维普资讯 http://www.cqvip.com 科技信息 oIT技术论坛o SCIENCE&TECHNOLOGYINFORMATION 2008年第2期 个人计算机系统网络中的风险分析与安全策略 胡 琰 (湖南交通职业技术学院侯家塘校区教务科 湖南 长沙410007) 【摘 要】在当前网络的环境下,人们普遍认为个人计算机越来越容易受到来自于网络的病毒的攻击,网络病毒成为个人计算机的头号威 胁。但事实上.威胁的主要来源不仅来自于网络,更多的是来其他方面。文章从个人使用习惯、服务设置、端口设置等方面,提出个人计算机的安 全策略。 【关键词】个人计算机;威胁矢量;分析;安全策略 【Abstract】under the current Internet circumstance,it is widely acknowledged that personal computers are more likely to be threatened by the network viruses.But in fact.the main source of threat is not only from the network.but also from other aspects mostly.The article from individual aspects and SO on use custom,service establishment,port establishment,proposes personal computer%security policy. 【Key word】Personal computer;threat vector;analysis S;ecurity policy 1.个人计算机安全风险分析 f11安装正版的杀毒软件并及时更新。用户需要不断的在网站上 随着个人业务的发展和网络的普及,更多的人认识到:在网络环 升级软件f更新病毒库),这样可以及时获得许多新病毒或木马的相 境下,计算机最大的危险源是病毒和特洛宜木马.用户随时可能感受 关信息。在选择反病毒软件方面,国际权威杀毒软件在工作效果可能 到一次“破坏风暴”所带来的危机.如:2002年.1nterNex公司因为业务 不如本国的杀毒软件(2006年,Kaspersky杀毒软件连续发生错误删除 但在对新病毒的信息的更新,对新 信用数据被破坏.最后导致股票停市、公司破产。因此.了解计算机到 文件事件.造成了很多不良后果),病毒预防和处理上比本国的杀毒软件来的快的多,建议用户将多种反 底有多么的脆弱.对其做出风险分析,这对于生活在网络世界中的每 病毒软件混合使用.这样才能有效发挥其最大的威力。 个人都是有必要的。 f21硬盘数据备份。建议用Ghost进行备份。Ghost可以备份整个 通过对个人计算机进行最基本的风险评估.用户可以得知.危险 一 不仅仅只是来自于网络 它们来自于我们的生活一切:计算机和外围 硬盘,也可以备份某个分区。如果计算机中只安装了・个操作系统,设备、物理环境、水、电、环境控制和通信设备、计算机程序、个人隐私 只要将主分区f即C盘)备份即可。当计算机的操作系统出现故障而 必须重新安装操作系统时,就可以使用Ghost的备份文件来恢复硬盘 信息等等。 当然.其中的很多方面在我们看来是可以忽略不计的,我们更关 的数据。有条件的用户可以将备份刻录到光盘。另外,还需要制作一张 心的是诸如:用户密码被窃取.机密信息暴露在网络 、数据完整性被 系统启动盘以便必要时使用。需要注意的是Ghost备份要求使用 破坏等方面的恶性问题.并认为只有这 威胁才町以给我们带来损 FAT32的磁盘格式。f31定期清除Cookie缓存、历史记录以及临时文件夹中的内容。 失。不过,一份来自计算机安全学会(CSI)的报告指出不同的看法:给 我们带来威胁的源头7O%到80%是来自于网络之外.也就是说真正 所有的浏览器都会把用户所浏览的信息保存在浏览器相关的设置中,破坏计算机系统的威胁来源在我们的13常使用中。为了对这些威胁进 以便下次再访问相同的站点时,提高浏览速度。