1.3 计算机网络安全威胁的产生原因
如果网络安全威胁还能及时得到有效遏制,产生的负面影响会越来越大。为了最大限度地防范网络安全威胁,须要对网络安全威胁产生的原因进行分析。
1.3.1 系统及程序漏洞
系统及程序漏洞是指应用软件或操作系统软件在编写时产生的逻辑错误,这个缺陷或错误可能被不法用户或者黑客利用。目前系统漏洞被发现的速度越来越快,攻击的时间越变越短。
对于这类漏洞和缺陷,可采取的措施是选择更安全的操作系统和软件,并及时更新操作系统或应用程序发布的补丁。
现在微软公司针对Windows操作系统已有了自动更新功能,开启自动更新功能后,在保证连接互联网的情况下,Windows操作系统会自动检测到最新的安装补丁。
具体操作如下(以Windows7为例)。
1)在“控制面板”中单击“系统和安全”选项,如图1-1所示。
图1-1 控制面板
2)打开“系统与安全”对话框,单击“Windows Update”选项下的“启用或禁用自动更新”,如图1-2所示。
图1-2 “系统与安全”对话框
3)打开“Windows Update/更改设置”对话框,选择“自动安装更新(推荐)”选项,可选择设置自动更新的频率,如图1-3所示。
图1-3 “更新设置”对话框
下面介绍几种常用的系统及程序漏洞扫描工具。
1.360安全卫士
现在有一些安全工具可以帮助扫描、分析系统中存在的各种系统漏洞方面的安全隐患,360安全卫士就是其中之一,如图1-4所示。它不仅可以自动搜索存在的系统漏洞,还可以自动搜索存在的其他漏洞,如注册表配置等。
图1-4 360安全卫士运行界面
使用360安全卫士进行漏洞扫描时,在360安全卫士的主界面中,选择“系统修复”选项,并单击“全面修复”,待扫描完成后,在图1-5中选择要修复的系统漏洞,单击“一键修复”按钮,即可完成漏洞补丁的安装。
图1-5 “系统修复”选项卡
2.金山卫士
金山卫士是由金山公司推出的一款“电脑管家”软件,能提供全面检测系统安全、下载补丁、修复高危漏洞等功能。金山卫士漏洞扫描工具的使用方法如下。
1)运行金山卫士软件,如图1-6所示。
图1-6 金山卫士软件运行界面
2)选择“修复漏洞”选项,开始扫描系统漏洞,扫描完毕后,可在“高危漏洞补丁”、“可选补丁”、“组件升级”等列表中选择要修复的漏洞和补丁,单击“立即修复”按钮即可,如图1-7所示。
图1-7 “修复漏洞”选项卡
1.3.2 网络安全防护设备存在的问题
在网络安全防护方面,仅仅依靠软件防火墙加杀毒软件的方法远不能满足当前的网络安全防护的需要,必要的网络安全防护硬件设备也必不可少,如硬件防火墙、入侵检测系统、Web应用防火墙等。
1.硬件防火墙
在网络中,防火墙技术的应用已经十分广泛了。通过防火墙的使用,可以有效地保护网络通信安全。可以通过防火墙对进入网络的数据包进行检测和过滤,只有符合防火墙规则和策略的数据包才会被允许进入网络,而不符合的数据包则不允许进入网络,并且这些数据包会被系统记录在日志文件中,一旦有大量的这类数据包出现,则会产生报警。
硬件防火墙的原理和软件防火墙是一样的,一般是将软件嵌入到硬件中,由于硬件一般是专门为了完成某一个网络安全的工作而设计的,因此效率比较高,对网络的传输速度影响也比较小,如图1-8所示。防火墙技术本身分为软件防火墙和硬件防火墙,它们的区别在于:软件防火墙一般只有包过滤的功能;硬件防火墙中可能还包括了软件防火墙以外的其他功能,如内容过滤(CF)、入侵检测(IDS)以及VPN等。
硬件防火墙实现安全防护的过程是防外网不防内网。硬件防火墙一般设置在外网与内网之间,主要负责外网与内网之间数据通信的包过滤检测,但是硬件防火墙只针对外网的通信按照防火墙中设置的包过滤规则进行过滤,而对内网的通信则不做任何过滤的检测。
