浅谈计算机网络安全漏洞及防范措施

来源:用户上传      作者: 郑平

　　摘要：随着经济快速发展，信息时代日渐全球化，然而，在网络为人民服务普及过程中，网络安全问题也日益成为人们关注焦点，网络系统遭到破坏、泄露等成为困扰使用者重大问题。网络安全漏洞防范是目前网络安全技术研究热点之一。该文结合计算机网络所存在安全漏洞，从访问控制、漏洞扫描、安装防火墙及病毒防范四个方面探讨了计算机网络安全防范对策。运用文献资料，调查法等对网络安全漏洞这一问题进行浅析。
　　关键词：计算机；网络安全；漏洞
　　中图分类号：TP393.08 文献标识码：A文章编号：1007-9599(2012)03-0000-03
　　Computer Network Security Vulnerabilities and Preventive Measures
　　Zheng Ping
　　(Zhejiang International Maritime College,Zhoushan316021,China)
　　Abstract:With the rapid economic development,increasing globalization of the information age,however,universal process of serving the people in the network,network security issues are also increasingly become the focus,the network system has been damaged,leaking problems users have become major issues.Network security vulnerability network security technology to prevent is one of the focus.Combined with the computer network security vulnerabilities that exist,from access control,vulnerability scanning,install firewall and virus protection in four areas of computer network security measures.The use of literature,survey and other security vulnerabilities on the network of the issue.
　　Keywords:Computer;Network security;Vulnerabilities
　　计算机网络安全漏洞一直以来是长久困扰人们正常有序开展信息建设、营造有序网络环境难题。因此笔者从网络安全漏洞防范角度出发，科学探讨了基于防火墙技术、分析监控技术、动态调试技术实施高效网络安全管理科学策略，对提升计算机网络安全防控性、良好运行服务秩序性有重要推进作用。
　　一、关于计算机网络存在安全漏洞分析简单介绍
　　漏洞是在硬件、软件、协议具体实现或系统安全策略上存在缺陷，从而可以方便攻击者能够在未授权情况下访问或破坏系统。近几年来，Intenet 发展异常迅速，但人们并没有采取多少措施来提高其安全性，从而在计算机网络中存在缓冲区溢出问题、假冒用户问题、完全欺骗用户等问题都是漏洞表现。根据网络漏洞产生原因、存在位置和利用漏洞攻击原理来进行分类。分类情况如下：信息化社会全面发展为我们构建了自由、开放、共享网络环境，使人们生活、工作、学习得到了切实便利与优化，同时也使网络安全漏洞问题日益凸显。黑客攻击、病毒侵犯使本来有序网络环境变得日渐复杂，而各类丰富信息资源也受到了严重安全威胁，一旦遭到不良攻击轻者信息数据被篡改、服务器不能正常运转，网络不能正常使用；重者整个数据库系统瘫痪、崩溃，人们财物、金钱丢失、重要国家机密被窃取，严重危害了人们自身利益，国家公众利益。
　　（一）操作系统安全漏洞
