計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞及解決措施初探

黃日晴

摘 要 人們通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)享受著各種便利，隨之而來(lái)的網(wǎng)絡(luò)安全問(wèn)題也讓人無(wú)限擔(dān)憂。由于我國(guó)國(guó)內(nèi)計(jì)算機(jī)主流操作平臺(tái)系統(tǒng)的功能復(fù)雜，而沒(méi)有開(kāi)放源代碼，不能實(shí)現(xiàn)安全的檢測(cè)驗(yàn)證。而目前所使用的計(jì)算機(jī)網(wǎng)絡(luò)通信協(xié)議大多都由國(guó)外開(kāi)發(fā)，在可靠性方向持有保留態(tài)度。因此，在計(jì)算機(jī)網(wǎng)絡(luò)安全方面的漏洞也是一個(gè)比較嚴(yán)重的現(xiàn)實(shí)問(wèn)題。本文通過(guò)分析計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀，提出一些拙見(jiàn)。

關(guān)鍵詞 計(jì)算機(jī) 網(wǎng)絡(luò) 安全漏洞 解決措施

中圖分類(lèi)號(hào)：TP393.08文獻(xiàn)標(biāo)識(shí)碼：A

Computer Network Security Vulnerabilities and Solutions

HUANG Riqing

(Guangdong AIB Polytechnic, Guangzhou, Guangdong 510663)

Abstract Through the computer network, people enjoy a variety of convenience, and network security issues followed by also make people worry a lot. Due to the complexity of China's domestic computer mainstream platform function of the system, but not open source, can not achieve the safety testing and certification. Computer network communication protocol used mostly by foreign development, have reservations about the direction of reliability. Therefore, in computer network security vulnerability is a serious practical problems. In this paper, by analyzing the status of the computer network security, to make some humble opinion.

Key words computer; network; secruity vulnerability; solution

1 計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞

1.1 成因

1.1.1 操作系統(tǒng)本身漏洞和鏈路的連接漏洞

計(jì)算機(jī)網(wǎng)絡(luò)由于需要給用戶提供各種便利，那么就需要它在操作系統(tǒng)上擁有一個(gè)統(tǒng)一的用戶交互平臺(tái)，能夠全方位多角度的支持各種所需功用。而計(jì)算機(jī)網(wǎng)絡(luò)的功能越強(qiáng)大，就表明它交互平臺(tái)的網(wǎng)就撒得更大，那么它存在的漏洞也就越多，所以會(huì)更有可能受到攻擊。一個(gè)平臺(tái)的建立不可能是暫時(shí)性的，也不可能是永遠(yuǎn)都固定不變的，那么它在這種長(zhǎng)久的存在與優(yōu)化升級(jí)的過(guò)程中就會(huì)遭受更多的暴露與攻擊。在計(jì)算機(jī)的服務(wù)運(yùn)行過(guò)程中，網(wǎng)絡(luò)互通的功能需要由鏈路連接來(lái)實(shí)現(xiàn)。那么有了連接，就仿佛給攻擊搭了一座橋。而這些攻擊包括對(duì)鏈路連接本身的攻擊、對(duì)物理層表述的攻擊以及對(duì)互通協(xié)議的攻擊等等。

1.1.2 TCP/IP協(xié)議漏洞和安全策略方面的漏洞

應(yīng)用協(xié)議可以高效支持網(wǎng)絡(luò)通信順暢，但是TCP/IP固有缺陷決定了源地址無(wú)法得到相應(yīng)控制機(jī)制的科學(xué)鑒別。一旦IP地址無(wú)從確認(rèn)，黑客就可以從中截取數(shù)據(jù)，以篡改原有的路由地址。在計(jì)算機(jī)系統(tǒng)中，響應(yīng)端口開(kāi)放支持了各項(xiàng)服務(wù)正常運(yùn)轉(zhuǎn)，但是這種開(kāi)放依然給各種網(wǎng)絡(luò)的攻擊制造了便利。或許有人說(shuō)防火墻可以阻止其的進(jìn)攻，但是如今防火墻對(duì)于開(kāi)放的流入數(shù)據(jù)攻擊依然束手無(wú)策。

1.2 檢測(cè)方法

（1）配置文件檢測(cè)。一般來(lái)說(shuō)，系統(tǒng)運(yùn)行的不安全配置主要是由于配置文件的缺失或是過(guò)于復(fù)雜，而關(guān)于配置文件漏洞的查找則需要讀取并解釋來(lái)完成。當(dāng)系統(tǒng)文件的配置影響到系統(tǒng)的功能運(yùn)行時(shí)，用戶需要及時(shí)的找出這個(gè)錯(cuò)誤并且糾正過(guò)來(lái)。由于某些錯(cuò)誤配置只能在遭受攻擊后方能看到，由此對(duì)配置文件進(jìn)行檢測(cè)會(huì)有效地降低漏洞的風(fēng)險(xiǎn)。

