

2.6 密碼管理器

當(dāng)前很多賬戶都需要設(shè)置用戶名和密碼，而其中有很多人為了方便記憶選擇在多個賬戶當(dāng)中使用相通的密碼。這也就意味著如果其中一個賬戶的密碼被泄露出去，那么黑客便可以通過此密碼來攻擊用戶的其他賬戶。因此，建議用戶可以考慮使用密碼管理器來維護(hù)賬戶安全。

2.7 制定入侵應(yīng)急措施

一旦發(fā)現(xiàn)有入侵跡象，一定要在第一時間打開進(jìn)程記錄功能，同時對內(nèi)存中的進(jìn)程列表和網(wǎng)絡(luò)連接狀態(tài)進(jìn)行保存，重點(diǎn)保護(hù)計算機(jī)當(dāng)中重要的日志文件。如果現(xiàn)實(shí)條件允許，需要馬上打開網(wǎng)段上另外一臺主機(jī)監(jiān)聽網(wǎng)絡(luò)流量，盡可能對入侵者的位置進(jìn)行精準(zhǔn)定位。此外，在入侵應(yīng)急措施中應(yīng)該明確一點(diǎn)：如有必要可自行決定斷開網(wǎng)絡(luò)連接，同時盡可能從備份磁帶中恢復(fù)服務(wù)到備份主機(jī)上。

2.8 專用主機(jī)只開專用功能

專用主機(jī)只開專用功能是預(yù)防網(wǎng)絡(luò)黑客攻擊的一個有效手段。在專用主機(jī)上面，非必要盡可能不要下載或者使用一些bug 比較多的程序，特別是在保存重要數(shù)據(jù)庫或者運(yùn)行網(wǎng)管的主機(jī)上面，一定要高度重視起這一點(diǎn)。除此之外，在網(wǎng)管網(wǎng)段路由器當(dāng)中，訪問控制需要限制在最小范圍內(nèi)，一定要對各個進(jìn)程必須用的進(jìn)程端口號進(jìn)行嚴(yán)格控制，一些不必要的端口可選擇直接關(guān)閉掉。

3 結(jié)束語

綜上所述，計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全維護(hù)是全社會共同關(guān)注的一個焦點(diǎn)內(nèi)容，計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全與否，與我們每一個人的工作和生活都息息相關(guān)，而計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全保護(hù)也是我們每一個人應(yīng)盡的責(zé)任和義務(wù)。只有通過不斷創(chuàng)新和優(yōu)化計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全維護(hù)策略，才是降低系統(tǒng)安全風(fēng)險的最有效方式。