安徽四创电子股份有限公司 安徽合肥 230088
摘要:近些年来随着信息技术的飞速发展,人们的生活方式也得到了极大地改变,计算机网络在人们的生活中也扮演着越来越重要的角色。然而计算机网络给人们生活带来便利的同时,也引发了许许多多的网络安全问题。基于上述原因,如何切实有效地利用计算机信息管理技术提高计算机网络安全已经成为一个迫切需要解决的问题。因此,本文将着重探讨计算机信息管理技术在网络安全中的应用。
关键词:计算机信息管理技术;网络安全;应用
一、网络安全现状
近些年来随着信息技术的飞速发展,计算机网络给人们的生活带来了众多便利。与此同时,高速发展的计算机网络技术也给人们带来众多网络安全问题。比如2017年在全球大范围内爆发WannaCry蠕虫病毒[1]。该病毒是通过扫描普通电脑上的TCP 445端口,然后以蠕虫病毒感染的方式感染目标主机。被感染的主机上所有的文件都会被病毒以一种特定的加密算法加密。然后病毒会弹出一个提示窗口提示用户需要支付一定的酬金才会帮助用户解密找回资料。该病毒目前在全国广为传播,至少超过150台电脑中毒,直接损失高达80亿美元。除了公网上的一些计算机之外,还有很多企业内网甚至专网也未能幸免。目前,该勒索病毒仍在传播,不过速度已经明显放缓[2]。不过据专家分析该勒索病毒很有可能很快出现变种,所以对广大用户来说,对该病毒的防治依然不能放松。这些网络安全问题不仅会使人们的财产蒙受不必要的损失,同时也阻碍了信息技术的进一步发展。随着人们对于计算机网络安全的整体关注程度逐渐提高,如何切实有效地利用计算机信息管理技术提高计算机网络安全已经成为一个迫切需要解决的问题[3]。
二、提高网络安全等级的策略
1、利用计算机信息管理技术进行网络加固
利用计算机信息管理技术进行网络加固是提高计算机网络安全等级最为常见的一种做法。具体可以从以下几个方面入手:(1)定时安装补丁。厂商提供的补丁和更新程序需要及时更新。快速发现潜在问题,并且及时安装最新补丁包有助于减少新发现的安全漏洞,但可能会增加一些麻烦。为了能及时地收到最新的漏洞通告,你需要订阅厂商的邮件通知服务或通用安全邮件清单。同时需要特别关注知识库的文章和发布的通知,其会详细描述由一种代码版本到另一种代码版本中设备行为和默认配置的变化,也会有针对漏洞信息或程序代码的应对方法。忽略这些细节的话可能会使你之前的安全配置工作失效,导致潜在的安全风险。(2)交换机设置安全措施。尽管交换机可能受到ARP攻击,但并不能说交换机不能作为安全控制设备。像前面提到的,MAC地址对于每个网络接口卡来说是唯一的,交换机能够被配置成只有指定的MAC地址才能通过交换机上的某个端口进行通信。这个功能也叫做端口安全,这对于像公共信息亭一类不能靠控制网络物理端口接入网络的设备来说非常有用。在支持端口安全的情况下,如果恶意地拔掉公共信息亭的连接线,把自己的笔记本连上并使用交换端口也没用,因为笔记本的MAC地址信息与公共信息亭的MAC地址不一致,并且交换机会阻断通信。但MAC地址也可以伪造,所以锁定端口通信的MAC地址对攻击者而言是多增加了一些障碍。(3)设置访问控制列表。路由器能够进行IP包过滤。访问控制列表用于允许或阻断TCP、UDP或其他基于源地址、目的地址的通信包,或使用其他准则的数据包。而防火墙对于载荷内容能进行更深层次的判断,策略性地配置访问控制列表能够显著增强网络的安全。例如,在边界路由器上配置访问控制列表能够大幅度地丢弃不想要的通信,减轻边界防火墙的压力。访问控制列表也能用于无线局域网内,用来丢弃广播包和其他不必要的通信流量,降低带宽占用。(4)禁用多余服务。像其他通用的操作系统一样,路由器也有除了路由转发数据包之外的服务。禁用或保护这些服务能够增强网络安全性。
2、利用计算机信息管理技术设置网络防火墙
对系统网络防火墙进行正确设置也可以有效地提高计算机网络安全等级。防火墙是内部网络和不可信任网络之间的第一道防线。应该根据具体的保护对象来考虑防火墙的部署,从而使得我们的网络环境达到合适的防护水平。正确配置防火墙规则需要做到以下几个方面的内容:(1)建立防火墙规则应由细到粗。大多数防火墙处理规则是从上到下依次匹配,直到某一条规则匹配成功才停止。所以将较为具体的规则放在上面以防止通用规则将其下方的具体规则覆盖。(2)将最活跃的规则放在规则集最上方。筛选数据包是处理密集型操作,正如之前所提到的,一旦匹配到规则,防火墙将停止处理数据包。将常用的规则放在前几条而不是第30条,将节省防火墙对每个包的从头匹配至第30条的处理时间。当防火墙需要处理数以百万计的数据包,且规则集长达数千条时,对CPU资源的节省是非常可观的。(3)应配置阻断那些畸形的或者不可路由的数据包。例如来自外部网络接口的数据包。源地址却是内部网络地址或者RFC1918定义的私有IP地址以及广播包。这些数据包在互联网上都是不正常的,如果发现就视为有害数据,例如由黑客产生的数据包。
