黃日晴
摘 要 人們通過計算機網絡享受著各種便利,隨之而來的網絡安全問題也讓人無限擔憂。由于我國國內計算機主流操作平臺系統(tǒng)的功能復雜,而沒有開放源代碼,不能實現(xiàn)安全的檢測驗證。而目前所使用的計算機網絡通信協(xié)議大多都由國外開發(fā),在可靠性方向持有保留態(tài)度。因此,在計算機網絡安全方面的漏洞也是一個比較嚴重的現(xiàn)實問題。本文通過分析計算機網絡安全的現(xiàn)狀,提出一些拙見。
關鍵詞 計算機 網絡 安全漏洞 解決措施
中圖分類號:TP393.08文獻標識碼:A
Computer Network Security Vulnerabilities and Solutions
HUANG Riqing
(Guangdong AIB Polytechnic, Guangzhou, Guangdong 510663)
Abstract Through the computer network, people enjoy a variety of convenience, and network security issues followed by also make people worry a lot. Due to the complexity of China's domestic computer mainstream platform function of the system, but not open source, can not achieve the safety testing and certification. Computer network communication protocol used mostly by foreign development, have reservations about the direction of reliability. Therefore, in computer network security vulnerability is a serious practical problems. In this paper, by analyzing the status of the computer network security, to make some humble opinion.
Key words computer; network; secruity vulnerability; solution
1 計算機網絡安全漏洞
1.1 成因
1.1.1 操作系統(tǒng)本身漏洞和鏈路的連接漏洞
計算機網絡由于需要給用戶提供各種便利,那么就需要它在操作系統(tǒng)上擁有一個統(tǒng)一的用戶交互平臺,能夠全方位多角度的支持各種所需功用。而計算機網絡的功能越強大,就表明它交互平臺的網就撒得更大,那么它存在的漏洞也就越多,所以會更有可能受到攻擊。一個平臺的建立不可能是暫時性的,也不可能是永遠都固定不變的,那么它在這種長久的存在與優(yōu)化升級的過程中就會遭受更多的暴露與攻擊。在計算機的服務運行過程中,網絡互通的功能需要由鏈路連接來實現(xiàn)。那么有了連接,就仿佛給攻擊搭了一座橋。而這些攻擊包括對鏈路連接本身的攻擊、對物理層表述的攻擊以及對互通協(xié)議的攻擊等等。
1.1.2 TCP/IP協(xié)議漏洞和安全策略方面的漏洞
應用協(xié)議可以高效支持網絡通信順暢,但是TCP/IP固有缺陷決定了源地址無法得到相應控制機制的科學鑒別。一旦IP地址無從確認,黑客就可以從中截取數(shù)據(jù),以篡改原有的路由地址。在計算機系統(tǒng)中,響應端口開放支持了各項服務正常運轉,但是這種開放依然給各種網絡的攻擊制造了便利?;蛟S有人說防火墻可以阻止其的進攻,但是如今防火墻對于開放的流入數(shù)據(jù)攻擊依然束手無策。
1.2 檢測方法
(1)配置文件檢測。一般來說,系統(tǒng)運行的不安全配置主要是由于配置文件的缺失或是過于復雜,而關于配置文件漏洞的查找則需要讀取并解釋來完成。當系統(tǒng)文件的配置影響到系統(tǒng)的功能運行時,用戶需要及時的找出這個錯誤并且糾正過來。由于某些錯誤配置只能在遭受攻擊后方能看到,由此對配置文件進行檢測會有效地降低漏洞的風險。
(2)文件內容與保護機制檢測。一般來說,特洛伊木馬喜歡植入系統(tǒng)工具和命令文件,特別是命令文件中的啟動腳本文件。因此在對這些文件進行檢測時,可以設置唯有訪問權限的用戶才能啟動或是修改。而對文件內容進行安全檢測的第一步是檢測訪問控制設置。然后由于訪問控制機制的復雜性,導致這種檢測的功效并不十分明顯。
(3)錯誤修正檢測。大多攻擊會利用操作系統(tǒng)的這些錯誤來破解系統(tǒng)進入權限,所以需要開發(fā)出補丁程序來修正這些錯誤。若是補丁程序沒有得到及時的安裝,那么這種錯誤修正就可以利用檢驗程序來完成。對于系統(tǒng)的這種檢測而言,既可以是自動的也可以是手動的。被動型通過版本號和校驗等來檢測補丁程序的安裝與否,而主動型則是通過檢測來找出錯誤。
