網(wǎng)絡(luò)安全漏洞及防范措施

和旭冉

摘要：隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，其在現(xiàn)實(shí)生活中的應(yīng)用領(lǐng)域也越來(lái)越廣泛。無(wú)論是在學(xué)習(xí)還是在工作中，人們愈發(fā)地離不開(kāi)網(wǎng)絡(luò)。由此，網(wǎng)絡(luò)安全漏洞問(wèn)題也得到了使用者廣泛的關(guān)注。該文首先闡釋了網(wǎng)絡(luò)安全的重要性，然后分析了網(wǎng)絡(luò)安全漏洞的類(lèi)型，最后結(jié)合最新的網(wǎng)絡(luò)安全技術(shù)，提出了一些防范網(wǎng)絡(luò)安全漏洞的措施。

關(guān)鍵詞：網(wǎng)絡(luò)安全;安全漏洞;防范措施

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2020）15-0077-02

隨著人們生產(chǎn)生活對(duì)網(wǎng)絡(luò)的依賴(lài)性的加強(qiáng)，網(wǎng)絡(luò)安全事件的數(shù)量也在不斷增長(zhǎng)，危害程度也在不斷加大，我們必須采取措施加強(qiáng)網(wǎng)絡(luò)安全防范。

1網(wǎng)絡(luò)安全的重要性

網(wǎng)絡(luò)安全是國(guó)家重點(diǎn)發(fā)展的項(xiàng)目之一，它在保護(hù)國(guó)家安全的同時(shí)，也在接受著國(guó)家的保護(hù)。從其定義可以看出，網(wǎng)絡(luò)安全即保護(hù)網(wǎng)絡(luò)環(huán)境中的信息數(shù)據(jù)安全。只有保證了信息數(shù)據(jù)的安全，使用者才可以在網(wǎng)絡(luò)上正常地進(jìn)行資源上的發(fā)送、接收和共享。在網(wǎng)絡(luò)發(fā)展剛剛起步的時(shí)候，使用人數(shù)較少，使用面較窄，網(wǎng)絡(luò)更多是用在固定的用戶(hù)之間進(jìn)行固定資源的分享，安全性問(wèn)題還沒(méi)有被搬上臺(tái)面。但在現(xiàn)代化的今天，各個(gè)領(lǐng)域都已經(jīng)利用計(jì)算機(jī)開(kāi)展網(wǎng)絡(luò)上的相關(guān)業(yè)務(wù)。當(dāng)個(gè)人隱私、銀行業(yè)務(wù)、國(guó)家機(jī)密數(shù)據(jù)等重要信息需要進(jìn)行網(wǎng)絡(luò)存儲(chǔ)時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)的安全性就成為一個(gè)亟須解決的問(wèn)題。

2網(wǎng)絡(luò)安全漏洞的類(lèi)型分析

“漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷而可以使攻擊者能夠在未經(jīng)授權(quán)的情況下訪問(wèn)或破壞系統(tǒng)?！备鶕?jù)網(wǎng)絡(luò)安全漏洞的形成原因，通?？梢苑譃榕渲寐┒?、編程人員刻意造成的漏洞、用戶(hù)安全意識(shí)不強(qiáng)造成的漏洞、軟件漏洞和協(xié)議漏洞。

2.1配置漏洞

這類(lèi)漏洞主要是人為的無(wú)意失誤造成的。在程序編寫(xiě)的過(guò)程中，許多編程人員并沒(méi)有對(duì)整體設(shè)計(jì)進(jìn)行周密考慮，同時(shí)對(duì)網(wǎng)絡(luò)環(huán)境也不太熟悉，致使程序的安全配置不合理或是不完整，存在適應(yīng)偏差，造成最終產(chǎn)品與安全策略發(fā)生沖突。當(dāng)程序運(yùn)行過(guò)程中遇到一個(gè)理論看似合理，實(shí)際卻無(wú)法實(shí)現(xiàn)的問(wèn)題時(shí)，可能就會(huì)引發(fā)難以預(yù)估的錯(cuò)誤，產(chǎn)生相應(yīng)的網(wǎng)絡(luò)安全漏洞。

2.2編程人員刻意造成的漏洞

為了達(dá)成自身一些不可告人的目的，編程人員有時(shí)候會(huì)在代碼中預(yù)留秘密通道，以實(shí)現(xiàn)對(duì)程序、對(duì)網(wǎng)絡(luò)有效地控制。除此之外，部分用戶(hù)也會(huì)為了提升自身權(quán)限而在網(wǎng)絡(luò)中秘密種下邏輯炸彈等等，從而導(dǎo)致攻擊者可以在未授權(quán)的情況下訪問(wèn)系統(tǒng)，對(duì)系統(tǒng)中的信息進(jìn)行篡改、盜取和破壞。

