黃日晴

摘 要 人們通過計(jì)算機(jī)網(wǎng)絡(luò)享受著各種便利，隨之而來的網(wǎng)絡(luò)安全問題也讓人無限擔(dān)憂。由于我國國內(nèi)計(jì)算機(jī)主流操作平臺(tái)系統(tǒng)的功能復(fù)雜，而沒有開放源代碼，不能實(shí)現(xiàn)安全的檢測(cè)驗(yàn)證。而目前所使用的計(jì)算機(jī)網(wǎng)絡(luò)通信協(xié)議大多都由國外開發(fā)，在可靠性方向持有保留態(tài)度。因此，在計(jì)算機(jī)網(wǎng)絡(luò)安全方面的漏洞也是一個(gè)比較嚴(yán)重的現(xiàn)實(shí)問題。本文通過分析計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀，提出一些拙見。

關(guān)鍵詞 計(jì)算機(jī) 網(wǎng)絡(luò) 安全漏洞 解決措施

中圖分類號(hào)：TP393.08文獻(xiàn)標(biāo)識(shí)碼：A

Computer Network Security Vulnerabilities and Solutions

HUANG Riqing

(Guangdong AIB Polytechnic, Guangzhou, Guangdong 510663)

Abstract Through the computer network, people enjoy a variety of convenience, and network security issues followed by also make people worry a lot. Due to the complexity of China's domestic computer mainstream platform function of the system, but not open source, can not achieve the safety testing and certification. Computer network communication protocol used mostly by foreign development, have reservations about the direction of reliability. Therefore, in computer network security vulnerability is a serious practical problems. In this paper, by analyzing the status of the computer network security, to make some humble opinion.

Key words computer; network; secruity vulnerability; solution

1 計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞

1.1 成因

1.1.1 操作系統(tǒng)本身漏洞和鏈路的連接漏洞

計(jì)算機(jī)網(wǎng)絡(luò)由于需要給用戶提供各種便利，那么就需要它在操作系統(tǒng)上擁有一個(gè)統(tǒng)一的用戶交互平臺(tái)，能夠全方位多角度的支持各種所需功用。而計(jì)算機(jī)網(wǎng)絡(luò)的功能越強(qiáng)大，就表明它交互平臺(tái)的網(wǎng)就撒得更大，那么它存在的漏洞也就越多，所以會(huì)更有可能受到攻擊。一個(gè)平臺(tái)的建立不可能是暫時(shí)性的，也不可能是永遠(yuǎn)都固定不變的，那么它在這種長(zhǎng)久的存在與優(yōu)化升級(jí)的過程中就會(huì)遭受更多的暴露與攻擊。在計(jì)算機(jī)的服務(wù)運(yùn)行過程中，網(wǎng)絡(luò)互通的功能需要由鏈路連接來實(shí)現(xiàn)。那么有了連接，就仿佛給攻擊搭了一座橋。而這些攻擊包括對(duì)鏈路連接本身的攻擊、對(duì)物理層表述的攻擊以及對(duì)互通協(xié)議的攻擊等等。

1.1.2 TCP/IP協(xié)議漏洞和安全策略方面的漏洞

應(yīng)用協(xié)議可以高效支持網(wǎng)絡(luò)通信順暢，但是TCP/IP固有缺陷決定了源地址無法得到相應(yīng)控制機(jī)制的科學(xué)鑒別。一旦IP地址無從確認(rèn)，黑客就可以從中截取數(shù)據(jù)，以篡改原有的路由地址。在計(jì)算機(jī)系統(tǒng)中，響應(yīng)端口開放支持了各項(xiàng)服務(wù)正常運(yùn)轉(zhuǎn)，但是這種開放依然給各種網(wǎng)絡(luò)的攻擊制造了便利?；蛟S有人說防火墻可以阻止其的進(jìn)攻，但是如今防火墻對(duì)于開放的流入數(shù)據(jù)攻擊依然束手無策。

1.2 檢測(cè)方法

（1）配置文件檢測(cè)。一般來說，系統(tǒng)運(yùn)行的不安全配置主要是由于配置文件的缺失或是過于復(fù)雜，而關(guān)于配置文件漏洞的查找則需要讀取并解釋來完成。當(dāng)系統(tǒng)文件的配置影響到系統(tǒng)的功能運(yùn)行時(shí)，用戶需要及時(shí)的找出這個(gè)錯(cuò)誤并且糾正過來。由于某些錯(cuò)誤配置只能在遭受攻擊后方能看到，由此對(duì)配置文件進(jìn)行檢測(cè)會(huì)有效地降低漏洞的風(fēng)險(xiǎn)。