（2）文件內(nèi)容與保護(hù)機(jī)制檢測(cè)。一般來(lái)說(shuō)，特洛伊木馬喜歡植入系統(tǒng)工具和命令文件，特別是命令文件中的啟動(dòng)腳本文件。因此在對(duì)這些文件進(jìn)行檢測(cè)時(shí)，可以設(shè)置唯有訪問(wèn)權(quán)限的用戶才能啟動(dòng)或是修改。而對(duì)文件內(nèi)容進(jìn)行安全檢測(cè)的第一步是檢測(cè)訪問(wèn)控制設(shè)置。然后由于訪問(wèn)控制機(jī)制的復(fù)雜性，導(dǎo)致這種檢測(cè)的功效并不十分明顯。

（3）錯(cuò)誤修正檢測(cè)。大多攻擊會(huì)利用操作系統(tǒng)的這些錯(cuò)誤來(lái)破解系統(tǒng)進(jìn)入權(quán)限，所以需要開(kāi)發(fā)出補(bǔ)丁程序來(lái)修正這些錯(cuò)誤。若是補(bǔ)丁程序沒(méi)有得到及時(shí)的安裝，那么這種錯(cuò)誤修正就可以利用檢驗(yàn)程序來(lái)完成。對(duì)于系統(tǒng)的這種檢測(cè)而言，既可以是自動(dòng)的也可以是手動(dòng)的。被動(dòng)型通過(guò)版本號(hào)和校驗(yàn)等來(lái)檢測(cè)補(bǔ)丁程序的安裝與否，而主動(dòng)型則是通過(guò)檢測(cè)來(lái)找出錯(cuò)誤。

（4）差別檢測(cè)。這是一種被動(dòng)的檢測(cè)方法，它需要有一個(gè)基準(zhǔn)時(shí)間，但是在文件被改過(guò)之后，它實(shí)際上是忽略了時(shí)間和日期的，由此可能出現(xiàn)造假的情況。而且它并不能阻止程序已經(jīng)被更改的部分，只能檢測(cè)其是否被更改。正是由于差別檢測(cè)的這些特點(diǎn)，也就需要進(jìn)行經(jīng)常性的檢查。而文件的檢測(cè)程度直接和基準(zhǔn)的有效性掛鉤。

1.3 掃描技術(shù)

（1）基于主機(jī)。安裝一個(gè)服務(wù)或者代理于目標(biāo)系統(tǒng)上，為了便于漏洞掃描系統(tǒng)的直接訪問(wèn)。掃描系統(tǒng)（下轉(zhuǎn)第143頁(yè)）（上接第107頁(yè)）對(duì)計(jì)算機(jī)進(jìn)行全面掃描之后，可以對(duì)全盤(pán)系統(tǒng)進(jìn)行分析，找出更多系統(tǒng)漏洞。此種掃描主要是對(duì)系統(tǒng)設(shè)置、注冊(cè)表以及應(yīng)用軟件等的掃描，中心服務(wù)器可以接收這些反饋信息，利用控制平臺(tái)來(lái)處理。在這種掃描技術(shù)中，需要有用戶代理、中心服務(wù)器和漏洞的掃描控制平臺(tái)來(lái)組成。控制平臺(tái)可以接收用戶的掃描指令，中心服務(wù)器來(lái)響應(yīng)這些指令，而用戶代理來(lái)執(zhí)行這些指令，三者相互合作，掃描出計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞。

（2）基于網(wǎng)絡(luò)。這種基于網(wǎng)絡(luò)的掃描技術(shù)主要是查找網(wǎng)絡(luò)服務(wù)協(xié)議的漏洞，基于Internet的遠(yuǎn)程檢測(cè)，它以一個(gè)外部攻擊者的角度來(lái)掃描不同端口以及服務(wù)架構(gòu)。基于網(wǎng)絡(luò)的掃描技術(shù)需要通過(guò)分析比對(duì)掃描日志來(lái)得出是否被漏洞侵蝕的結(jié)論。在這種比對(duì)中，就可以有效的發(fā)現(xiàn)和清除協(xié)議漏洞。而完整的網(wǎng)絡(luò)漏洞掃描大體可以分為三步走。首先是發(fā)現(xiàn)存在于主機(jī)或者網(wǎng)絡(luò)中目標(biāo)；其次進(jìn)一步的搜索已發(fā)現(xiàn)的目標(biāo)信息，比如說(shuō)操作系統(tǒng)的類(lèi)型和服務(wù)軟件的版本等。若是漏洞目標(biāo)是網(wǎng)絡(luò)，則可以跟蹤網(wǎng)絡(luò)的路由設(shè)備等；最后是根據(jù)已得到的掃描信息來(lái)測(cè)評(píng)是否存有漏洞。

