網(wǎng)絡(luò)漏洞與網(wǎng)絡(luò)維護(hù)的研究

摘要：隨著信息化的不斷深入，對網(wǎng)絡(luò)的依賴日深，網(wǎng)絡(luò)維護(hù)也日趨重要。網(wǎng)絡(luò)安全也就成為我們更為關(guān)注的問題。文章分析了計(jì)算機(jī)網(wǎng)絡(luò)漏洞的成因，及其維護(hù)策略。

關(guān)鍵詞：網(wǎng)絡(luò)漏洞；網(wǎng)絡(luò)維護(hù)；網(wǎng)絡(luò)研究

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)15-20ppp-0c

The Research of Network Vulnerability and Network Maintenance

WU Jing-zhong

(Hefei Design and Research Institute of Coal Industry，Hefei 230041，China)

Abstract:Along with the continuous deepening of information technology， we deeply depend on the network， network maintenance are becoming increasingly important. Network security has become more our concerned problems. The paper analyses the causes of computer network vulnerability and the strategy of network maintenance.

Key words:Network Vulnerability;Network Maintenance;Network Research;

1 引言

網(wǎng)絡(luò)是大、中、小型計(jì)算機(jī)、工作站、服務(wù)器以及微機(jī)共享資源及其他網(wǎng)點(diǎn)的集合點(diǎn)。每臺(tái)微機(jī)和工作站都是網(wǎng)絡(luò)整體的一部分。網(wǎng)絡(luò)作為各種高層應(yīng)用的支持平臺(tái)網(wǎng)絡(luò)是實(shí)行信息化基本要素。網(wǎng)絡(luò)作為一個(gè)開放的信息平臺(tái)，人們在享受其帶來便捷的同時(shí)，也深受網(wǎng)絡(luò)安全不健全的煩惱。計(jì)算機(jī)病毒已經(jīng)成為當(dāng)今網(wǎng)絡(luò)上最可怕的安全威脅，成為黑客攻擊網(wǎng)絡(luò)的首要工具。引發(fā)網(wǎng)絡(luò)攻擊的一個(gè)最重要的原因就是在計(jì)算機(jī)中存著各種漏洞，它們很容易被利用來進(jìn)行網(wǎng)絡(luò)的攻擊。如危害最大的包括沖擊波、惡郵差等在內(nèi)的10種病毒 ，均是利用計(jì)算機(jī)網(wǎng)絡(luò)的漏洞進(jìn)行攻擊。網(wǎng)絡(luò)安全也就成為我們更為關(guān)注的問題。那么我們應(yīng)該如何應(yīng)對這些網(wǎng)絡(luò)漏洞，并能及時(shí)有效地進(jìn)行網(wǎng)絡(luò)維護(hù)呢？這也正是我們所要研究的主要內(nèi)容。

2 計(jì)算機(jī)網(wǎng)絡(luò)漏洞的成因

計(jì)算機(jī)病毒具備破壞性和傳染性，主要通過電子郵件、文件下載、網(wǎng)絡(luò)訪問、移動(dòng)介質(zhì)等形式進(jìn)行傳播，可造成數(shù)據(jù)破壞、系統(tǒng)異常、網(wǎng)絡(luò)癱瘓。廣義上的計(jì)算機(jī)病毒概念已經(jīng)超過原有范疇，可包括：傳統(tǒng)病毒、蠕蟲、木馬、后門、惡意網(wǎng)頁代碼(惡意Java腳本/ActiveX)等。

2.1 網(wǎng)絡(luò)應(yīng)用程序的漏洞

網(wǎng)絡(luò)中的漏洞可以存在于硬件和軟件中，但更多還是以軟件漏洞的形式存在。無論是網(wǎng)絡(luò)應(yīng)用軟件，還是單機(jī)應(yīng)用軟件，都廣泛隱藏有漏洞。

