文/胡彬 孫軍

新形勢下計算機網(wǎng)絡漏洞的防范

文/胡彬 孫軍

在新形勢下計算機信息技術得到快速發(fā)展，人類已經(jīng)進入了計算機網(wǎng)絡信息社會。計算機網(wǎng)絡信息安全關系著人們的正常生活和個人隱私，甚至關系到國家軍事安全。本文首先對計算機網(wǎng)絡漏洞定義進行了介紹，并分析和總結了目前常見的計算機網(wǎng)絡漏洞攻擊類型和原理，最后提出了一些計算機網(wǎng)絡漏洞的防范措施，本文的研究結果有望提高日常計算機網(wǎng)絡使用的安全性，避免因為計算機網(wǎng)絡攻擊造成損失。

計算機 網(wǎng)絡漏洞 原理 防范措施網(wǎng)絡安全

進入二十一世紀以來，計算機技術得到了迅速發(fā)展，同時網(wǎng)絡技術也迅猛發(fā)展，人類已經(jīng)開始進入了一種網(wǎng)絡信息化社會，各種線上購物、網(wǎng)絡交易、工業(yè)控制、各類軍事用途等都已經(jīng)和人類的生活密不可分，網(wǎng)絡信息的安全性也越來越受到人們的關注。我國在計算機網(wǎng)絡安全信息方向起步較晚，相關人才也比較缺乏。在新形勢下研究計算機網(wǎng)絡漏洞的基本信息，并針對這些漏洞作出一些必要的防范措施，對于保障網(wǎng)絡信息的安全性有著非常重要的意義。

1 計算機網(wǎng)絡漏洞定義以及常見漏洞攻擊類型

1.1 計算機網(wǎng)絡漏洞定義

當今計算機網(wǎng)絡漏洞都是伴隨著操作系統(tǒng)而來的，而目前應用最多的則是微軟的WINDOWS系統(tǒng)，其次則是LINUX、iOS等系統(tǒng)，LINUX和iOS系統(tǒng)雖然在市場上占有份額較少，但是其漏洞相對較少，因而在使用上也較為安全。應用最多的WINDOWS系統(tǒng)目前已經(jīng)發(fā)展到WINDOWS 10,但是市場上仍然有很多XP、WINDOWS7等操作系統(tǒng)，這些系統(tǒng)在開發(fā)出來之初就有很多漏洞，因而在對外訪問網(wǎng)絡時很多計算機病毒和木馬就可以利用這些漏洞對計算機進行攻擊，盜取或者破壞個人隱私信息。

對于計算機網(wǎng)絡漏洞的定義比較寬泛，目前國內(nèi)外學者普遍認為，計算機網(wǎng)絡漏洞是一種在計算機網(wǎng)絡中長期存在，且可以被人或者程序利用進而不斷損害計算機系統(tǒng)中的數(shù)據(jù)的因素。網(wǎng)絡漏洞不僅僅是指計算機軟件設計上存在的漏洞，如WINDOWS系統(tǒng)中的一些固定漏洞，而且還包括了硬件以及網(wǎng)絡通信協(xié)議中的一些缺陷。這些缺陷可以被人或者程序利用進而破壞計算機系統(tǒng)或者信息安全。如很多系統(tǒng)在初始化設置時默認系統(tǒng)賬戶用戶名和密碼，這些用戶名和密碼是固定的，如果不進行修改就有可能被攻擊者所利用。

1.2 常見網(wǎng)絡漏洞攻擊類型

網(wǎng)絡漏洞廣泛存在于計算機網(wǎng)絡中，攻擊者可以利用這些漏洞并制作相應的攻擊工具來對網(wǎng)絡進行攻擊，這些攻擊會對用戶造成極大損失，因而，了解常見的網(wǎng)絡漏洞攻擊類型以及攻擊原理對于防范網(wǎng)絡漏洞具有非常重要的意義。圖1為常見網(wǎng)絡漏洞攻擊類型的百分比分布圖，從中可以看出，計算機病毒、木馬和蠕蟲病毒攻擊占據(jù)了絕大多數(shù)。

