巩国忠

(天津现代职业技术学院，天津　300350)

网络应用的安全策略

巩国忠

(天津现代职业技术学院，天津300350)

摘要：通过分析计算机安全研究的背景、计算机系统的脆弱性、计算机系统面临的威胁、计算机系统安全防护措施，论述了建立网络安全的安全策略。

关键词：网络安全；病毒；反病毒；黑客；防火墙

网络入侵一般分成两个阶段，即被动攻击和主动攻击，被动攻击一般在信息系统的外部进行，对信息网络本身一般不造成损坏，系统仍可正常运行，其目的是信息窃取、密码破译及信息流量分析。主动攻击直接进入信息系统内部，往往会影响系统的运行、造成巨大的损失，并给网络信息带来灾难性的后果。被动攻击是主动攻击的前奏，一旦被动攻击成功，随之而来的就是对系统的破坏。主动攻击包括以下几种方式。

一、通过假冒方式进行攻击

通过软件将本身的IP地址伪装成目标系统认可的IP地址，冒充合法用户与目标主机进行会话，目标主机就会认为是合法的用户与之通信，一旦攻击者冒充成功，就可以在目标主机并不知晓的情况下成功实施欺骗或入侵，并通过改变arp表、投放大量的无用数据报等手段使网络处于混乱的、数据不可达的、大量无用数据报待处理的网络瘫痪状态，有些系统管理员通过重启路由器暂时修复瘫痪的网络，但是没有多长时间，系统又会处于瘫痪状态。

二、利用开放的端口进行攻击

操作系统中的很多服务都对应了不同的端口，很多端口是默认打开的，不同的端口起着不同的作用，21端口对应的是FTP用于文件传输，23端口对应的是TELNET用于远程登录，25端口对应的是SMTP用于邮件发送，80端口对应的是HTTP用于传递网页 ，110端口对应的是POP3用于邮件的接收，由于操作系统版本的不同，端口的开放情况也是不同的，比如在windows 2000系统中23端口是自动状态并没启动，为了提高安全性，在windows xp版本中23端口是被禁用的，只有设置成自动才能打开，而到了windows 7系统就根本没有启动telnet功能，只能启动windows功能并解禁后才能启动。攻击者先通过探测软件扫描网络中主机的端口开放情况，再对打开端口的主机进行攻击。

三、通过移植木马进行攻击

“木马”程序是比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也不会感染其他文件，它实际上是一段特定的程序(木马程序)。攻击机可以通过被攻击机漏洞将木马程序植入并隐藏，再和自身的控制软件相配合可以打开更多的端口并控制其主机。木马病毒具有隐蔽性、自动打开端口等特点，具有远程控制、盗取密码、获得主机信息资料、自动发送邮件等功能。另外，黑客还可以通过移植木马病毒控制僵尸主机，并以僵尸主机为跳板，攻击其他主机。著名的DDOS(拒绝服务)病毒就是利用大量的僵尸主机向目标主机进行攻击。

目前，为了应对不断更新的网络攻击手段，提高网络安全性，也出现了很多的防范措施，已从过去的被动防护到现在的主动监测，其手段有防火墙技术、代理服务器技术、VPN技术，端口监听监控技术等。操作系统自身也增强了安全防范策略，如定制组策略等。

主要防范手段有：

(一)文件系统使用NTFS

所用磁盘文件系统都要使用NTFS，尤其在网络操作系统中NTFS尤为重要，其特点是读写磁盘速度快、密码安全性能较高。若分拣系统是FAT32，可使用convert命令升级文件系统。

(二)定期安装补丁程序，填补漏洞

系统漏洞是操作系统软件或应用软件在逻辑设计上的缺陷或在编写时产生的错误，这个缺陷或错误可以被不法者或者电脑黑客利用，通过植入木马、病毒等方式来攻击或控制整个电脑，从而窃取电脑中的重要资料和信息，甚至破坏系统。windows系统从发布的那一天起，随着用户的深入使用，系统中存在的漏洞会被不断暴露出来，因而随着时间的推移，旧的系统漏洞会不断消失，新的系统漏洞会不断出现。系统漏洞问题也会长期存在。只有定期安装补丁程序修复漏洞，才能使系统尽量减少黑客利用漏洞攻击系统的机会。可使用360安全卫士，进行漏洞扫描和安装补丁程序。