(4)差別檢測。這是一種被動的檢測方法,它需要有一個基準時間,但是在文件被改過之后,它實際上是忽略了時間和日期的,由此可能出現(xiàn)造假的情況。而且它并不能阻止程序已經被更改的部分,只能檢測其是否被更改。正是由于差別檢測的這些特點,也就需要進行經常性的檢查。而文件的檢測程度直接和基準的有效性掛鉤。
1.3 掃描技術
(1)基于主機。安裝一個服務或者代理于目標系統(tǒng)上,為了便于漏洞掃描系統(tǒng)的直接訪問。掃描系統(tǒng)(下轉第143頁)(上接第107頁)對計算機進行全面掃描之后,可以對全盤系統(tǒng)進行分析,找出更多系統(tǒng)漏洞。此種掃描主要是對系統(tǒng)設置、注冊表以及應用軟件等的掃描,中心服務器可以接收這些反饋信息,利用控制平臺來處理。在這種掃描技術中,需要有用戶代理、中心服務器和漏洞的掃描控制平臺來組成??刂破脚_可以接收用戶的掃描指令,中心服務器來響應這些指令,而用戶代理來執(zhí)行這些指令,三者相互合作,掃描出計算機網絡安全漏洞。
(2)基于網絡。這種基于網絡的掃描技術主要是查找網絡服務協(xié)議的漏洞,基于Internet的遠程檢測,它以一個外部攻擊者的角度來掃描不同端口以及服務架構?;诰W絡的掃描技術需要通過分析比對掃描日志來得出是否被漏洞侵蝕的結論。在這種比對中,就可以有效的發(fā)現(xiàn)和清除協(xié)議漏洞。而完整的網絡漏洞掃描大體可以分為三步走。首先是發(fā)現(xiàn)存在于主機或者網絡中目標;其次進一步的搜索已發(fā)現(xiàn)的目標信息,比如說操作系統(tǒng)的類型和服務軟件的版本等。若是漏洞目標是網絡,則可以跟蹤網絡的路由設備等;最后是根據(jù)已得到的掃描信息來測評是否存有漏洞。
2 解決措施
2.1 利用防火墻
防火墻技術主要包括過濾技術、服務器代理技術和狀態(tài)檢測技術等。過濾技術是比較早的防火墻技術,它實施網絡保護是通過路由器來實現(xiàn)的,能夠篩選地址和協(xié)議,但是前面我們提到它不能有效防范欺騙地址,在進行安全策略的執(zhí)行時,也存在著某些局限。而代理服務器直接與用戶相連,能夠提供訪問控制。能夠自如、安全的控制進程與流量,并且透明加密。但是由于它的針對性太強,也就注定了需要具體問題具體分析,代理服務不同,也就需要不同的服務器來解決。以上兩者的不足正好被狀態(tài)檢測技術來彌補了,它能夠轉化各個元素物,形成一個數(shù)據(jù)流的整體,最終形成的連接狀態(tài)的數(shù)據(jù)表比較完善,并且對連接狀態(tài)也能夠進行有效的監(jiān)控?;诖说母母?,方能使防火墻技術得到更加的完善。
2.2 利用掃描技術
一旦網絡環(huán)境發(fā)生錯誤,網絡漏洞便可趁虛而入。利用這種漏洞缺陷,提出利用掃描技術來進行網絡漏洞的防范,可以將漏洞扼殺在萌芽狀態(tài),最終消滅漏洞。而在掃描之后,通過檢測不合法的信息則可以實現(xiàn)漏洞的掃描。在主機端口通過建立連接,申請服務器展開請求。與此同時,觀察主機以何種方式來應答,并且收集系統(tǒng)變化信息,通過結果來反監(jiān)測。
2.3 完善網絡漏洞信息庫
完善網絡信息庫可以高效的保護網絡漏洞,若是每個網絡的漏洞都有其不同的特征碼,那么在檢測時我們可以通過檢測網絡數(shù)據(jù)包,從而測試數(shù)據(jù)的準確性和有效性。另外,網絡漏洞種類繁多,而且千差萬別,在進行網絡漏洞修復時,提取的漏洞代碼是否準確至關重要。漏洞數(shù)據(jù)庫的維護更新可以通過分析漏洞,并且建立數(shù)據(jù)庫的特征庫來達到。在對數(shù)據(jù)庫漏洞進行分析之后,也就可以及時查找網絡漏洞,建立標準而標準的漏洞掃描代碼。在對于數(shù)據(jù)庫的設計方面,一個完整的網絡漏洞數(shù)據(jù)庫的設計應該包括漏洞的各個完整信息,對于漏洞的特征掃描以及端口信息等都應該有相應的數(shù)據(jù)分析。對于解決方式以及評估體系,特征木馬的匹配狀況都要詳細解釋和說明。
3 結語
如今信息技術告訴發(fā)展,計算機成為人們日常生活和工作中不可或缺的一部分,網絡信息技術的安全與否也顯得尤為重要。建立一個安全有效而且穩(wěn)定的網絡系統(tǒng),是每個計算機用戶的共同愿望。對網絡漏洞進行及時的檢測與掃描,通過分析漏洞、查找漏洞來解決漏洞、防范漏洞。
參考文獻
[1] 王志軍.對當前計算機網絡應用安全現(xiàn)狀與策略研究[J].計算機光盤軟件與應用,2011(14).
[2] 張達聰.鄒議計算機網絡安全漏洞及防范措施[J].硅谷,2011(7).
[3] 石瑋.淺談計算機網絡安全與防御技術[J].計算機光盤軟件與應用,2010(13).
[4] 許寧,李曄.淺談計算機網絡安全防范技術[J].硅谷,2010(16).
[5] 劉春曉.淺談計算機網絡安全防范技術[J].科技資訊,2009(35).