隐身侠加密软件

网络安全威胁防范策略

0引言

经济多元化发展的今天，人们的生活越来越离不开信息网络世

界，对网络空间的安全也提出了更高的要求。网络安全问题可以

造成的严重危害有目共睹，仅以2016年为例，就有ＯｐｅｎＳ

ＳＬ新型安全漏洞“水牢”威胁我国十余万家网站，315晚会上

曝光不法分子利用公共ＷＩＦＩ漏洞盗取他人银行账户钱财、俄

罗斯黑客盗取2.7亿邮箱账号密码并在黑市进行交易、山东临沂

准大一新生徐玉玉遭电信诈骗后死亡、国家电网掌上电力及电ｅ

宝等Ａｐｐ泄露大量用户数据等重大网络安全事件发生。因此，

提高全民的网络安全意识、普及网络安全威胁防范知识已成为当

务之急。只有在全民做好防范应对的前提下，才真正能够抵御来

自于互联网的大部分威胁和风险，从而营造一个健康和谐的网络

社会，更好地为人们的生活服务。

1网络安全三类威胁

国家互联网应急中心（ＣＮＣＥＲＴ）最新网络安全信息与动态

监测结果显示，2016年12月12日至12月18日，我国境内被

篡改网站数量为3438个（其中政府网站7９个）；境内被植入后

门的网站数量为1614个（其中政府网站33个）；针对境内网站

的仿冒页面数量为2486个。境内感染网络病毒的主机数量为９

4.8万，其中包括被木马或被僵尸程序控制主机72.8万，感染

飞客（ｃｏｎｆｉｃｋｅｒ）蠕虫主机22万；新增信息安全漏

洞274个，其中高危漏洞９8个。与前一周相比，被篡改网站、

仿冒页面、感染病毒主机、新增信息安全漏洞等数量都在增加。

可见，互联网安全威胁普遍、大量存在，而且有不断增加的趋势。

这些威胁依据安全三要素“人、机、环境”可分类为：人为威胁、

计算机威胁和网络威胁。

1.1人为威胁

人为威胁即由用户非正常操作引起的威胁，包括：①无意识的操

作失误，如系统管理员安全配置不当、系统登录口令强度太弱、

长时间离开未锁定计算机、重要账号随意转借他人、下载运行存

在安全风险的软件程序等；②有意识的主动攻击，如通过钓鱼邮

件、社会工程学等方法窃取重要数据信息，或者利用病毒木马传

播、恶意代码植入、拒绝服务攻击等方式对系统和数据进行篡改

甚至破坏。

1.2计算机威胁

计算机威胁主要是由计算机自身部署的软硬件产生的威胁，包

括：①因操作系统、数据库或其他应用系统未及时升级到最新版

本导致存在可被利用的漏洞或者“后门”；②因需要提供某些特

定服务而开启相应端口，这些服务和端口同时也可能被攻击者利

用；③因接入外部设备（如Ｕ盘、摄像头、打印机等）导致产生

敏感信息泄露或计算机被感染等问题。

1.3网络威胁

网络威胁是三类威胁中存在最广泛、危害性最强的。互联网上充

斥着各种各样、不计其数的病毒、木马和恶意代码，未作任何防

护措施的计算机直接接入网络中的危险不言而喻；网络通信协议

使得具有不同硬件架构和操作系统的计算机能够互联互通，但许

多早期协议在设计之初并未考虑网络安全问题，不可避免会存在

安全隐患；除此之外，互联网中还遍布各种具有攻击能力的网络

工具，攻击者可以操纵这些工具并结合一些攻击命令实现各种攻

击目的，轻则窃取重要文件或造成目标计算机运行异常，重则完

全控制目标计算机甚至造成物理性严重破坏。

2常用网络安全防范策略

为有效防范上述网络安全威胁，结合生活生产实际，常用且有效

的一些应对策略和措施包括以下方面。

2.1完善用户账户口令安全

包括操作系统（如Ｗｉｎｄｏｗｓ、Ｌｉｎｕｘ／Ｕｎｉｘ）、

数据库（如ＳＱＬＳｅｒｖｅｒ、Ｏｒａｃｌｅ、ＭｙＳＱＬ）、

中间件（如Ｔｏｍｃａｔ、Ｗｅｂｌｏｇｉｃ、ＪＢｏｓｓ）、

远程连接和文件共享服务（如Ｆｔｐ、Ｔｅｌｎｅｔ、ＳＳＨ）、

网络设备（如网关、交换机、路由器、摄像头、打印机）等重要

软硬件资源的管理员口令都应设置为大小写字母、数字及特殊字

符的强组合，且应达到一定长度并定期更换（如8位以上、每3

月更换）。研究表明，暴力破解8位强组合口令的时间是8位纯

数字口令的7.2*107倍，是6位强组合口令的９.2*103倍，长

度越长、组合越复杂的口令被破解成功的概率将以指数级减小。

对于Ｗｉｎｄｏｗｓ操作系统，应特别注意禁用Ｇｕｅｓｔ来宾