圖1：各類計算機網(wǎng)絡攻擊比例

1.2.1 計算機木馬、病毒、蠕蟲等

計算機木馬、病毒以及蠕蟲從計算機以及互聯(lián)網(wǎng)出現(xiàn)以來就一直存在，且傳播速度快、不容易被識別、造成的危害大。雖然目前的殺毒系統(tǒng)能夠防范大部分的計算機木馬和病毒，但是隨著這些木馬和病毒的不斷變異，仍然是目前最為常見的攻擊方式。

1.2.2 拒絕服務攻擊

拒絕服務攻擊是目前非常常見的一種攻擊方法，一般攻擊者會首先利用探測攻擊探測目前主機是否存在可利用端口，然后通過DOS工具在短時間內(nèi)向其發(fā)送大量數(shù)據(jù)包，從而造成目標主機癱瘓。這主要利用了TCP/ IP協(xié)議的漏洞，目前攻擊者使用較多的有電子郵件炸彈、UDP Flood以及SYN Flood等，并且已經(jīng)發(fā)展出了分布式DOS攻擊，攻擊者可以利用其控制的多臺計算機（“肉雞”）對目標電腦進行持續(xù)攻擊，非常容易造成主機癱瘓。

1.2.3 欺騙類攻擊

欺騙類攻擊主要是利用計算機網(wǎng)絡的參與者自身大意，同時利用計算機網(wǎng)絡協(xié)議的漏洞，偽造計算機地址、網(wǎng)址、報文等，將這些發(fā)送給目標主機，目標主機在接收這些偽造后的報文后會導致目標主機作出錯誤判斷。同時攻擊者會根據(jù)情況打開一些端口或者增加一些計算機管理員，以方便下次非法進入。另外還有一些欺騙類攻擊會占用主機的資源，如IP欺騙通過偽造IP向目標主機發(fā)送網(wǎng)絡通信請求，主機需要辨別這些網(wǎng)絡請求，但是由于網(wǎng)絡IP是虛假的，因而會反復重復多次進行確認，因而會占用系統(tǒng)大量資源，導致系統(tǒng)卡頓。

1.2.4 緩沖區(qū)溢出攻擊

緩沖區(qū)溢出攻擊主要是利用一些網(wǎng)絡軟件中的漏洞，向一些軟件發(fā)送非常長的信息，由于網(wǎng)絡軟件緩沖區(qū)有限，因而會導致緩沖區(qū)溢出，進而程序運行失敗或者計算機死機。同時攻擊者還可以利用這些漏洞向目標主機發(fā)送指令或者留下漏洞，以便下一次繼續(xù)入侵。在目前使用的WINDOWS系統(tǒng)以及各類軟件中廣泛存在著緩沖區(qū)溢出漏洞，這些漏洞的危害非常大，但是目前還沒有引起足夠的重視。對于緩沖區(qū)溢出攻擊不僅要求用戶在平時有良好的計算機使用習慣，還要求軟件的開發(fā)者盡可能的對軟件進行合理測試，以防止攻擊者利用這些漏洞進行攻擊。

1.2.5 程序錯誤攻擊

同前面幾種計算機網(wǎng)絡漏洞攻擊一樣，程序錯誤攻擊也廣泛存在于計算機網(wǎng)絡中，這主要是由于計算機網(wǎng)絡的協(xié)議還不夠完善，而且很多服務器上的服務程序也不夠完美，人們在使用計算機網(wǎng)絡時，都是將數(shù)據(jù)包通過協(xié)議打包發(fā)送到服務器，再由服務器轉發(fā)出去，但是攻擊者可以利用這些漏洞向服務器發(fā)送一些垃圾數(shù)據(jù)或者錯誤數(shù)據(jù)，服務器無法辨別這些數(shù)據(jù)是否需要處理，因而很多主機或者服務器的資源都會被占用，網(wǎng)絡會發(fā)生擁堵。歷史上非常有名的沖擊波病毒就是一種程序錯誤攻擊，這種攻擊方法主要是利用WINDOWS NT系統(tǒng)的RPC服務的任意代碼可執(zhí)行漏洞，這類攻擊方法只能使用防火墻和殺毒軟件，盡量切斷數(shù)據(jù)包發(fā)送途徑。

