竇喜靖 田超

(河南省地質(zhì)高級技工學(xué)校,河南鄭州 450000)

淺談計算機(jī)網(wǎng)絡(luò)安全漏洞及防范措施

竇喜靖 田超

(河南省地質(zhì)高級技工學(xué)校,河南鄭州 450000)

計算機(jī)網(wǎng)絡(luò)安全漏洞及防范是網(wǎng)絡(luò)時代必須重視和解決的任務(wù),也是當(dāng)前計算機(jī)研究的重點和熱點領(lǐng)域。文章首先介紹了網(wǎng)絡(luò)安全漏洞中的兩個主要漏洞類型:操作系統(tǒng)或鏈路連接漏洞和TCP/IP協(xié)議及安全策略的漏洞,并根據(jù)網(wǎng)絡(luò)安全漏洞從訪問控制、安裝防火、漏洞掃描技術(shù)三個角度提出計算機(jī)網(wǎng)絡(luò)安全漏洞防范措施。

計算機(jī)網(wǎng)絡(luò) 安全漏洞 防范措施

網(wǎng)絡(luò)具有的高開放性和高共享性特點讓人們獲得了更加方便、快捷的上網(wǎng)體驗。但是由于自身不完善,計算機(jī)網(wǎng)絡(luò)存在許許多漏洞,導(dǎo)致網(wǎng)絡(luò)容易受到黑客或惡意軟件的攻擊,造成個人信息和其它重要數(shù)據(jù)丟失或被切取。而服務(wù)器本身不提供網(wǎng)絡(luò)安全服務(wù),導(dǎo)致所有計算機(jī)網(wǎng)絡(luò)用戶都棉鈴計算機(jī)網(wǎng)絡(luò)安全漏洞風(fēng)險,做好計算機(jī)網(wǎng)絡(luò)安全漏洞的防范措施也成為網(wǎng)絡(luò)時代的艱巨任務(wù)[1]。

1 計算機(jī)網(wǎng)絡(luò)安全漏洞種類

1.1 操作系統(tǒng)或鏈路連接漏洞

計算機(jī)操作系統(tǒng)是計算機(jī)用戶之間實現(xiàn)交互的統(tǒng)一平臺,操作系統(tǒng)為用戶提供了功能多樣的應(yīng)用以滿足用戶的需求,它方便了用戶上網(wǎng)操作,提高了上網(wǎng)的體驗。但是操作系統(tǒng)難以避免漏洞的出現(xiàn),兼容性和設(shè)計性能再強(qiáng)的操作系統(tǒng)也會存在漏洞。操作系統(tǒng)提供的應(yīng)用越多,操作系統(tǒng)存在的漏洞也就越多,操作系統(tǒng)遭到漏洞攻擊的幾率也越高。此外,操作系統(tǒng)服務(wù)的時間越長,操作系統(tǒng)漏洞被暴露的幾率也會大大增加。此外,計算機(jī)在服務(wù)員興中需要通過鏈路實現(xiàn)網(wǎng)絡(luò)互通功能,鏈路的存在也給黑客或惡意軟件等外在因素發(fā)動攻擊的渠道,對物理層表述、互通協(xié)議、會話數(shù)據(jù)鏈以及鏈路連接等攻擊也必然會產(chǎn)生。

1.2 TCP/IP協(xié)議及安全策略的漏洞

網(wǎng)絡(luò)通信要實現(xiàn)運行通暢,必須建立在高效的支持協(xié)議基礎(chǔ)上,但是TCP/IP協(xié)議自身存在缺陷,而且TCP/IP存在的缺陷缺少科學(xué)鑒別原地址的控制機(jī)制,既TCP/IP協(xié)議無法確認(rèn)IP地址。而黑客可利用偵聽方式劫持用戶數(shù)據(jù),并推測出數(shù)據(jù)的序列號,再修改路由地理,導(dǎo)致TCP/IP協(xié)議鑒別過程被黑客的數(shù)據(jù)流充斥[2]。此外,端口開放功能是計算機(jī)系統(tǒng)提供的各項服務(wù)的充分條件,例如開放80端口后HTTP服務(wù)器才能發(fā)揮功能,開放25端口后計算機(jī)則可以提供SMTP服務(wù)。端口的存在也攻擊給計算機(jī)網(wǎng)絡(luò)帶來了可乘之機(jī)。而且建立防火墻的方式不能有效的防御針對端口的攻擊,尤其是針對隱蔽隧道、開放服務(wù)流入數(shù)據(jù)以及軟件缺陷的攻擊,防火墻更是素手無策。

2 計算機(jī)網(wǎng)絡(luò)安全防范措施

2.1 訪問控制

防火墻技術(shù)可分為包過濾技術(shù)和狀態(tài)檢測及服務(wù)器代理技術(shù),包過濾技術(shù)是早期防火墻具備的技術(shù),它需要依據(jù)路由器來實施各項網(wǎng)絡(luò)保護(hù)功能,而且具有一定地篩選協(xié)議和地址的以及高透明度服務(wù)功能[3]。但是,包過濾技術(shù)也有較大的局限性。例如,包過濾技術(shù)防范地址欺騙的能力不高,執(zhí)行安全策略的效率低等。代理服務(wù)器技術(shù)可直接實現(xiàn)應(yīng)用程序之間的連接,分析接收的數(shù)據(jù)表,設(shè)定一定的訪問控制。代理服務(wù)器技術(shù)可自由且安全的控制進(jìn)程流量,并生成相應(yīng)的記錄。同時代理服務(wù)器技術(shù)具備的透明加密機(jī)制還能與其它安全防控方式有效集成。但是自身特點也決定服務(wù)器代理技術(shù)會對用戶使用過程造成一定的限制,底層代理安全性能容易失控而難以控制。