但是当浏览器的 e缓存、历史记录以及临时文件夹中的内容保留了用户太多的上 行描述.CSI使用了一个概念——威胁矢量.用来描述威胁是什么,它 Cooki们来自何方。如图1所示,我们的防火墙只能阻止20%的威胁因素,我 网记录时.这并不是一个好现象——这些记录很容易造成了个人信息 e的最简单方法是: 们所要设计的安全控制机制.就是要保证各种威胁都能够被识别和严 资料泄露。所以应该对它们定期清除。(清除Cooki右键击IE——选择“属性”——在“浏览历史记录”下选择“清除” 格审查。 日不诚实的用户 1O% 目外部攻击 项——对“Cookie”项选择“删除Cookie”项。) f41注意电子邮件的查收。大部分病毒和恶意代码都是通过电子 邮件传播的。垃圾邮件的增加必然会影响网络安全,特别是对于广告 产品的邮件。用户要小心谨慎,如果回应这类邮件,将会导致更多的 垃圾邮件。当用户收到一・封带有附件的电子邮件,它所带的附件扩展 ●人为失误 55% 口物理安全问题 20% 名为.EXE或.ZIP,切勿轻易执行打开、查看或者保存该附件的命 令——这个附件很有可能是病毒。 2,2更新补丁系统 安装各种补r是改善系统安全的一种重要手段,将已知的系统缺 口居心叵测 9% 图1 计算机安全学会(CSI)的犯罪损失统计数据 陷通过补丁得到加强,90%以上的威胁就能够免除。Windows系统补 可用户普遍认为这种安全机制是完全不必要的.“我们已经安装 丁安装的方法有很多,而且基本每一种补丁都可以自动或手工安装。般来说,我们将将可以选择的补丁分为以F几种: 了最新的防火墙和杀毒软件.为什么还需要做其他的安全防护工作?” f1)Microsoft系统漏洞补丁。这是用户平时使用的最多的一种 问题的关键在于.各种威胁矢量会旁路防火墙所提供的保护——攻击 一ndows更新网站(http://www.microsoft.corn/ 者将频繁的利用被容许的服务、旁路防火墙或者是获取有效连接对个 补丁.当用户连接到Wioads/Browse.aspx?displaylang=zh—cn&categoryid=7).就可以下载 人计算机进行攻击。对于这样的攻击,杀毒软件和防火墙的保护形同 downl并使用补丁或更新了。当然,用户也可以拒绝所提供的任何变化,不 白纸。 震荡波病毒及其它们的变种带来的灾难吧(这些病 因此.单纯的寄希望杀毒软件和防火墙就能对个人计算机提供全 过,想冲击波病毒、面的保护,这几乎是不町能的事情。在养成良好的使用习惯之外,我们 毒的功能就是破坏硬件,很多用户的主板甚至是硬盘都被破坏),而且 必须在操作系统安装好时就实施一系列的安全机制,将来自内部的危 似乎所有的杀毒软件都不能对它们有效工作.但如果事先打上“冲击 险矢量先清除。这比每天考虑更换新的防火墙更有必要。 波补丁”.一切灾难都可以避免。更多的时候.使用Windows自带的系 统更新.这样.可以更方便、快捷的关闭系统漏洞,而不用考虑漏洞在 那里 2.Windows下的安全策略 一般来说,对windows下的安全策略可以总结为以下几个方面: f2)Microsoft系统管理服务器(SMS)。SMS是Microsoft的服务 2.1良好的使用习惯 t的各种数据库,和我们13常个人使用没有太大 危险矢量的最大源泉来自于我们的日常使用过程,在进行其他安 器产品.更新Microsof全策略前,我们必须保证:我们的系统是绝对干净的。所以我们必须在 的联系 一开始养成如下习惯。 f3)第三方补丁。 操作系统外的第三方补丁产品,主要用于更 57 维普资讯 http://www.cqvip.com 科技信息 o IT技术论坛o SCIENCE&TECHNOLOGY INFORMATION 2008年第2期 新和完善某些特殊功能的软件。一般说来,这些补丁都是和Windows 运行的,由于这些服务与系统的核心相关并拥有各种权限,因此一旦 系统能够良好兼容。当然。并不是所有的补丁都是必须安装的:当某些 被其他人掌握。很可能造成操作系统信息泄露。