《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 其他 > 設(shè)計應(yīng)用 > 計算機(jī)安全漏洞及防范研究
計算機(jī)安全漏洞及防范研究
來源:微型機(jī)與應(yīng)用2013年第7期
李換雙,,潘 平,,羅 輝
(貴州大學(xué) 計算機(jī)科學(xué)與信息學(xué)院,,貴州 貴陽550025)
摘要: 結(jié)合實(shí)際工作發(fā)現(xiàn)的安全漏洞,,從訪問控制,、防火墻技術(shù),、病毒防范和入侵檢測4個方面探討了計算機(jī)網(wǎng)絡(luò)安全防范措施,。通過安全防范措施,,保證了網(wǎng)絡(luò)環(huán)境的安全,,減少了被黑客攻擊的可能性,。
Abstract:
Key words :

摘  要: 結(jié)合實(shí)際工作發(fā)現(xiàn)的安全漏洞,從訪問控制,、防火墻技術(shù),、病毒防范和入侵檢測4個方面探討了計算機(jī)網(wǎng)絡(luò)安全防范措施。通過安全防范措施,,保證了網(wǎng)絡(luò)環(huán)境的安全,,減少了被黑客攻擊的可能性。
關(guān)鍵詞: 網(wǎng)絡(luò)安全,;計算機(jī),;漏洞;安全防范,;黑客

 隨著計算機(jī)技術(shù)和信息技術(shù)的迅猛發(fā)展,,網(wǎng)絡(luò)安全問題日漸顯著。計算機(jī)網(wǎng)絡(luò)向世界各個角落延伸,,用戶通過網(wǎng)絡(luò)享受著巨大便利的同時,,安全隱患令人擔(dān)憂。近幾年來網(wǎng)絡(luò)攻擊事件不斷增多,,計算機(jī)安全漏洞數(shù)量有增無減,,因而造成的危害不斷增多,影響惡劣,,在一定程度上危害到人民群眾的根本利益和社會經(jīng)濟(jì)發(fā)展的穩(wěn)定性,。但是,半數(shù)以上的攻擊都是基于計算機(jī)本身存在的漏洞而進(jìn)行的,,各行業(yè)網(wǎng)絡(luò)管理員及計算機(jī)用戶應(yīng)增強(qiáng)安全防范,,構(gòu)建完善的網(wǎng)絡(luò)安全環(huán)境,科學(xué)地進(jìn)行漏洞發(fā)現(xiàn),、漏洞分析及漏洞安全防范工作,,避免造成不必要的損失。
1 計算機(jī)安全漏洞簡單介紹
1.1 漏洞的定義
 漏洞是在硬件,、軟件和協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷,,從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。
 大多數(shù)用戶對安全漏洞的概念或多或少會有一定的了解,但由于所處的領(lǐng)域不同,、看待漏洞的角度不同和研究的程度不同,,導(dǎo)致對漏洞的理解也不同。信息安全漏洞的最早定義是由美國著名的計算機(jī)安全專家DENNING D E R[1]博士于1982年提出的,,他從訪問控制角度,,把漏洞定義為“導(dǎo)致操作系統(tǒng)執(zhí)行的操作和訪問控制矩陣所定義的安全策略之間相沖突的所有因素”。
1.2 漏洞的分類
 當(dāng)今世界每天所依賴的軟件和網(wǎng)絡(luò)應(yīng)用確實(shí)存在著漏洞,,這只是軟件開發(fā)快速發(fā)展的必然結(jié)果,。根據(jù)中國國家信息安全漏洞庫(CNNVD)統(tǒng)計,2012年10月份新增安全漏洞772個,,日平均新增漏洞數(shù)量約25個,,與前5個月平均增長數(shù)量相比,增長速度有所上升,。圖1為近6個月漏洞新增數(shù)量統(tǒng)計圖,。

 據(jù)析,新增漏洞主要為主流操作系統(tǒng)漏洞,、TCP/IP協(xié)議缺陷漏洞及由安全策略引起的漏洞,。
 (1)操作系統(tǒng)本身漏洞及鏈路連接漏洞[2]