1.2.6 后門攻擊

后門攻擊的最大危害在于攻擊者利用后門攻擊目標主機后極有可能在主機上留有若干后門，這些后門會被越來越多的攻擊者利用，從而使得目標主機變?yōu)椤叭怆u”，也就是傀儡機，在攻擊者需要時，會利用很多“肉雞”來對其他的計算機進行攻擊，“肉雞”就像攻擊者的后花園一樣，攻擊者想來就來，想走就走，因而對計算機以及使用者而言造成非常大的危害。后門攻擊經(jīng)常利用在電子郵件或者網(wǎng)址中混有木馬，誘騙主機操作者打開后即可獲取主機的控制權。這類攻擊方法需要規(guī)范自身的計算機使用習慣，并定時查殺木馬病毒。

2 計算機網(wǎng)絡漏洞防范研究

以上對計算機網(wǎng)絡漏洞以及攻擊原理進行了簡要介紹，可以發(fā)現(xiàn)計算機網(wǎng)絡漏洞對于計算機使用者來說造成了非常大的威脅，而二十一世紀是信息社會，網(wǎng)絡信息安全和人們生活的聯(lián)系也越來越密切。為了盡量減少計算機網(wǎng)絡漏洞的危害，對計算機網(wǎng)絡漏洞進行合理防范就顯得非常有必要了。在防范措施上，主要從物理安全、訪問安全策略以及網(wǎng)絡協(xié)議方向入手，針對常見的網(wǎng)絡漏洞進行防范。

2.1 物理安全策略

計算機網(wǎng)絡非常依賴于計算機的安全，對于計算機網(wǎng)絡漏洞的防范首要保護計算機主機系統(tǒng)、服務器的硬件設施等，有一些風險是無法消除的，如自然災害以及其他的一些不可抗力因素，但是總體來說應當將這些物理硬件設施放置在安全、不容易受侵害的場所。

除此之外，還需要保證計算機的使用上排除其他可疑人員的干擾，包括計算機系統(tǒng)應當具有能夠驗證用戶身份的能力，確保使用者具有足夠權限，對于其他一些重要的計算機系統(tǒng)而言，在防范上還應當做好計算機使用記錄，以盡可能保障計算機的使用安全。

2.2 訪問安全策略

為計算機使用者設置合適的訪問安全策略可以有效保證計算機網(wǎng)絡的安全性，并且可以盡可能低的保證網(wǎng)絡資源不被他人占用和非法方位。作為計算機網(wǎng)絡安全的重要策略之一，訪問安全策略包括了防火墻控制、服務器安全控制、權限控制以及入網(wǎng)訪問控制等。其中對防火墻進行控制是一道堅實的屏障，防火墻可以有效過濾一些非法信息，并且針對一些非法訪問可以直接拒絕，因而，對防火墻進行控制時訪問安全策略的第一步。對于服務器安全的控制則包括了服務器系統(tǒng)備份以及信息加密。服務器系統(tǒng)備份是保證服務器數(shù)據(jù)在遭受到外界物理因素或者非法攻擊時能夠及時恢復數(shù)據(jù)的方法。而信息加密則是為了保障數(shù)據(jù)傳輸?shù)陌踩?，并且在密碼級別上根據(jù)自身需求進行選擇，可以選擇rsa，rabin等密碼對數(shù)據(jù)進行加密。在權限控制上主要是對計算機使用的權限控制以及文件操作的權限控制，WINDOWS系統(tǒng)本身有很多對于權限的默認屬性，這些屬性通常都被攻擊者所熟知，如果不對這些權限進行改動，那么就非常有可能被攻擊者利用，而且很多網(wǎng)站開發(fā)者對于網(wǎng)頁修改的權限也比較隨意，導致攻擊者非常容易的修改網(wǎng)頁，給網(wǎng)站開發(fā)者和使用者都造成損失。一般而言，對于系統(tǒng)的賬號和密碼應當進行獨立設置，并具有一定安全等級，使得攻擊者不容易破解利用。