　　操作系统是一个平台，要支持各种各样应用，各种操作系统都存在着先天缺陷和由于不断增加新功能而带来漏洞。操作系统安全漏洞主要有四种：一是输入输出非法访问；二是访问控制混乱；三是操作系统陷门；四是不完全中介。
　　（二）网络协议安全漏洞
　　TCP/IP是冷战时期产物，目标是要保证通达、保证传输正确性，通过来回确认来证数据完整性。而TCP/IP 没有内在控制机制来支持源地址鉴别，来证实IP从哪儿来，这就是TCP/IP漏洞根本所在。黑客通过侦听方式来截获数据，对数据进行检查，推测TCP 系列号，修改传输路由，从而破坏数据。
　　（三）数据库安全漏洞
　　盲目信任用户输入是保障Web 应用安全第一敌人。用户输入主要来源是HTML 表单中提交参数，如果不能严格地验证这些参数合法性，计算机病毒、人为操作失误对数据库产生破坏以及未经授权而非法进入数据库就有可能危及服务器安全。
　　（四）网络软件安全漏洞
　　网络软件安全漏洞主要表现在：①匿名FTP。②电子邮件：电子邮件存在安全漏洞使得电脑黑客很容易将经过编码电脑病毒加入该系统中，以便对上网用户进行随心所欲控制。③域名服务：域名是连接自己和用户生命线，只有建立整个“生命网”注册并拥有全部相关甚至相似域名，才可以保护自己。但不幸是，这个“生命网”上漏洞多得让人防不胜防。④Web编程人员编写CGI、ASP、PHP 等程序存在问题，会暴露系统结构或服务目录可读写，从而扩大了黑客入侵空间。
　　二、计算机网络安全漏洞种类
　　网络高度便捷性、共享性使之在广泛开放环境下极易受到这样或那样威胁与攻击，例如拒绝服务攻击、后门及木马程序攻击、病毒、蠕虫侵袭、ARP攻击等。而威胁主要对象则包括机密信息窃取、网络服务中断、破坏等。例如在网络运行中常见缓冲区溢出现象、假冒伪装现象、欺骗现象均是网络漏洞最直接表现。
　　（一）操作系统本身漏洞及链路连接漏洞
　　计算机操作系统是一个统一用户交互平台，为了给用户提供切实便利，系统需全方位支持各种各样功能应用，而其功能性越强，漏洞则势必越多，受到漏洞攻击可能性也会越大。而操作系统服务时间越久，其漏洞被暴露可能性同样会大大增加，受到网络攻击机率将随之升高，即便是设计性能再强、再兼容系统也必然会存在漏洞。计算机在服务运中，需要通过链路连接实现网络互通功能，既然有了链路连接，就势必会存在对链路连接攻击、对互通协议攻击、对物理层表述攻击以及对会话数据链攻击等。
　　（二）TCP/IP协议缺陷与漏洞及安全策略漏洞
　　网络通信畅通运行离不开应用协议高效支持，而TCP/IP固有缺陷决定其没有相应控制机制对源地址进行科学鉴别，也就是说IP地址从哪里产生无从确认，而黑客则可利用侦听方式劫持数据，推测序列号，篡改路由地址，使鉴别过程被黑客数据流充斥。另外在计算机系统中各项服务正常开展依赖于响应端口开放功能，例如要使HTTP服务发挥功能就必须开放80端口，如果提供SMTP服务，则需开放25端口等。而端口开放则给网络攻击带来了可乘之机。在针对端口各项攻击中，传统防火墙建立方式已不能发挥有效防攻击职能，尤其对于基于开放服务流入数据攻击、隐蔽隧道攻击及软件缺陷攻击更是、束手无策、望尘莫及。

　　三、计算机网络安全漏洞成因
　　信息全球化已经成为当今社会发展一大趋势，计算机时代加速了信息试通过读取并解释代表系统配置信息文件来查找漏洞迹象。如果一个系全球化进程，然而计算机网络自身局限又限制了网络发展。本文对计统配置错误使得系统出错或影响到系统性能表现，那么用户就会及时地将算机安全漏洞检测提出几点方法与防护措施。这个错误找出并纠正，而有些降低系统安全性错误配置只会在系统遭到攻击后才会被注意到。此时，配1 网络安全分类置文件测试就成为发现这种漏洞可靠工具。
　　（一）网络入侵
　　指具有熟练习编写和调试计算机程序技巧并使用这，文件内容和保护机制检测方法。命令文件和系统工具是特洛伊木马最些技巧来获得非法或未授法网络或文件访问，入侵进入他方内部网行热衷于植入地方。网络入侵目主要是取得使用系统存储权限、写权限以及访问其他够修改启动过程文件。访问控制设置检测是评估这些文件安全性第一步。存储内容权限,或者恶意破坏这个系统，使其毁坏而丧失服务能力。由于许多系统支持几种访问控制机制，并且它们之间相互作用不总是很清楚。
　　（二）拒绝服务攻击（DOS）