 操作系統(tǒng)是一個人機(jī)交互便捷平臺,,要支持各種應(yīng)用,,各種操作系統(tǒng)都存在著先天缺陷和不斷增加新功能而帶的漏洞,。操作系統(tǒng)為用戶提供的功能越多,,應(yīng)用越新,漏洞的數(shù)量及其存在漏洞的可能性越大,,受到攻擊的可能性越大,;服務(wù)器或者PC安裝的操作系統(tǒng)時期越長,用的人越多,,暴露漏洞的概率越大,,越容易受到攻擊。黑客攻擊防火墻或內(nèi)部主機(jī),,一般都是先攻擊操作系統(tǒng),,控制了操作系統(tǒng)就控制了防火墻或內(nèi)部主機(jī)。計算機(jī)正常運(yùn)行期間,,需通過鏈路連接網(wǎng)絡(luò)互通功能,,一旦存在鏈接,相應(yīng)的就會存在被攻擊的可能性,。鏈路連接攻擊及基于數(shù)據(jù)鏈路的會話攻擊等,。
 (2)TCP/IP協(xié)議缺陷漏洞
 TCP/IP漏洞的根本所在就是目前其內(nèi)在控制機(jī)制對源地址還無法進(jìn)行有效的鑒別,無法證實(shí)IP地址準(zhǔn)確無誤地從哪里來,。這就為網(wǎng)絡(luò)攻擊者利用偵聽技術(shù)破壞計算機(jī)網(wǎng)絡(luò)提供了很大的可能性,,黑客利用此漏洞可以對數(shù)據(jù)進(jìn)行檢查,推測TCP的序列號,,修改鑒別過程,,插入非法數(shù)據(jù)流。
?。?)安全策略漏洞
 網(wǎng)絡(luò)正常運(yùn)行各項服務(wù)的正常開展都源于計算機(jī)端口開放功能,。例如80端口開放,實(shí)現(xiàn)HTTP服務(wù)發(fā)揮功能,;25端口開放,,則可以提供SMTP服務(wù)。端口正常開放,,在給用戶帶來方便的同時,,也增加了計算機(jī)遭受攻擊的可能性,這時,,傳統(tǒng)的防火墻的防護(hù)功能已經(jīng)顯得蒼白無力,,很難發(fā)揮其有效的作用。
根據(jù)貴州省2012年信息安全評估示范項目過程中漏洞掃描師對貴州省**廳局進(jìn)行的服務(wù)器外網(wǎng)漏洞掃描報告,,分析得出漏洞分布情況如圖2所示,。

2 計算機(jī)安全漏洞防范措施
 針對網(wǎng)絡(luò)安全漏洞的類型,目前比較有效的防范措施主要有訪問控制,、防火墻技術(shù),、病毒防范和入侵檢測技術(shù)等,其中對廣大網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)管理員的安全培訓(xùn)也是至關(guān)重要的,。
2.1 訪問控制
 針對操作系統(tǒng)本身漏洞,,根據(jù)第三級安全標(biāo)記保護(hù)級[3]主要從身份鑒別、自主訪問控制,、強(qiáng)制訪問控制,、數(shù)據(jù)流控制、安全審計,、用戶數(shù)據(jù)完整性和用戶數(shù)據(jù)保密性進(jìn)行功能加強(qiáng),。
2.2 防火墻技術(shù)
 防火墻是設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間(可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò))的一系列部件(軟件與硬件)的組合,是目前最廣泛,、最經(jīng)濟(jì)有效的安全漏洞防范措施之一,。通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流,,實(shí)現(xiàn)對進(jìn),、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計和控制,,從而防止不明身份黑客進(jìn)入計算機(jī)用戶網(wǎng)絡(luò),保護(hù)用戶的信息免于遭受破壞,。
2.3 防病毒技術(shù)