2 解決措施

2.1 利用防火墻

防火墻技術(shù)主要包括過(guò)濾技術(shù)、服務(wù)器代理技術(shù)和狀態(tài)檢測(cè)技術(shù)等。過(guò)濾技術(shù)是比較早的防火墻技術(shù)，它實(shí)施網(wǎng)絡(luò)保護(hù)是通過(guò)路由器來(lái)實(shí)現(xiàn)的，能夠篩選地址和協(xié)議，但是前面我們提到它不能有效防范欺騙地址，在進(jìn)行安全策略的執(zhí)行時(shí)，也存在著某些局限。而代理服務(wù)器直接與用戶相連，能夠提供訪問(wèn)控制。能夠自如、安全的控制進(jìn)程與流量，并且透明加密。但是由于它的針對(duì)性太強(qiáng)，也就注定了需要具體問(wèn)題具體分析，代理服務(wù)不同，也就需要不同的服務(wù)器來(lái)解決。以上兩者的不足正好被狀態(tài)檢測(cè)技術(shù)來(lái)彌補(bǔ)了，它能夠轉(zhuǎn)化各個(gè)元素物，形成一個(gè)數(shù)據(jù)流的整體，最終形成的連接狀態(tài)的數(shù)據(jù)表比較完善，并且對(duì)連接狀態(tài)也能夠進(jìn)行有效的監(jiān)控。基于此的改革，方能使防火墻技術(shù)得到更加的完善。

2.2 利用掃描技術(shù)

一旦網(wǎng)絡(luò)環(huán)境發(fā)生錯(cuò)誤，網(wǎng)絡(luò)漏洞便可趁虛而入。利用這種漏洞缺陷，提出利用掃描技術(shù)來(lái)進(jìn)行網(wǎng)絡(luò)漏洞的防范，可以將漏洞扼殺在萌芽狀態(tài)，最終消滅漏洞。而在掃描之后，通過(guò)檢測(cè)不合法的信息則可以實(shí)現(xiàn)漏洞的掃描。在主機(jī)端口通過(guò)建立連接，申請(qǐng)服務(wù)器展開(kāi)請(qǐng)求。與此同時(shí)，觀察主機(jī)以何種方式來(lái)應(yīng)答，并且收集系統(tǒng)變化信息，通過(guò)結(jié)果來(lái)反監(jiān)測(cè)。

2.3 完善網(wǎng)絡(luò)漏洞信息庫(kù)

完善網(wǎng)絡(luò)信息庫(kù)可以高效的保護(hù)網(wǎng)絡(luò)漏洞，若是每個(gè)網(wǎng)絡(luò)的漏洞都有其不同的特征碼，那么在檢測(cè)時(shí)我們可以通過(guò)檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)包，從而測(cè)試數(shù)據(jù)的準(zhǔn)確性和有效性。另外，網(wǎng)絡(luò)漏洞種類(lèi)繁多，而且千差萬(wàn)別，在進(jìn)行網(wǎng)絡(luò)漏洞修復(fù)時(shí)，提取的漏洞代碼是否準(zhǔn)確至關(guān)重要。漏洞數(shù)據(jù)庫(kù)的維護(hù)更新可以通過(guò)分析漏洞，并且建立數(shù)據(jù)庫(kù)的特征庫(kù)來(lái)達(dá)到。在對(duì)數(shù)據(jù)庫(kù)漏洞進(jìn)行分析之后，也就可以及時(shí)查找網(wǎng)絡(luò)漏洞，建立標(biāo)準(zhǔn)而標(biāo)準(zhǔn)的漏洞掃描代碼。在對(duì)于數(shù)據(jù)庫(kù)的設(shè)計(jì)方面，一個(gè)完整的網(wǎng)絡(luò)漏洞數(shù)據(jù)庫(kù)的設(shè)計(jì)應(yīng)該包括漏洞的各個(gè)完整信息，對(duì)于漏洞的特征掃描以及端口信息等都應(yīng)該有相應(yīng)的數(shù)據(jù)分析。對(duì)于解決方式以及評(píng)估體系，特征木馬的匹配狀況都要詳細(xì)解釋和說(shuō)明。

3 結(jié)語(yǔ)

如今信息技術(shù)告訴發(fā)展，計(jì)算機(jī)成為人們?nèi)粘Ｉ詈凸ぷ髦胁豢苫蛉钡囊徊糠郑W(wǎng)絡(luò)信息技術(shù)的安全與否也顯得尤為重要。建立一個(gè)安全有效而且穩(wěn)定的網(wǎng)絡(luò)系統(tǒng)，是每個(gè)計(jì)算機(jī)用戶的共同愿望。對(duì)網(wǎng)絡(luò)漏洞進(jìn)行及時(shí)的檢測(cè)與掃描，通過(guò)分析漏洞、查找漏洞來(lái)解決漏洞、防范漏洞。

參考文獻(xiàn)

[1] 王志軍.對(duì)當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用安全現(xiàn)狀與策略研究[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用,2011(14).

[2] 張達(dá)聰.鄒議計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞及防范措施[J].硅谷,2011(7).

[3] 石瑋.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全與防御技術(shù)[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用,2010(13).

[4] 許寧,李曄.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全防范技術(shù)[J].硅谷,2010(16).

[5] 劉春曉.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全防范技術(shù)[J].科技資訊,2009(35).