　　这个检测过程往往被复杂化，而仅有对于文件访问控制可能并不够。DOS英文全称是Denial of Service，也就是“拒绝服务”意思。1.错误修正检测方法。一些典型攻击手段就是利用操作系统错误Dos攻击基本过程：首先攻击者向服务器发送众多带有虚假地址请求，取得进入系统权限。由于这些事件发生，供应商们共同努力来开发并分服务器发送回复信息后等待回传信息，由于地址是伪造，所以服务器一直发了纠正这些错误补丁程序。然而，许多系统管理员并没有及时安装补丁等不到回传消息，分配给这次请求资源就始终没有被释放。当服务器等程序。错误修正检测过程可以通过一个检验程序来自动完成，该程序通过检待一定时间后，连接会因超时而被切断，攻击者会再度传送新一批请查系统中二进制文件来寻找安全漏洞。这种测试可以是主动型检测，也可求，在这种反复发送伪地址请求情况下，服务器资源会被耗尽，最终它会以是被动型检测。主动型检测试图找出系统中错误，而被动型检测使用校使你部分Internet连接和网络系统失效。验、文件大小和版本号来判断补丁程序是否已经安装到位。英文全称是Denial of Service，也就是“拒绝服务”意思。2.差别检测方法。这是一类被动式审计检测方法，用来确保从某一个击基本过程：首先攻击者向服务器发送众多带有虚假地址请求，服务基准时间开始，文件没有被修改过，它实际上忽略掉文件日期、时间，因器发送回复信息后等待回传信息，由于地址是伪造，所以服务器一直等不为它们可能被造假或毁坏，并且依赖于冗余校验或基于加密技术算法。
　　四、计算机网络安全防范对策
　　（一）访问控制，利用防火墙技术防范网络攻击
　　从技术原理层面我们可将防火墙技术分为包过滤技术、状态检测技术及服务代理技术等。前者属于早期防火墙技术，需要依据路由器实施网络保护功能，具有筛选地址与协议特性，同时也不乏高度透明服务功能，然而却不能对地址欺骗进行有效防范，同时也无法高效执行安全策略，体现了该技术包含着一定局限性。代理服务器技术与前者不同，它直接与应用程序连接，对接收数据包进行分析并提供一定访问控制。该项技术具有控制进程流量自如性与安全性、生成记录便利性，并具有透明加密机制，可与其他安全防控方式进行有效集成。但同时，服务强针对性决定其对每一个代理服务均可能需要不同服务器，同时会对用户使用过程造成一定限制，对底层代理安全性能也难以控制。访问控制是网络安全防范和保护主要策略，它主要任务是保证网络资源不被非法使用和非法访问。主要包括：入网访问控制。入网访问控制主要通过控制非法用户登录到服务器并获取网络资源，保证网络数据不被非法使用和非法修改，同时，控制准许用户入网时间和准许在哪台工作站入网等。用户入网访问控制可分为如下步骤：①验证和识别用户名；②验证和识别用户口令；③检查用户账户缺省权限限制。其中，用户口令是用户入网关键所在，为保证口令安全性，用户口令不能显示在显示屏上，口令长度应不少于6个字符，口令字符最好是数字、字母和其他字符混合，且用户口令必须经过加密，加密后口令，即使是系统管理员也难以得到它。同时，网络应对所有用户访问进行审计，如果次输人口令不正确，则认为是非法用户入侵，应给出报警信息。网络权限控制。用户和用户组被赋予一定权限，网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源，可以指定用户对这些文件、目录、设备能够执行哪些操作。同时，指派控制用户和用户组如何使用网络服务器目录、文件和设备。目录级安全控制。网络应允许控制用户对目录、文件、设备访问。用户对文件或目标有效权限取决于用户受托者指派、用户所在组受托者指派、及取消继承权屏蔽用户权限。属性安全控制。当使用文件、目录和网络设备时,管理员应给文件、目录指定访问属性。属性安全在权限安全基础上提供更进一步安全属性。
　　（二）漏洞扫描