目前,人们大多选择硬件防火墙,而不选择软件防火墙,主要是从性能方面考虑。硬件防火墙的处理能力较强大,可以较好地处理规则比较多且复杂的过滤。现在生产硬件防火墙的厂商主要有Cisco、3Com、华为等。
2.入侵检测系统
入侵检测技术能弥补防火墙的不足,可以对网络进行检测,提供对内、外部攻击和误操作的实时的检测及采取相应防御措施,这是网络安全技术中的一种新技术。根据这种技术设计开发的IDS(Intrusion Detection System)称为入侵检测系统(如图1-9所示),这是一种能通过分析系统安全相关数据来检测入侵行为的软件与硬件组合的系统,被认为是防火墙之后的第二道安全闸门。
图1-8 硬件防火墙
图1-9 入侵检测系统(IDS)
入侵检测系统主要通过探测器在网络中对数据流进行探测,通过安全策略和已知数据库对探测到的数据进行比较和评估,主要有特征检测、统计检测、协议分析等技术,当发现有不符合策略和规则的数据流或识别到攻击数据时,就会产生响应动作。响应动作包括主动响应、被动响应及人工响应。被动响应主要是记录日志或者显示;主动响应可以断开数据包连接或者隔离被入侵的计算机和子网;人工响应是指通过入侵检测分析员的处理,首先遏制事态的发展,同时要根除问题及恢复系统,并对教训进行总结。
入侵检测系统处于防火墙之后对网络活动进行实时检测。在许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续,可以和防火墙和路由器配合工作。例如,入侵检测系统可以重新配置来禁止从防火墙外部进入的恶意出现的大数据流量。
一个完善的入侵检测系统应该具备以下的功能。
● 实时监测、分析用户和系统的行为活动。
● 审计系统的配置弱点,评估关键系统资源和重要数据的完整性。
● 检测识别已知攻击,自动发送警报和采取相应防御措施。
● 审计和跟踪管理操作系统,统计并分析异常行为活动,记录事件日志。
3.Web应用防火墙(WAF)
Web应用防火墙(Web Application Firewall,WAF)是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一种设备。当Web应用越来越为丰富的同时Web服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL注入、网页篡改、网页挂马等安全事件频繁发生。对于Web安全问题,传统防火墙是束手无策的,而WAF工作在应用层,它对Web应用防护具有独特的优势。基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。
总体来说,Web应用防火墙的具有以下4个方面的功能。
● 审计设备:用来截获所有HTTP数据或者仅仅满足某些规则的会话。
● 访问控制设备:用来控制对Web应用的访问,包括主动安全模式和被动安全模式。
● 架构/网络设计工具:当运行在反向代理模式时,他们被用来分配职能,集中控制,虚拟基础结构等。
● Web应用加固工具:该功能增强了被保护Web应用的安全性,它不仅能够屏蔽Web应用的固有弱点,而且能够保护Web应用编程错误导致的安全隐患。
但是,需要指出的是,并非每种被称为Web应用防火墙的设备都同时具有以上四种功能。
1.3.3 安全防护知识的缺失
对于网络安全而言,意识淡薄和管理不力是非常大的影响因素。有些网络管理员缺乏安全意识和系统的网络安全防护知识,可能只停留在PC的安全防护意识上。
网络安全威胁还可能因为网络管理员对网络管理不善而造成,即网络管理员缺乏整体的安全方案和安全管理机制。以下是几种常见的因管理不善而引起的安全威胁隐患。
1)媒体使用控制问题。
2)用户账户管理不善。
3)用户权限不合理。
4)网站访问控制不善。
5)软件下载、安装控制不善。
6)机房安全管理不善。