1)瀏覽器

IE瀏覽器已徹底擊敗Netscape，占據(jù)六成以上的用戶比例，而其很多漏洞都沒有解決：黑客可通過IE讀取硬盤上的文件，并把它發(fā)送到任何一個(gè)Internet上的服務(wù)器，甚至使你當(dāng)機(jī)等等。IE如此，Netscape也不例外，原因是瀏覽器集成了太多開放技術(shù)，但瀏覽器要想有更好的互動(dòng)性就必須用到這些。雖然每個(gè)瀏覽器都有報(bào)警裝置并不困難，他們甚至可以繞過瀏覽器設(shè)定的安全配置。

2)電子郵件

郵件炸彈到處盛行，任何一個(gè)用戶都可以用很容易的工具去發(fā)郵件炸彈，撐爆別人的郵箱。新出現(xiàn)的郵件附件病毒“美麗殺手”的攻擊目標(biāo)主要是郵件服務(wù)器，而把它改成攻擊本地硬盤上的文件也是很容易的事情。

3)網(wǎng)絡(luò)服務(wù)程序

IIS2.0～4.0的漏洞很多，其中包括當(dāng)機(jī)的危險(xiǎn)，根用戶的密碼被竊的危險(xiǎn)和非授權(quán)訪問的危險(xiǎn)。Apache Wed服務(wù)器軟件，Mssol的漏洞都很多，黑客有辦法通過它們拿到Web數(shù)據(jù)庫的資料，等等。

4)協(xié)議

Http協(xié)議、SMTP協(xié)議和Socks協(xié)議等等，在網(wǎng)上已經(jīng)運(yùn)行和發(fā)展了多年，至今還沒有完善。通過Http協(xié)議，黑客可以輕而易舉地獲得人們認(rèn)為很難被竊取的權(quán)限。通過Socks5，攻擊者可以把Web網(wǎng)站指向色情站點(diǎn)，破壞該站點(diǎn)的名譽(yù)。

2.2 網(wǎng)絡(luò)設(shè)計(jì)和網(wǎng)絡(luò)管理的漏洞

如網(wǎng)絡(luò)應(yīng)用需要開放某些端口，同樣也為黑客留下了侵入通道。入侵電腦系統(tǒng)竊取商業(yè)情報(bào)、資料或國家秘密。特別是那些公布了原碼的操作系統(tǒng)，黑客會(huì)分析其源碼找到漏洞進(jìn)行攻擊。

另外，大多數(shù)網(wǎng)管都沒有嚴(yán)格遵守網(wǎng)絡(luò)相關(guān)操作章程，以至于疏忽了諸多安全漏洞。事實(shí)上，大多數(shù)安全事件和安全隱患的發(fā)生與管理不善有密切關(guān)系。有調(diào)查表明，一半以上的電腦網(wǎng)絡(luò)漏洞是人為造成的，更多的網(wǎng)絡(luò)攻擊犯罪來自系統(tǒng)內(nèi)部的員工。

3 計(jì)算機(jī)網(wǎng)絡(luò)的維護(hù)研究

要防止或減少網(wǎng)絡(luò)漏洞的攻擊，最好的方法是盡力避免主機(jī)端口被掃描和監(jiān)聽，先于攻擊者發(fā)現(xiàn)網(wǎng)絡(luò)漏洞，并采取有效措施。

3.1 用技術(shù)手段防御漏洞

1)建立防火墻，加強(qiáng)對計(jì)算機(jī)網(wǎng)絡(luò)各個(gè)訪問層的控制。

近幾年來，攻擊者的興趣明顯是從端口掃描和制造拒絕服務(wù)攻擊（Dos Attack）轉(zhuǎn)向了針對Web、E-mail甚至數(shù)據(jù)庫等主流應(yīng)用的攻擊。傳統(tǒng)的防火墻檢查IP數(shù)據(jù)包的包頭，而內(nèi)容要通過計(jì)算機(jī)網(wǎng)絡(luò)的各個(gè)訪問層來檢查，在企業(yè)內(nèi)部和Internet之間的一系列并列的門，每道門都對到達(dá)的包裹（IP數(shù)據(jù)包）進(jìn)行逐一檢查，若未發(fā)現(xiàn)數(shù)據(jù)包含有異常代碼便開門放行。而現(xiàn)在出現(xiàn)了具有狀態(tài)檢測功能的防火墻，可以檢查哪些數(shù)據(jù)包是來自Internet對內(nèi)部網(wǎng)絡(luò)訪問請求的答應(yīng)。