3、利用计算机信息管理技术部署IDS系统
部署IDS系统以实现实时监测入侵行为也是提高计算机网络安全等级的一种有效方法。然而遗憾的是大多数网络管理员在使用IDS系统进行入侵检测时并没有意识到这一点。IDS是一个可以监控主机系统变化或从网络链路中嗅探网络数据包寻找恶意迹象的工具。IDS可以以操作系统中安装的软件程序的形式存在,但今天的商业网络嗅探IDS/IPS由于性能的要求,通常需要以硬件设备的形式存在。IDS可以使用一个数据包级的网络接口驱动程序来拦截数据包流量,也可以“挂钩”在操作系统中以插入检查子程序。主要应用于早期检测,但越来越多地用于防止攻击。当IDS发现一个可能的恶意威胁后,它记录该事件并采取适当的行动。该行动可能只是记录事件、发送警报。如果该威胁是高风险的,IDS将提醒相关人员。警报可通过E-mail、简单网络管理协议、传呼、SMTP协议发送到移动设备或控制台广播,并在必要时对网络进行阻断以保护内部设备安全。
三、网络安全实践实例
本文以前文所提到的WannaCry蠕虫病毒作为实例进行网络安全实践。目前针对WannaCry蠕虫病毒的防御主要是以主动防御为主,具体做法如下所示。
(1)关网络。通过对勒索病毒的具体行为进行深入的研究与分析之后不难得知,勒索病毒的传播方式主要是通过网络进行的。因此要彻底地清除勒索病毒就必须先断开目标主机的网络连接,切断病毒的通信同时也避免局域网内的其他主机受到病毒攻击。断开目标主机的网络连接存在着多种不同的形式,最为简单便捷的方式就是直接拔掉网线或者断开无线路由其的电源连接,通过物理断网的手段断开目标主机的网络连接。其次也可以通过在目标主机的操作系统中禁用网卡的方式实现断网操作。
(2)关闭TCP 445端口。勒索病毒主要是利用Windows系统中TCP 445端口入侵目标主机的。因此为了能够彻底地清除勒索病毒,就必须Windows系统中TCP 445端口切断其传播源头。具体操作步骤如下:
①以管理员的身份打开CMD运行命令框,并输入netsh firewall set opmode enable命令开启防火墙设置功能。命令执行效果如下图1所示。
③完成上述命令之后继续输入netsh firewall set portopening protocol=TCP port=445 mode=disable name=deny445命令关闭TCP 445端口。命令执行效果如下图3-3所示。
(3)打补丁。前两个步骤只能是暂时实现对勒索病毒的防范,而要治本还需要及时到官方网站上下载系统补丁堵上系统漏洞。比如这里以Windows 7 系统为例子,可以到微软的官网下载相应的补丁(KB4012212)并安装到自己的系统之中,从而实现有效地预防勒索病毒的入侵。
四、结语
随着计算机网络技术的快速发展,影响计算机网络安全的因素不断增多,如病毒、漏洞、入侵等,利用计算机信息管理技术提高计算机网络安全所具备的意义也越来越重要。因此我国应该加大对计算机信息管理技术在网络安全的应用研究投入力度,切实地提高计算机信息管理技术在网络安全中的应用水平。
参考文献:
[1]傅潇杭. 计算机信息管理技术在网络安全中的应用探究[J]. 工程技术:全文版,2017(12):19-20.
[2]庞贤军. 计算机信息管理技术在网络安全中的应用探究[J]. 通讯世界,2017(2):89-90.
[3]陈文兵. 计算机信息管理技术在维护网络安全中的应用策略探究[J]. 电脑知识与技术,2017(36):35-36..
论文作者:余江锋
论文发表刊物:《防护工程》2018年第22期
论文发表时间:2018/11/24
标签:网络安全论文; 网络论文; 病毒论文; 数据包论文; 防火墙论文; 计算机信息管理论文; 端口论文; 《防护工程》2018年第22期论文;