(三)设置系统密码及定制安全策略

在系统自身的组策略中，提供了密码策略和账户锁定策略主要用于定制安全策略，密码策略是设置密码安全级别的一种策略，包括密码复杂性要求、最小长度、使用期限、密码历史以及还原加密等。用户设置密码往往过于简单，通过密码策略强制用户设置复杂的密码来征集安全性。账户锁定策略是限制用户输入错误密码的次数，一旦超过设定的错误密码次数系统便自动锁定该用户，禁止密码的探测，黑客往往利用密码字典通过大量的密码探测暴力破解用户密码。采取账户锁定的方式很好的保护了该账户的安全，挫败连续的猜解尝试密码的可能。Windows系统在默认情况下，为方便用户并没有对密码策略和账户锁定策略进行设置。

设置密码策略和账户锁定策略是先进入组策略：开始—运行上输入gpedit.msc进入组策略。

密码策略设置如下图：

账户锁定策略如下图：

四、磁盘共享管理

在windows系统中，系统自动设置了所有磁盘及空连接的默认共享，而在资源管理器中并看不到共享的标识，这是因为该共享是隐藏共享，对于普通用户来说是不清楚的，但这对黑客利用默认的共享进行木马移植、攻击系统提供了方便。关闭默认共享有两条途径。

(一)图形方式停止共享

进入计算机管理窗口(在桌面的计算机上点击右键→管理)，依次进入共享文件夹→共享

(二)命令方式停止共享

在运行窗口中键入cmd进入仿真dos模式，使用net share命令停止共享

C:》net share C$ /d

C:》net share D$ /d

C:》net share ipc$ /d

五、关闭不必要的端口

计算机端口分成两种类型，一类是系统端口，端口号自1到1023，这些端口不允许占用，它们都有确切的定义，对应着因特网上常见的一些服务，每一个打开的端口，代表着一个系统服务，例如，80端口代表W W W服务，用于对外发布网页。21端口对应着FTP服务，用于文件传输控制，25端口对应着SMTP服务，用于邮件的发送，110端口对应着POP3服务，用于邮件的接收，119端口对应着NNTP服务，用于网络新闻的接收等。另一类端口是系统临时会话的动态端口，端口号自1024到65535，当本地主机与网络主机连接时立刻创建一个动态端口与网络主机建立通讯通道，当通讯结束并断开后，端口自动被关闭。

查看本地主机所开放的端口情况可使用系统提供的命令Netstat，在DOS模式下键入netstat -an。

由此看出，21端口、25端口、80端口是打开的。

另外netstat-nab命令，还可以显示每个连接是由哪些程序创建的。

系统端口大多对应着系统服务，停止服务，端口就关闭了，比如关闭25端口就是关闭smtp服务，关闭80端口就是关闭word wide web服务在计算机管理窗口中可以找到所有系统服务。

图中，只要双击SMTP服务并在打开的窗口中，停止服务就是关闭了25端口。

六、定期清理cookie文件

cookie是由 Internet 站点创建的信息存储文件。它是为了辨别用户身份、进行session跟踪而储存在用户本地终端上的加密了的数据文件。这些数据通常存储了用户个人信息、姓名、电子邮件地址、用户名及密码等，用户很难读懂cookie里面的文件，但是黑客可以利用软件将里面的文件读取并翻译，从而得到所需信息。定期删除cookie以保证系统信息的安全。操作步骤是：打开浏览器—点击“工具”菜单，单击“Internet 选项”。在“常规”选项卡上单击“设置”，然后单击“查看文件”。选择要删除的 Cookie(通常统统删掉)。

七、安装杀毒软件和防火墙

杀毒软件也称反病毒软件或防毒软件，是用于消除电脑病毒、特洛伊木马和恶意软件等计算机威胁的一类软件。杀毒软件通常集成监控识别、病毒扫描和清除、自动升级等功能。病毒技术在不断的进步，杀毒软件也随之不断更新和升级。