2.3 網(wǎng)絡協(xié)議策略

由于現(xiàn)有的網(wǎng)絡協(xié)議還不盡完善，因而有很多網(wǎng)絡攻擊是針對網(wǎng)絡協(xié)議來進行的，包括前面提到的分布式拒絕攻擊等，目前有很多協(xié)議，如ftp、snmp等但是這些協(xié)議在處理網(wǎng)絡消息時都存在缺陷，這主要體現(xiàn)在對網(wǎng)絡傳輸數(shù)據(jù)的檢查上不盡如人意，而且也無法檢查過長的數(shù)據(jù)段，非常容易造成服務器或者主機的內(nèi)存不足或者出現(xiàn)緩沖區(qū)溢出錯誤等，這些情況都有可能會成為攻擊者攻擊的條件。

在日常計算機使用過程中，為了避免讓攻擊者利用網(wǎng)絡協(xié)議來進行攻擊，需要嚴格規(guī)范自身使用計算機習慣，及時開啟計算機防火墻，并對防火墻以及外部路由器的廣播地址進行隱藏，防止被攻擊者利用。同時計算機應當盡量避免被他人使用，防止其他人在使用電腦時留下后門，計算機系統(tǒng)中所有的軟件應當設置為寫保護，同時在必要時需要升級防火墻，要求防火墻可以防范網(wǎng)絡惡意代碼以及電子郵件等，為了防止郵箱炸彈，在收到陌生郵件時要時刻謹慎，并盡量不要下載陌生的文件。

3 結論

計算機網(wǎng)絡的出現(xiàn)極大的方便了人們的交流以及生活，二十一世紀是一個全球化的信息社會，計算機網(wǎng)絡安全是二十一世紀的重要課題。當前很多攻擊者利用現(xiàn)有計算機網(wǎng)絡的漏洞以及使用者的大意，對計算機網(wǎng)絡進行攻擊，但是計算機網(wǎng)絡漏洞是現(xiàn)有網(wǎng)絡安全非常脆弱的根本性原因，再針對計算機網(wǎng)絡漏洞的防范上，不僅要規(guī)范自身的計算機使用習慣，還需要網(wǎng)絡軟件以及協(xié)議開發(fā)者盡可能的找出漏洞并作出完善，只有這樣才能將計算機網(wǎng)絡打造成一個安全的網(wǎng)絡，才能最大限度的方便人們安全使用，保護人們的信息安全。

[1]李忠武,陳麗清.計算機網(wǎng)絡安全評價中神經(jīng)網(wǎng)絡的應用研究[J].現(xiàn)代電子技術,2014,37(10):80-82.

[2]王萍.計算機網(wǎng)絡安全技術與防范措施探討[J].數(shù)字技術與應用,2014(04):200-201.

[3]韓銳.計算機網(wǎng)絡安全的主要隱患及管理措施分析[J].信息通信,2014(01):152-153.

[4]熊芳芳.淺談計算機網(wǎng)絡安全問題及其對策[J].電子世界,2012(22):139-140.

[5]楊光,李非非,楊洋.淺析計算機網(wǎng)絡安全防范措施[J].科技信息,2011(29):70+93.

[6]陳卓.計算機網(wǎng)絡信息安全及其防護對策[J].中國衛(wèi)生信息管理雜志,2011,8(03):44-47.

作者單位國家工業(yè)信息安全發(fā)展研究中心 北京市100000

胡彬（1982-），工學學士。工程師。主要研究方向為信息安全、網(wǎng)絡安全運維管理研究及計算機與網(wǎng)絡信息安全。孫軍（1984-），工學博士。工程師。主要從事工業(yè)信息安全、智慧城市網(wǎng)絡安全及工業(yè)建模仿真等方向的研究工作。