防火墻主要發(fā)揮方訪問控制的作用,而訪問控制是計算機(jī)網(wǎng)絡(luò)安全方法和保護(hù)的主要策略,它可有效保證網(wǎng)絡(luò)資源不被非法訪問和非法使用。防火墻的訪問控制作用主要通過入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級安全控制以及屬性安全控制去實現(xiàn)作用。入網(wǎng)訪問控制主要通過控制非法用戶登錄服務(wù)器獲取資源,以及防止非法用戶修改或使用數(shù)據(jù)。此外,入網(wǎng)訪問控制還能控制用戶入網(wǎng)時間以及入網(wǎng)的工作站;網(wǎng)絡(luò)權(quán)限控制主要賦予用戶和用戶組特定的權(quán)限,讓用戶在權(quán)限范圍內(nèi)訪問數(shù)據(jù)和資源,以及限定用戶對數(shù)據(jù)和資源的操作權(quán)限;目錄及安全控制是允許控制用戶對目錄、文件和設(shè)備的訪問,用戶的操作權(quán)取決于用戶受托者的指派;屬性安全控制是指管理員制定需要使用的文件或設(shè)備的訪問屬性,屬性安全控制可提高權(quán)限安全控制的安全屬性。

2.2 安裝防火墻

完善的網(wǎng)絡(luò)漏洞特征庫包括網(wǎng)絡(luò)漏洞特征信息庫和漏洞驗證準(zhǔn)確性,它是計算機(jī)網(wǎng)絡(luò)安全漏洞防范的重要保證。針對網(wǎng)絡(luò)安全中存在的漏洞,需要賦予漏洞相應(yīng)的特征碼。而且由于檢測實踐中將網(wǎng)絡(luò)數(shù)據(jù)包作為主要的操作對象,因而在賦予安全漏洞的特征碼必須建立在數(shù)據(jù)包測試有效、準(zhǔn)確以及高效判斷接受的基礎(chǔ)上[4]。此外,由于漏洞的數(shù)量和種類繁多,準(zhǔn)確提取特征碼也具有總要的作用,它可以為快速準(zhǔn)確地分析漏洞做好鋪墊。漏洞掃描過程則可以通過分析并建立新的漏洞特征信息庫的方式實現(xiàn)維護(hù)和更新。

2.3 完善漏洞掃描技術(shù)

掃描技術(shù)的原理依據(jù)網(wǎng)絡(luò)環(huán)境錯誤注入方式模擬攻擊行為,再探測系統(tǒng)中是否不合法信息或合法數(shù)據(jù)回應(yīng),通過回應(yīng)結(jié)果發(fā)現(xiàn)漏洞。因此,可以先通過分析網(wǎng)絡(luò)漏洞的方式去檢測是否存在入侵攻擊。首先,在主機(jī)端口建立連接,向服務(wù)器展開請求申請。在觀察主機(jī)應(yīng)答方式的同時收集主機(jī)信息系統(tǒng)的變化情況,再根據(jù)主機(jī)反映結(jié)果以及信息系統(tǒng)變化發(fā)現(xiàn)漏洞。模擬攻擊可以逐項和逐條檢查系統(tǒng)中漏洞,并且讓漏洞完全顯現(xiàn),常用模擬攻擊方法有緩沖區(qū)溢出和DOS攻擊兩種[5]。漏洞掃描系統(tǒng)是依據(jù)掃描技術(shù)為基礎(chǔ)的、自動檢測本地或遠(yuǎn)程主機(jī)安全漏洞的程序,它能發(fā)現(xiàn)主機(jī)安全性中的薄弱環(huán)節(jié),網(wǎng)絡(luò)管理員通過漏洞掃描系統(tǒng)可及時發(fā)現(xiàn)安全漏洞,并采取措施及時打補丁,修補漏洞,提高網(wǎng)絡(luò)安全性能。

3 結(jié)語

計算機(jī)網(wǎng)絡(luò)安全漏洞的類型多種多樣,安全防范也需要根據(jù)設(shè)計情況做出具體的措施,才能達(dá)到細(xì)致且全面的多級防范。同時用戶還需要規(guī)范自身的上網(wǎng)行為,綠色上網(wǎng)。養(yǎng)成安全殺毒軟件、更新升級軟件的習(xí)慣,做到提前防范安全漏洞。

[1]肖鏃.關(guān)于計算機(jī)網(wǎng)絡(luò)安全與防范的研究與探討[J].計算機(jī)光盤軟件與應(yīng)用,2012,(3).

[2]彭軍飛.淺談計算機(jī)網(wǎng)絡(luò)安全漏洞及防范措施[J].職業(yè),2012, (12).

[3]林范龍.淺談計算機(jī)網(wǎng)絡(luò)安全隱患問題和防范措施[J].數(shù)字技術(shù)與應(yīng)用,2012,(3).

[4]楊梅.計算機(jī)網(wǎng)絡(luò)安全漏洞及防范措施初探[J].數(shù)字技術(shù)與應(yīng)用, 2012,(6).

[5]王向輝.計算機(jī)網(wǎng)絡(luò)安全攻擊的手段和安全防范措施[J].計算機(jī)光盤軟件與應(yīng)用,2013,(8).

竇喜靖(1987—),男,河南省鄭州市人,工作單位:河南省地質(zhì)高級技工學(xué)校,職務(wù):助理講師,研究方向:主要從事教學(xué)及地質(zhì)勘查、地質(zhì)科研等方面的工作。