（2）文件內(nèi)容與保護(hù)機(jī)制檢測(cè)。一般來說，特洛伊木馬喜歡植入系統(tǒng)工具和命令文件，特別是命令文件中的啟動(dòng)腳本文件。因此在對(duì)這些文件進(jìn)行檢測(cè)時(shí)，可以設(shè)置唯有訪問權(quán)限的用戶才能啟動(dòng)或是修改。而對(duì)文件內(nèi)容進(jìn)行安全檢測(cè)的第一步是檢測(cè)訪問控制設(shè)置。然后由于訪問控制機(jī)制的復(fù)雜性，導(dǎo)致這種檢測(cè)的功效并不十分明顯。

（3）錯(cuò)誤修正檢測(cè)。大多攻擊會(huì)利用操作系統(tǒng)的這些錯(cuò)誤來破解系統(tǒng)進(jìn)入權(quán)限，所以需要開發(fā)出補(bǔ)丁程序來修正這些錯(cuò)誤。若是補(bǔ)丁程序沒有得到及時(shí)的安裝，那么這種錯(cuò)誤修正就可以利用檢驗(yàn)程序來完成。對(duì)于系統(tǒng)的這種檢測(cè)而言，既可以是自動(dòng)的也可以是手動(dòng)的。被動(dòng)型通過版本號(hào)和校驗(yàn)等來檢測(cè)補(bǔ)丁程序的安裝與否，而主動(dòng)型則是通過檢測(cè)來找出錯(cuò)誤。

（4）差別檢測(cè)。這是一種被動(dòng)的檢測(cè)方法，它需要有一個(gè)基準(zhǔn)時(shí)間，但是在文件被改過之后，它實(shí)際上是忽略了時(shí)間和日期的，由此可能出現(xiàn)造假的情況。而且它并不能阻止程序已經(jīng)被更改的部分，只能檢測(cè)其是否被更改。正是由于差別檢測(cè)的這些特點(diǎn)，也就需要進(jìn)行經(jīng)常性的檢查。而文件的檢測(cè)程度直接和基準(zhǔn)的有效性掛鉤。

1.3 掃描技術(shù)

（1）基于主機(jī)。安裝一個(gè)服務(wù)或者代理于目標(biāo)系統(tǒng)上，為了便于漏洞掃描系統(tǒng)的直接訪問。掃描系統(tǒng)（下轉(zhuǎn)第143頁）（上接第107頁）對(duì)計(jì)算機(jī)進(jìn)行全面掃描之后，可以對(duì)全盤系統(tǒng)進(jìn)行分析，找出更多系統(tǒng)漏洞。此種掃描主要是對(duì)系統(tǒng)設(shè)置、注冊(cè)表以及應(yīng)用軟件等的掃描，中心服務(wù)器可以接收這些反饋信息，利用控制平臺(tái)來處理。在這種掃描技術(shù)中，需要有用戶代理、中心服務(wù)器和漏洞的掃描控制平臺(tái)來組成。控制平臺(tái)可以接收用戶的掃描指令，中心服務(wù)器來響應(yīng)這些指令，而用戶代理來執(zhí)行這些指令，三者相互合作，掃描出計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞。

（2）基于網(wǎng)絡(luò)。這種基于網(wǎng)絡(luò)的掃描技術(shù)主要是查找網(wǎng)絡(luò)服務(wù)協(xié)議的漏洞，基于Internet的遠(yuǎn)程檢測(cè)，它以一個(gè)外部攻擊者的角度來掃描不同端口以及服務(wù)架構(gòu)?；诰W(wǎng)絡(luò)的掃描技術(shù)需要通過分析比對(duì)掃描日志來得出是否被漏洞侵蝕的結(jié)論。在這種比對(duì)中，就可以有效的發(fā)現(xiàn)和清除協(xié)議漏洞。而完整的網(wǎng)絡(luò)漏洞掃描大體可以分為三步走。首先是發(fā)現(xiàn)存在于主機(jī)或者網(wǎng)絡(luò)中目標(biāo)；其次進(jìn)一步的搜索已發(fā)現(xiàn)的目標(biāo)信息，比如說操作系統(tǒng)的類型和服務(wù)軟件的版本等。若是漏洞目標(biāo)是網(wǎng)絡(luò)，則可以跟蹤網(wǎng)絡(luò)的路由設(shè)備等；最后是根據(jù)已得到的掃描信息來測(cè)評(píng)是否存有漏洞。