也就是說，可以檢查那些不請自來的包裹。但是計(jì)算機(jī)各個(gè)訪問層的攻擊比較復(fù)雜，因?yàn)楣魯?shù)據(jù)包在絕大多數(shù)情況下是合法的數(shù)據(jù)包，不同的是內(nèi)容具有攻擊性，其內(nèi)容的判斷就需要將所有相關(guān)的包重組后才能準(zhǔn)確進(jìn)行。一旦這種攻擊數(shù)據(jù)包通過防火墻，它們通常會(huì)開始有條不紊地利用目標(biāo)系統(tǒng)的漏洞制造緩沖區(qū)溢出，獲得系統(tǒng)的控制權(quán)，然后以此為平臺(tái)開始尋找周圍其他系統(tǒng)的漏洞或者其他的蠕蟲留下的后門，進(jìn)而展開攻擊。

對此，一些防火墻產(chǎn)品采取的應(yīng)對措施是：針對每一類主流的應(yīng)用，HTTP、SMTP、FTP和SQL Server數(shù)據(jù)庫訪問（基于RPC）都設(shè)置專門的過濾器。具有應(yīng)用層過濾功能的防火墻可以更有效地阻擋當(dāng)前多數(shù)病毒和攻擊程序，但新的安全威脅不斷出現(xiàn)又對防火墻提出了新的挑戰(zhàn)。攻擊的來源正在變得更加復(fù)雜，而攻擊的手段也愈加高明，最近垃圾郵件與攻擊代碼的結(jié)合就是一個(gè)典型的例證。這一方面需要防火墻設(shè)備對于應(yīng)用層的內(nèi)容有更好的認(rèn)知和智能判別的能力，另一方面也需要防火墻更多地與其他的安全設(shè)備和應(yīng)用有效配合，從而實(shí)現(xiàn)更加有力的防護(hù)。

2)利用NAT技術(shù)隱藏內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)信息。

NAT英文全稱是“Network Address Translation”，中文意思是“網(wǎng)絡(luò)地址轉(zhuǎn)換”，它是一個(gè)IETF（Internet Engineering Task Force， Internet工程任務(wù)組）標(biāo)準(zhǔn)，允許一個(gè)整體機(jī)構(gòu)以一個(gè)公用IP（Internet Protocol）地址出現(xiàn)在Internet上。NAT是在局域網(wǎng)內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，而當(dāng)內(nèi)部節(jié)點(diǎn)要與外部網(wǎng)絡(luò)進(jìn)行通訊時(shí)，就在網(wǎng)關(guān)處將內(nèi)部地址替換成公用地址，從而在外部公網(wǎng)（Internet）上正常使用，NAT可以使多臺(tái)計(jì)算機(jī)共享Internet連接，這一功能很好地解決了公共IP地址緊缺的問題。通過這種方法，您可以只申請一個(gè)合法IP地址，就把整個(gè)局域網(wǎng)中的計(jì)算機(jī)接入Internet中。

NAT將這些無法在互聯(lián)網(wǎng)上使用的保留IP地址翻譯成可以在互聯(lián)網(wǎng)上使用的合法IP地址。而全局地址，是指合法的IP地址，它是由NIC(網(wǎng)絡(luò)信息中心)或者ISP(網(wǎng)絡(luò)服務(wù)提供商)分配的地址，對外代表一個(gè)或多個(gè)內(nèi)部局部地址，是全球統(tǒng)一的可尋址的地址。

3.2 應(yīng)用加密技術(shù)

數(shù)據(jù)加密技術(shù)與防火墻配合使用的安全技術(shù)還有數(shù)據(jù)加密技術(shù)，是為提高住處系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破譯所采用的主要手段之一。按作用不同，數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種

1)數(shù)據(jù)傳輸加密技術(shù)