　　利用扫描技术分析网络漏洞网络系统漏洞扫描原理主要依据网络环境错误注入手段进行，用模拟攻击行为方式，通过探测系统中合法数据及不合法信息回应达到发现漏洞目。因此我们可以利用信息获取及模拟攻击方式分析网络漏洞，从而达到检测入侵攻击目。首先可通过在主机端口建立连接方式对服务展开请求申请，同时观察主机应答方式，并实时收集主机信息系统变化，从而依据不同信息反映结果达到检测漏洞目。模拟攻击检测方式则是通过模拟攻击者攻击行为，对检测系统可能隐含现实漏洞进行逐项、逐条检查，从而使网络漏洞暴漏无疑，主要方法包括缓冲区溢出、DOS攻击等。漏洞扫描系统是用来自动检测远程或本地主机安全漏洞程序。漏洞扫描器能够自动检测远程或本地主机安全性弱点，网络管理员可以从中及时发现所维护Web 服务器各种TCP 端口分配、提供服务，Web 服务软件版本和这些服务及软件呈现在Internet上安全漏洞，并更正网络安全漏洞和系统中错误配置，及时修补漏洞，构筑坚固安全长城。
　　（三）安装防火墙
　　完善构建网络漏洞特征信息库、提高漏洞验证准确性完善构建网络漏洞特征库是计算机网络安全检测、高效防护必要保证，我们应科学将每一个网络漏洞均赋予特征码，在检测实践中最主要操作对象便是网络数据包，因此对特征设立应建立在保证数据包测试有效性、准确性、判断接收高效性基础上。同时，由于网络漏洞种类繁多、千差万别，因此对漏洞既定特征码提取准确性十分重要，它是分析漏洞、获取信息关键前提。而漏洞扫描过程则通过分析、建立漏洞特征信息库从而达到维护更新科学目。我们可遵循网络漏洞数据标准并采用科学扫描代码分离技术构建网络漏洞特征库。
　　（四）病毒防范
　　为了避免病毒入侵，可采用多层病毒防卫体系。即在每台PC 机上安装单机版反病毒软件，在网关上安装基于服务器反病毒软件。考虑到病毒在网络中存储、传播、感染方式各异且途径多种多样，故相应地在构建网络病毒系统时，应利用全方位企业防毒产品，实施“防杀结合”策略。
　　五、结束语
　　当今信息化时代里，网络开放性和共享性在方便人们同时，也使得网络易受黑客、怪客、恶意软件和其他不轨攻击，存在诸如数据被人窃取，服务器不能提供服务等等网络安全漏洞。漏洞存在，使得安全任务在网络时代变得无比艰巨。网络机房安装操作系统大多是WINDOWS，受机房系统不能及时在机房上课，为降低计算机中病毒和黑客入侵可能性，有时不需要开更新限制，其存在系统漏洞已成为网络攻击一大目标，而计算机病毒、通网络就应及时将网络关闭。木马病毒更新层出不穷，它入侵对计算机系统安全造成了极大威胁。计算机病毒一旦发作轻则破坏文件，影响系统正常运行，重则感染整个机基本维修工具应配备齐全，一般故障应能够及时排除。不使用来历不明软件，也不使用非法解密或复制软件；对游正安全地游弋于网络世界。戏程序要严格控制；网络上计算机用户，要遵守网络使用规定，随意在网络上使用外来软件。安装一个具备实时拦截电子邮件病毒和恶意
　　因此，通过对计算机网络存在安全漏洞分析，并探究其防范对策已成为网络安全研究领域内重要课题。面对日益严峻网络安全漏洞问题，应通过严格访问控制、漏洞扫描、防火墙安装及病毒防范策略来实时地保证信息完整性和正确性，为网络提供强大安全服务。在信息高速路持续提速发展今天，我们如何能构建高效、安全、稳定网络运行环境、如何采取有效防范措施监控漏洞、分析漏洞、杜绝漏洞攻击，最重要就是提高网络安全防范重视力度，用科学防火墙技术、网络漏洞攻击检测分析技术配合专用虚拟网络，设立权限访问控制，才能构建安全网络信息运营环境，从而使高科技网络信息技术强化网络自检、自查、自我强化综合防范能力。
　　参考文献：
　　[1]王文寿,王珂.网管员必备宝典[J].清华大学出版社,2006
　　[2]刘清山.网络安全措施[J].电子工业出版社,2000
　　[3]张冬梅.网络信息安全威胁与防范[J].湖南财经高等专科学校学报,2002
　　[4]谢希仁.计算机网络[J].大连理工大学出版社,2000.1258
　　[5]闰美凤.策略驱动可扩展网络漏洞扫描研究[M]．
　　[6]李敏,王颖.Visual Basic+Access数据库应用实例完全解析[J].人民邮电出版社,2006
　　[7]贾冰.计算机网络安全漏洞及应对措施[J].科技信息(学术研究),2007(19)
　　[8] 张旭伟,翁明江.网络安全漏洞研究及其防护[J].黑龙江科技信息,2007(5)
　　[9]郑晶.计算机软件漏洞与防范措施研究[J].吉林农业科技学院学报，2010(2)
　　[10]朱咆玲.计算机安全漏洞研究[J].通信市场，2009（7）.计算机网络安全漏洞及防范措施研究

转载注明来源:https://www.xzbu.com/8/view-1683587.htm