2.3用戶(hù)安全意識(shí)不強(qiáng)造成的漏洞

從我國(guó)互聯(lián)網(wǎng)絡(luò)大數(shù)據(jù)統(tǒng)計(jì)來(lái)看，系統(tǒng)服務(wù)器、應(yīng)用軟件以及各類(lèi)網(wǎng)站每周都會(huì)受到成千上萬(wàn)次的訪問(wèn)，但是這些訪問(wèn)中只有60%是以合法方式進(jìn)行的，剩下的40%則觸碰到了法律紅線。換言之，這40%的訪問(wèn)會(huì)給網(wǎng)絡(luò)安全性帶來(lái)巨大隱患。這個(gè)數(shù)據(jù)足以看出我國(guó)互聯(lián)網(wǎng)用戶(hù)安全意識(shí)有待提高，社會(huì)上對(duì)于網(wǎng)絡(luò)安全的教育也應(yīng)該加強(qiáng)。

2.4軟件漏洞

在計(jì)算機(jī)軟件系統(tǒng)中，無(wú)論是系統(tǒng)軟件，還是應(yīng)用軟件，都廣泛存在有漏洞。軟件漏洞，又被稱(chēng)為bug，既可能是軟件開(kāi)發(fā)人員的疏忽所導(dǎo)致的，也可能是編程語(yǔ)言的局限性所導(dǎo)致的。從目前互聯(lián)網(wǎng)發(fā)展情況來(lái)看，軟件漏洞蘊(yùn)含著極其寶貴的價(jià)值。當(dāng)攻擊者在官方補(bǔ)丁公開(kāi)發(fā)布前掌握了漏洞使用方法時(shí)，他便可以利用此漏洞“黑”掉互聯(lián)網(wǎng)上任意一臺(tái)主機(jī)。由此，發(fā)現(xiàn)并利用這些尚未打補(bǔ)丁的軟件漏洞也便形成了一條迅速斂財(cái)?shù)漠a(chǎn)業(yè)鏈。從美國(guó)MITRE、SANS Institute發(fā)布的數(shù)據(jù)以及歷史上發(fā)生過(guò)的因bug而致使數(shù)百萬(wàn)元美金損失的事件來(lái)看，軟件漏洞是網(wǎng)絡(luò)安全漏洞一個(gè)非常重要的組成部分，它的安全性問(wèn)題應(yīng)該更為關(guān)注。

2.5協(xié)議漏洞

在計(jì)算機(jī)通信中，通信協(xié)議是指通信雙方完成通信或服務(wù)所必須遵循的規(guī)則和約定。其中，TCP/IP協(xié)議是目前使用范圍最廣的通信協(xié)議。但是，在創(chuàng)建之初人們對(duì)它并沒(méi)有進(jìn)行周全考慮，使得現(xiàn)在的TCP/IP協(xié)議存在巨大的安全性問(wèn)題。由這些問(wèn)題形成的漏洞，會(huì)給計(jì)算機(jī)網(wǎng)絡(luò)帶來(lái)嚴(yán)重的安全隱患，因而有了協(xié)議漏洞這個(gè)分類(lèi)。TCP/IP協(xié)議進(jìn)行數(shù)據(jù)傳輸是基于以下4層結(jié)構(gòu)的，分別為應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層，其中各協(xié)議層都存在相應(yīng)的安全漏洞。

3常用的網(wǎng)絡(luò)安全漏洞的防范措施

為了保障計(jì)算機(jī)網(wǎng)絡(luò)安全，可以采取防火墻技術(shù)、漏洞掃描技術(shù)和數(shù)據(jù)加密技術(shù)等防范措施。

3.1基于防火墻技術(shù)的漏洞防范

“防火墻是隔離本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)的防御系統(tǒng)?！睂?duì)于網(wǎng)絡(luò)安全漏洞而言，最有效的防范措施便是設(shè)置網(wǎng)絡(luò)防火墻。從防火墻技術(shù)的工作方式來(lái)看，可以分為包過(guò)濾防火墻、狀態(tài)檢測(cè)防火墻和代理防火墻三種類(lèi)型。

（1）包過(guò)濾防火墻

通過(guò)路由器技術(shù)對(duì)運(yùn)載通信數(shù)據(jù)的通信包進(jìn)行過(guò)濾篩選，篩除并隔離對(duì)計(jì)算機(jī)有害的非法數(shù)據(jù)，最大限度地阻止攻擊者造訪或是發(fā)現(xiàn)利用漏洞。但此類(lèi)防火墻不能徹底防范地址欺騙問(wèn)題，如果黑客將一個(gè)非法IP地址偽裝成合法地址后，他便可以自由通過(guò)信任這個(gè)地址的防火墻。