目的是對傳輸中的數(shù)據(jù)流加密，常用的方針有線路加密和端——端加密兩種。前者側(cè)重在線路上而不考慮信源與信宿，是對保密信息通過各線路采用不同的加密密鑰提供安全保護(hù)。后者則指信息由發(fā)送者端自動(dòng)加密，并進(jìn)行TCP/IP數(shù)據(jù)包回封，然后加密、壓縮成不可閱讀和不可識(shí)別的數(shù)據(jù)穿過互聯(lián)網(wǎng)，當(dāng)這些信息一旦到達(dá)目的地，將自動(dòng)重組、解密，成為可讀數(shù)據(jù)。

2)數(shù)據(jù)存儲(chǔ)加密技術(shù)

目的是防止在存儲(chǔ)環(huán)節(jié)上的數(shù)據(jù)失密，可分為密文存儲(chǔ)和存取控制兩種。前者一般是通過加密算法轉(zhuǎn)換、附加密碼、加密模塊等方法以實(shí)現(xiàn)；后者則是對用戶資格、權(quán)限加以審查和限制，防止非法用戶存取數(shù)據(jù)或用戶越權(quán)存取數(shù)據(jù)。

3)數(shù)據(jù)完整性鑒別技術(shù)

目的是對介入信息的傳送、存取、處理的人的身份和相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行難達(dá)到保密的要求，一般包括口令、密鑰、身份、數(shù)據(jù)等項(xiàng)的鑒別，系統(tǒng)通過對比驗(yàn)證對象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù)，實(shí)現(xiàn)對數(shù)據(jù)的安全保護(hù)。

4)密鑰管理技術(shù)

為了數(shù)據(jù)使用的方便，數(shù)據(jù)加密在許多場合集中表現(xiàn)為密鑰的應(yīng)用，因此密鑰往往是保密與竊密的主要對象。密鑰的媒體有：磁卡、磁帶、磁盤、半導(dǎo)體存儲(chǔ)器等。密鑰的管理技術(shù)包括密鑰的產(chǎn)生、分配保存、更換與銷毀等各環(huán)節(jié)上的保密措施。

3.3 規(guī)范管理使用人員的行為，避免留下安全隱患

建立網(wǎng)絡(luò)管理制度，杜絕管理漏洞。如：設(shè)立網(wǎng)絡(luò)管理員崗位制度、微機(jī)房管理制度等。建立網(wǎng)絡(luò)技術(shù)安全管理，如：軟硬件的登記和保管、軟硬件的使用和維護(hù)、應(yīng)用軟件開發(fā)和管理、軟件防病毒管理等。

4 結(jié)束語

隨著互聯(lián)網(wǎng)在各個(gè)領(lǐng)域的迅速普及與廣泛應(yīng)用，網(wǎng)絡(luò)漏洞的種類越來越層出不窮。網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)這些防范措施都有一定的限度，并不是越安全就越可靠。因而，在看一個(gè)內(nèi)部網(wǎng)是否安全時(shí)不僅要考查其手段，而更重要的是對該網(wǎng)絡(luò)所采取的各種措施，其中不只是物理防范，還有人員因素，那么對于網(wǎng)管來說應(yīng)該多訂閱一些安全通報(bào)的郵件列表，對運(yùn)行對自己服務(wù)器上的平臺(tái)，應(yīng)該經(jīng)常去軟件商的網(wǎng)站獲取最新補(bǔ)丁。網(wǎng)管還應(yīng)該對服務(wù)器上的每項(xiàng)設(shè)置分析清楚，熟知其含義，對不清楚或者沒有把握的設(shè)置，寧愿關(guān)掉它，絕不該一律采用缺省設(shè)置。

參考文獻(xiàn)：

[1]濮青.基于網(wǎng)絡(luò)拒絕服務(wù)攻擊的技術(shù)分析與安全策略[J].計(jì)算機(jī)應(yīng)用研究，2003(03).

[2]馮文波.Internet上的網(wǎng)絡(luò)漏洞及安全維護(hù)技巧[J].計(jì)算機(jī)與數(shù)學(xué)工程，2003(2).

收稿日期：2008-03-09

作者簡介：吳際忠（1968-），女，遼寧人，工程師，研究方向：網(wǎng)絡(luò)安全防護(hù)。