账户，有为数不少的成功入侵案例就是利用这个账号存在的漏洞

来达到入侵目的的。为进一步加强反入侵效果，还可以将系统默

认的管理员用户名ａｄｍｉｎｉｓｔｒａｔｏｒ修改为其他名

称，同时再创建一个具有极小权限的ａｄｍｉｎｉｓｔｒａｔｏ

ｒ账户，从而对攻击者造成干扰和迷惑。

2.2禁用不常用的端口

操作系统一般会默认开放一些网络服务，如果确认不会用到这些

服务，就应该禁用服务对应的端口，减少计算机暴露在网络中的

安全风险。对于个人终端计算机，可以禁用的常见端口包括：21

（Ｆｔｐ服务）、23（Ｔｅｌｎｅｔ服务）、80／8080（Ｈｔｔｐ

服务）、13９／445（网络共享服务）、443（Ｈｔｔｐｓ服务）、

338９（远程连接服务）等，这样可以阻止相当一部分网络攻击。

对于部署了数据库和中间件的服务器计算机，应该更改以下默认

端口：1433（ＳＱＬＳｅｒｖｅｒ）、1521（Ｏｒａｃｌｅ）、3306

（ＭｙＳＱＬ）、7001（Ｗｅｂｌｏｇｉｃ）、8080（Ｔｏｍｃａ

ｔ／ＪＢｏｓｓ）等，达到在网络中隐藏自身的目的。

2.3及时更新最新升级补丁

任何软件系统都不可能是绝对安全的，总会被有意者发现新的安

全问题，因此开发商需要不断发布升级补丁和重大版本更新来修

复和封堵漏洞，保持系统的安全性和稳定性。如果不及时更新至

最新的版本，就很容易被攻击者利用已知漏洞获得系统控制权限

或致使系统瘫痪。因此，应定期检查重要的软件系统如操作系统、

数据库、中间件、办公软件、开发环境（如Ｊａｖａ、ＰＨＰ）

等是否存在重要升级补丁或重大版本更新，及时选择合适的时机

完成升级更新，封堵来自于软件本身的威胁。

2.4部署安装必要的安全软、硬件

要保证计算机安全接入互联网，以下安全软件和硬件是必须部署

安装的：①防火墙／安全网关，用于实现对网络的访问控制，过

滤不安全的流量数据包，禁用指定端口的通信和来自特定ｉｐ地

址的访问等；②防病毒软件，用于防范、拦截、查杀、隔离计算

机病毒、木马和恶意代码；③加密Ｕ盘，用于防止他人在未通过

身份鉴别的情况下直接获取Ｕ盘中的文件数据。

企业级用户还应部署如下系统以达到更高的安全防护级别：①入

侵检测系统／入侵防御系统，用于自动检测和防御来自外部网络

的可能的攻击行为，并为网络安全管理人员提供日志审计以追溯

攻击来源、识别较隐蔽的攻击行为等；②漏洞扫描系统，通过扫

描等方式检测本地或远程计算机系统存在的安全脆弱性，发现可

被利用的安全漏洞隐患并提供相应的修复和加固建议；③灾备系

统，用于对信息系统进行数据、软件和硬件备份，使得在灾难发

生导致系统损毁时，能够迅速、可靠地恢复到正常运行状态。

2.5应用加密技术存储、传输文件

对于具有密级级别的文件资料，如国家、商业、企业的绝密、机

密和秘密文件，应当进行加密存储，防止攻击者在成功入侵获得

文件后轻易解读。目前的加密存储方式可分为硬件加密、软件加

密和智能加密三类，其中使用最广泛、最便捷的是软件加密方式，

常见如压缩软件ＷｉｎＲＡＲ提供的加密压缩包功能，以及一些

专业加密软件如“超级加密3000”、“文件夹超级加密大师”、“隐

身侠”等。密级很高的文件不建议使用软件加密，应选择安全性

更高的硬件和智能加密方式。

重要文件和信息在网络中的传输也应该进行加密。一些早期的网

络传输协议如ｆｔｐ、ｔｅｌｎｅｔ等均以明文方式传输信息，

只要传输的网络数据包被截获，所有信息都将彻底暴露，毫无安

全性可言，也正因如此，ｆｔｐ和ｔｅｌｎｅｔ服务已经逐渐被

相对安全得多的ｓｓｈ服务所代替。除了信息传输方式应设置为

密文外，被传输的文件本身也应当加密，以防传输通道被劫持或

中间节点服务器被控制导致文件被他人获得后可无限制访问。

3结语

网络安全问题已经成为一个全新的研究领域，构建安全网络空间

的目标任重而道远。文中的防范策略只是从抵御常见网络安全威

胁角度出发提出的，对于专业黑客实施的精确攻击将很难起到效

果。尽管如此，做好这些防范策略的宣贯和实施，仍然是有效提

升非专业人士网络安全意识、加强互联网整体安全的重要手段和

途径，也是建立完善、健全的网络安全防御体系的重要基础。