2 解決措施

2.1 利用防火墻

防火墻技術(shù)主要包括過濾技術(shù)、服務(wù)器代理技術(shù)和狀態(tài)檢測(cè)技術(shù)等。過濾技術(shù)是比較早的防火墻技術(shù)，它實(shí)施網(wǎng)絡(luò)保護(hù)是通過路由器來實(shí)現(xiàn)的，能夠篩選地址和協(xié)議，但是前面我們提到它不能有效防范欺騙地址，在進(jìn)行安全策略的執(zhí)行時(shí)，也存在著某些局限。而代理服務(wù)器直接與用戶相連，能夠提供訪問控制。能夠自如、安全的控制進(jìn)程與流量，并且透明加密。但是由于它的針對(duì)性太強(qiáng)，也就注定了需要具體問題具體分析，代理服務(wù)不同，也就需要不同的服務(wù)器來解決。以上兩者的不足正好被狀態(tài)檢測(cè)技術(shù)來彌補(bǔ)了，它能夠轉(zhuǎn)化各個(gè)元素物，形成一個(gè)數(shù)據(jù)流的整體，最終形成的連接狀態(tài)的數(shù)據(jù)表比較完善，并且對(duì)連接狀態(tài)也能夠進(jìn)行有效的監(jiān)控?；诖说母母?，方能使防火墻技術(shù)得到更加的完善。

2.2 利用掃描技術(shù)

一旦網(wǎng)絡(luò)環(huán)境發(fā)生錯(cuò)誤，網(wǎng)絡(luò)漏洞便可趁虛而入。利用這種漏洞缺陷，提出利用掃描技術(shù)來進(jìn)行網(wǎng)絡(luò)漏洞的防范，可以將漏洞扼殺在萌芽狀態(tài)，最終消滅漏洞。而在掃描之后，通過檢測(cè)不合法的信息則可以實(shí)現(xiàn)漏洞的掃描。在主機(jī)端口通過建立連接，申請(qǐng)服務(wù)器展開請(qǐng)求。與此同時(shí)，觀察主機(jī)以何種方式來應(yīng)答，并且收集系統(tǒng)變化信息，通過結(jié)果來反監(jiān)測(cè)。

2.3 完善網(wǎng)絡(luò)漏洞信息庫

完善網(wǎng)絡(luò)信息庫可以高效的保護(hù)網(wǎng)絡(luò)漏洞，若是每個(gè)網(wǎng)絡(luò)的漏洞都有其不同的特征碼，那么在檢測(cè)時(shí)我們可以通過檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)包，從而測(cè)試數(shù)據(jù)的準(zhǔn)確性和有效性。另外，網(wǎng)絡(luò)漏洞種類繁多，而且千差萬別，在進(jìn)行網(wǎng)絡(luò)漏洞修復(fù)時(shí)，提取的漏洞代碼是否準(zhǔn)確至關(guān)重要。漏洞數(shù)據(jù)庫的維護(hù)更新可以通過分析漏洞，并且建立數(shù)據(jù)庫的特征庫來達(dá)到。在對(duì)數(shù)據(jù)庫漏洞進(jìn)行分析之后，也就可以及時(shí)查找網(wǎng)絡(luò)漏洞，建立標(biāo)準(zhǔn)而標(biāo)準(zhǔn)的漏洞掃描代碼。在對(duì)于數(shù)據(jù)庫的設(shè)計(jì)方面，一個(gè)完整的網(wǎng)絡(luò)漏洞數(shù)據(jù)庫的設(shè)計(jì)應(yīng)該包括漏洞的各個(gè)完整信息，對(duì)于漏洞的特征掃描以及端口信息等都應(yīng)該有相應(yīng)的數(shù)據(jù)分析。對(duì)于解決方式以及評(píng)估體系，特征木馬的匹配狀況都要詳細(xì)解釋和說明。

3 結(jié)語

如今信息技術(shù)告訴發(fā)展，計(jì)算機(jī)成為人們?nèi)粘Ｉ詈凸ぷ髦胁豢苫蛉钡囊徊糠?，網(wǎng)絡(luò)信息技術(shù)的安全與否也顯得尤為重要。建立一個(gè)安全有效而且穩(wěn)定的網(wǎng)絡(luò)系統(tǒng)，是每個(gè)計(jì)算機(jī)用戶的共同愿望。對(duì)網(wǎng)絡(luò)漏洞進(jìn)行及時(shí)的檢測(cè)與掃描，通過分析漏洞、查找漏洞來解決漏洞、防范漏洞。

參考文獻(xiàn)

[1] 王志軍.對(duì)當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用安全現(xiàn)狀與策略研究[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2011(14).

[2] 張達(dá)聰.鄒議計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞及防范措施[J].硅谷,2011(7).

[3] 石瑋.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全與防御技術(shù)[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2010(13).

[4] 許寧,李曄.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全防范技術(shù)[J].硅谷,2010(16).

[5] 劉春曉.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全防范技術(shù)[J].科技資訊,2009(35).