为了尽可能地保护计 补丁安装好后,用户会发现原有的操作发生了较大有发生,应该确信, 算机不受侵害,关闭那些不需要的服务是很有必要的,而这样做还能 因为功能的需要不同,在相同的Windows系统上,通常有不同的补丁 减少系统资源占用,提高系统运行效率,一般来说,下面的服务对于我 需求,并不是每一种Microsoft的产品都需要随时更新的,但必须牢记 们来说是可以取消的: 条:在网络环境下.不完善的系统就如同没有系统。 f11 Clipbook服务 ClipBook服务通过Network DDE和Network 一2、3端口服务和防火墙 DDE DSDM提供的网络动态数据交换服务,通过这项服务,用户可以 事实上,我们也不知道有多少端口可以被认为是开放的。一般将 在网络中通过剪贴板查看器(ClipBook Viewer)程序查看其他计算机 它们分为两大类:公认端口(Well Known Ports、从0~1023)和动态或 中剪贴板中的内容,为保护数据安全,建议禁用此服务。 私有端口f Dynamic or Private Ports、从1024~65535)。 f2)Server服务Server服务支持计算机通过网络的文件、打印 公认端口(Well Known P0ns1一般都和某些服务紧密的绑定的。基 和命名管道共享,如果服务停止,这些功能不可用,任何直接依赖于此 本被绑定于某些特定的服务协议,而动态或私有端151(Bynamie or 服务的服务将无法启动,用户的电脑就不能对别人提供共享了(包括 Private Ports)没有固定的服务。当进程需要时端151服务时,临时向主机 共享文件,共享打印机…等等),如果用户不是在局域网内,建议禁用 申请,将一个动态或私有端口分配给进程使用;而当这个进程结束时, 此服务。这样可以提高系统的安全性。 将所占用的端口又释放,等待下一次调用。因此,木马程序盗用多为这 (3)Workstation服务Workstation服务提供网络连接和通信,该 类端口,如大家熟知的“冰河”木马,就是使用的7626号端口。 服务以一个文件系统驱动器的形式工作.并且可以允许用户访问位于 Windows默认的打开端口和动态或私有端口为危险的来源.目前 windows网络上的资源。但是在此服务下,一些独立服务器,例如web 了解最多的默认的打开端口为135,137,138和139,另外,需要对端 服务器,都将被提供给所以用户,这是不允许的。所以,该服务应当只 在位于某个内部网络.并受到某个防火墙保护的工作站和服务器上运 口80多注意。 (1)RPC端IZl 135。这个端口就大名鼎鼎的RPC漏洞的传播途径, 行,在其他任何可以连接到网络的服务器上都应该禁用这个服务. 虽然知道它是“后门”的路口,但用户不能将它关闭,否则就会停止 f4)Rem ̄e registry service服务 当时,该服务为某个需要要远 RCP服务。导致计算机中许多日常功能失效,如:远程拨号等。防范来 程地址的程序创建到网络的连接。即它能提供路由支持,但是,这种路 自网络的远程RPC攻击的最佳方法是:将系统打上安全补丁,并在防 由是以软件形式实现的。这项服务的启动.将占用CPU的部分资源, 火墙上设置过滤规则封堵135端口。 更危险的是,它将成为泄露网关、DNS服务和个人密码的直接通道,如 (2)UDP端151 137。NetBIOS Name Resolution(NetBIOS名称解析)。 果用户使用了硬件路由器和网关。建议关闭此服务。137端口对应Computer Browser、Name Service、Server等服务。137端 总而言之。对于计算机的保护,最根本的在于对危险矢量——危 口有管理计算机名的NetBIOS名,获取实际的IP地址的功能。当使用 险来源的消除,网络给了我们一个更广阔的空间,同时也给我们带来 NetBIOS 0ver TCP/IP时,137端口会自动处于开放状态,将计算机名 了更多的危险来源,不过,这些都不是最重要的,真正的危险来自于我 称及其用户的详细信息自动传播、泄露用户信息,因此建议关闭此端 们的平时操作,把内部的危险矢量先消除,这比什么都重要。 口。 (3)UDP端151 138。NetBIOS Data ̄am Service(NetBIOS数据流服 【参考文献】 务)。138端口对应于Computer Browser、Server、Net Logon等服务。138 [1]Roberta Bragg.Mark Rhodes—Ousley.Keith Strassberg Network Security:The e ̄RefeiTlee『M 1 The McGraw—Hill Companies第一版2004. 端口和137端口一样会向外部发送自己的信息,其特点是会在网络上 Compl秦华思科网络技术素学院教程一网络安全基础[M]人民 泄露系统的版本信息。138端口还提供NetBIOS环境下的计算机名浏 [2]李涤非.欧岩亮.邮电出版社第一版2004. 览功能,该功能可以让用户在Browsing List(浏览列表)里看到连接于 网络中所有的计算机。例如,在Windows XP中通过网上邻居窗口打 [3]吕霞.李文印,玄光哲基于SNMP的校园网网络性能管理系统的实现[J]. 开整个网络.将看到一系列的工作组,双击打开某个工作组,就会查 [4]许诚,张玉清,雷震甲.企业信息安全风险的自评估及其流程设计[J].计算 看到该工作组里的计算机列表(DoS方式下可使用命令net view/ 机应用研究。2005.22(7):108—111 domain:workgroupname查看),在非局域网情况下,建议关闭此端口。 2.4控制并限制提供的服务 作者简介:胡琰(1981一),湖南长沙人,助讲,I程硕士(在读),研究方向为 吉林大学学报:信息科学版,2003,21(2):192—195. 也许用户对Windows服务所带来的安全性危险还没有足够的认 网络数据库及安全。 识.在系统默认中有34个服务会自动运行.41个服务会在需要时启 动,而实际上在多数情况下.有大约20个自动运行的服务是不必非要 [责任编辑:汤静】 {上接第63页)路由器上设置中继代理DHCP/Bootp为DHCP服务器 域网技术的使用为解决网络配置和管理提供了良好的方法.随着局域 地址。在Windows 2000 Server服务器上配置DHCP,为每一个网段设 网用户数量的不断增加,局域网规模不断扩大,随之出现的大量的广 置可以动态分配的IP地址。使每一台计算机可通过DHCP/Bootp中继 播信息将降低网络带宽传输率,虚拟局域网技术可以很好地解决这个 代理获取一个合法的地址,省去在每一个子网段设置DHCP服务器。 问题。避免园区网广播风暴的出现。但是一个基于虚拟局域网技术而 (4)在三层交换机上查看、配置路由表,设置缺省路由。 一建立的园区网要安全稳定的运行.还需要进行整体的网络安全设置, 般在三层交换机上设置好VIAN后,子网间的路由转发自动完 进行日常网络维护,从而更好地提高交换是园区网的整体性能和安全 性机可扩展性。 成,但如果园区网需要连通互联网,则网管员还需要设置缺省路由。 (5)网络安全设置 一般使用的方法是在路由器中使用访问控制列表,将黑客或被病 【参考文献】 [1]刘有信,网络互联技术,人民邮电出版社,1998. 毒使用的通信端口关闭。 张炜,虚拟网络技术,计算机技术,1997. 在Intel Switch480T三层交换机上,交换机1口是连接互联网的 [2]王宝智.端口,要关闭TCP445端口可以使用如下命令: Create access—-list deny 100 tep destination any ip—‘port 445 source any ip—port any deny ports 1 [3]李承东,第三层交换技术,计算机网络世界,1999 [4]彭业飞洋,CISCO IOS交换服务,北京电子工业出版社,1998. 作者简介:王丽雯(1982一).女.汉族.现是西安科技大学计算机应用技术 专业在读硕士。 通过关闭端口的方法.从一定程度上可防止病毒侵入园区网,增 加网络的安全性。 4.结束语 本文讨论了虚拟局域网技术及其在校园网建设中的应用 虚拟局 [责任编辑:张艳芳]