（2）狀態(tài)檢測(cè)防火墻

通過(guò)狀態(tài)檢測(cè)包過(guò)濾技術(shù)對(duì)數(shù)據(jù)包進(jìn)行檢測(cè)，從中提取出與應(yīng)用層狀態(tài)相關(guān)的信息，建立虛擬連接。當(dāng)發(fā)現(xiàn)數(shù)據(jù)包狀態(tài)不符時(shí)，則對(duì)它進(jìn)行過(guò)濾處理?？梢哉f(shuō)，狀態(tài)檢測(cè)防火墻是包過(guò)濾防火墻功能的拓展延伸。但此類(lèi)防火墻存在一定的連接時(shí)延，特別是在大漏洞掃描技術(shù)量連接同時(shí)激活時(shí)尤為明顯。

（3）代理防火墻

通過(guò)對(duì)進(jìn)出網(wǎng)絡(luò)的應(yīng)用程序數(shù)據(jù)包進(jìn)行檢測(cè)分析，阻止受信任的內(nèi)部計(jì)算機(jī)與不受信任的外部主機(jī)建立不正常連接，達(dá)到防范網(wǎng)絡(luò)安全漏洞的目的。但此類(lèi)防火墻也存在缺陷，它需要同包過(guò)濾技術(shù)、狀態(tài)過(guò)濾技術(shù)一起使用，時(shí)延相對(duì)較大。另外，還有一些應(yīng)用程序并不支持代理連接。

3.2基于漏洞掃描技術(shù)的漏洞防范

漏洞掃描技術(shù)是對(duì)網(wǎng)絡(luò)安全漏洞進(jìn)行全面準(zhǔn)確分析的重要手段。利用此技術(shù)定期對(duì)計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)庫(kù)信息進(jìn)行掃描，并對(duì)網(wǎng)絡(luò)進(jìn)行安全漏洞分析，可以有效提高網(wǎng)絡(luò)的安全性能。其中，操作系統(tǒng)、通信端口、程序軟件等被列為需要重點(diǎn)掃描防范的對(duì)象，因?yàn)樗鼈兘?jīng)常與外部網(wǎng)絡(luò)環(huán)境進(jìn)行接觸，較為容易沾染上病毒，所以會(huì)有較高概率產(chǎn)生網(wǎng)絡(luò)安全漏洞。通過(guò)重點(diǎn)掃描防范這些對(duì)象，有助于提高網(wǎng)絡(luò)整體的安全防護(hù)能力。

3.3基于數(shù)據(jù)加密技術(shù)的漏洞防范

數(shù)據(jù)庫(kù)信息系統(tǒng)中存在著相應(yīng)的安全漏洞，采用數(shù)據(jù)加密技術(shù)可以有效保障信息數(shù)據(jù)的安全性。數(shù)據(jù)加密是借助相應(yīng)的加密密鑰和加密算法對(duì)需要傳送的信息進(jìn)行加密，使其轉(zhuǎn)換成為密文。當(dāng)該密文傳送到達(dá)接收方后，再通過(guò)相應(yīng)的解密密鑰和解密算法對(duì)密文進(jìn)行解密，使其重新變回明文。在沒(méi)有對(duì)應(yīng)解密密鑰和解密算法的情況下，密文是毫無(wú)意義的。由此可以說(shuō)，數(shù)據(jù)加密技術(shù)是現(xiàn)代網(wǎng)絡(luò)安全技術(shù)的基石，是保障網(wǎng)絡(luò)安全的核心。從很久以前開(kāi)始，人們便會(huì)使用非常奇妙的方法來(lái)對(duì)信息進(jìn)行加密，然后再傳送出去，以保證除了接收方和自己以外無(wú)人可以獲知這些信息。隨著時(shí)代的變更，數(shù)據(jù)加密技術(shù)也在不斷發(fā)展著。就目前已有的密碼技術(shù)來(lái)看，其可以被分為兩大類(lèi)：專(zhuān)用密鑰和公開(kāi)密鑰。以公開(kāi)密鑰為例，它在加密和解密時(shí)使用的是不同的密鑰。其中，加密密鑰為公鑰，解密密鑰為私鑰。這樣做雖然保障了數(shù)據(jù)的機(jī)密性，但卻難以鑒別信息的發(fā)送者。因此創(chuàng)造出了數(shù)字簽名機(jī)制，即發(fā)送者先用私鑰將明文解密，然后再用公鑰加密，把得到的最終結(jié)果發(fā)送出去。由于私鑰只有收發(fā)雙方共享，這樣做既可以確保信息是由發(fā)送者發(fā)送的，也可以確保信息的機(jī)密性，解決了公開(kāi)密鑰存在的問(wèn)題。

4結(jié)束語(yǔ)

在對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞進(jìn)行分析后可以看出，軟件、配置、TCP/IP協(xié)議、使用者等等原因都會(huì)造成安全漏洞，因而為了有效地防范計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題，需要利用防火墻技術(shù)、漏洞掃描技術(shù)和數(shù)據(jù)加密技術(shù)等技術(shù)手段，結(jié)合實(shí)際制定出合理的安全防范措施，這樣才能構(gòu)建一個(gè)和諧發(fā)展的互聯(lián)網(wǎng)環(huán)境。