防火墙(Firewall)，也称防护墙，是一种位于内部网络与外部网络之间的网络安全系统。是在信任网络与非信任网络之间，通过预定义的安全策略，对内外网通信强制实施访问控制的安全应用设备。是将不信任网络对信任网络的安全威胁强制到单一安全控制点。因此系统必须安装一套杀毒软件和防护卫士，如360安全卫士。

八、VPN技术

VPN (Virtual Private Network)，中文含义是“虚拟专用网络”，虚拟专用网络通过特殊的加密通讯协议，在Internet上的位于不同地方的两个或多个企业内部网之间虚拟出来的企业内部专线，VPN的核心就是利用公共网络建立一个虚拟内部网络。

VPN使用的虚拟网络协议：

IPSec：IP层协议安全结构(Security Architecture for IP network)

PPTP：点到点隧道协议(Point to Point Tunneling Protocol)

PPP：点到点协议(Point to Point Protocol)

L2F：第二层转发协议(Layer Two Forwarding Protocol)

L2TP：第二层隧道协议(Layer 2 Tunneling Protocol)

PAP：密码认证协议 (Password Authentication Protocol)

CHAP：询问握手认证协议(Challenge Handshake Authentication Protocol

VPN的实现分成两步进行：1.服务器端安装带有VPN功能的路由器并对路由器进行配置，包括开通隧道协议、建立隧道名称、创建VPN用户等。2.客户端创建一个新的VPN连接并以服务器创建的账户登陆。

九、域管理

网络服务器安装了网络操作系统后,如windows 2003 server，它只是叫做普通服务器，普通服务器是工作组方式的分散管理模式，每一台计算机都是独自自主的，用户账户和权限信息保存在本机中，同时借助工作组来共享信息。而域控制器(DC)实现的是主从管理模式，通过一台域控制器来集中管理域内主机的所有用户帐号和权限，帐号信息保存在域控制器内，共享信息分散在每台计算机中，但是访问权限由控制器统一管理。域控制器的实现就是在普通服务器上安装活动目录(AD)来提升服务器成为域控制器。

域管理的优点是：

帐号集中管理,由域控制器设置账户，所有帐号均存在服务器上，方便对帐号的重命名和密码重设；软件集中管理，利用软件发布策略统一分发软件，可以让用户自由选择安装软件；桌面统一定制，每台客户机只能使用域控制器定制的桌面，提高系统的工作效率；安全的网络系统，资料统一管理不易丢失和被盗；监控及定制网络带宽，使网络速度合理分配；统一部署杀毒软件和扫毒任务，避免电脑系统经常崩溃，既节省开支，又不影响工作。域管理的实现就是所有客户端都隶属于域控制器并以域控制器建立的用户名登陆，只有登陆成功才能享受域中资源并接受域控制器定制的策略。

在科技进步，网络全面应用，网络环境越来越复杂的今天，网络信息安全越来越受到人们的重视，信息系统自身的缺陷决定了网络安全的脆弱性，只依靠几种防范措施，还不足以实现网络信息的真正安全，必须重视网络安全对信息保护的重要性，只有依靠健全的管理和监督制度、合理的防控目标、完整的技术方案和相关的配套法规才能使网络信息更加安全。

参考文献：

[1](美)沃克哈特著.网络安全Hacks[M].陈新，译.北京：中国电力出版社，2010.

[2] 冯昊著.计算机网络安全[M].北京：清华大学出版社，2011.

Security Policy of Network Application

GONG Guo-zhong

(TianjinModernVocationalTechnologyCollege,Tianjin300350)

Abstract:Through the analysis on background of computer security research background, vulnerability of computer system, threads faced by computer system, and the computer system security protection measures, this paper discusses the safety strategy to build up network security.

Key words:network security; virus; anti-virus; hacker; and firewall

收稿日期：2016-04-12

作者简介：巩国忠(1962-)，男，天津市人,天津现代职业技术学院讲师，副教授，高级工程师，主要研究网络应用及教学。

中图分类号：TP393

文献标识码：A

文章编号：1673-582X(2016)05-0071-05