 防病毒技術(shù)就是如何通過各種技術(shù)手段預(yù)防,、查殺各種病毒代碼,通過防范計算機(jī)遭受各種病毒(包括病毒,、蠕蟲,、惡意代碼、木馬等)的感染,、攻擊和破壞,,保證計算機(jī)的數(shù)據(jù)安全和應(yīng)用安全。從防病毒產(chǎn)品的部署來看可分為主機(jī)型防病毒產(chǎn)品和網(wǎng)關(guān)型防病毒產(chǎn)品,。防病毒網(wǎng)關(guān)設(shè)計安裝在網(wǎng)絡(luò)邊緣,,病毒侵入前進(jìn)行實(shí)時地阻止,這樣很好地解決了病毒在被單機(jī)防病毒軟件查殺前已經(jīng)進(jìn)入網(wǎng)絡(luò)的安全風(fēng)險,,且很好地避免了計算機(jī)用戶不熟悉防病毒軟件使用的風(fēng)險[4],。
2.4 入侵檢測技術(shù)
 入侵檢測系統(tǒng)具有更多的智能,它利用各種不同類型的引擎對系統(tǒng)進(jìn)行實(shí)時或定期監(jiān)控,,獲取系統(tǒng)的審計數(shù)據(jù)或網(wǎng)絡(luò)數(shù)據(jù)包,,然后將得到的數(shù)據(jù)進(jìn)行分析,并判斷系統(tǒng)或網(wǎng)絡(luò)是否出現(xiàn)異?;蛉肭中袨?,一旦發(fā)現(xiàn)異常或入侵情況,,發(fā)出報警并采取相應(yīng)的保護(hù)措施,。
2.5 加強(qiáng)網(wǎng)絡(luò)管理員綜合素質(zhì)[5]
 隨著計算機(jī)防范技術(shù)的發(fā)展,黑客攻擊技術(shù)水平也在不斷提高,,因此網(wǎng)絡(luò)環(huán)境不存在絕對意義上的安全,。應(yīng)加強(qiáng)網(wǎng)絡(luò)管理員安全培訓(xùn),,提高網(wǎng)絡(luò)管理人員綜合素質(zhì),,健全安全管理。通過認(rèn)識計算機(jī)安全漏洞,、分析漏洞和加強(qiáng)防范措施,,爭取最大限度地確保計算機(jī)網(wǎng)絡(luò)的安全性,減少被黑客攻擊的可能性,。
通過實(shí)踐工作中發(fā)現(xiàn)的計算機(jī)安全漏洞并對其分析,,找出其安全防范對策。主要從訪問控制,、防火墻,、防病毒和入侵檢測(正在發(fā)展為入侵防御)幾個方面來加強(qiáng)防范,,不給黑客留有可乘之機(jī),確保網(wǎng)絡(luò)用戶的信息安全,。
 另外,,在大型企業(yè)和政府部門,在服務(wù)器安全運(yùn)維階段,,網(wǎng)絡(luò)管理人員應(yīng)對網(wǎng)絡(luò)環(huán)境開展定期系統(tǒng)審計,、漏洞掃描和滲透測試,進(jìn)一步提升網(wǎng)絡(luò)安全運(yùn)維情況,。在網(wǎng)絡(luò)正常工作期間進(jìn)行定期和不定期風(fēng)險評估,,以便幫助確認(rèn)網(wǎng)絡(luò)環(huán)境保持的安全等級是否發(fā)生變化[6]。計算機(jī)安全漏洞及防范措施的研究是一項長期動態(tài)工作,,需得到管理人員的鼎力支持,,并具有繼續(xù)研究下去的意義。
參考文獻(xiàn)
[1] DENNING D E R. Crytography and data security[M]. USA,,Boston: Addition-Wesley,,1982.
[2] 鄭平.淺談計算機(jī)網(wǎng)絡(luò)安全漏洞及防范措施[J].計算機(jī)光盤軟件與應(yīng)用,2012(3):31-46.
[3] GB/T20272-2006.信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求[S].中國:中國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局,、中國國家標(biāo)準(zhǔn)化管理委員會,,2006.
[4] 武春嶺,李賀華.信息安全產(chǎn)品配置與應(yīng)用[M].北京:電子工業(yè)出版社,,2010.
[5] 倪靈芝.計算機(jī)網(wǎng)絡(luò)安全漏洞及解決措施初探[J].信息與電腦,,2012(1):24-25.
[6] 范紅.信息安全風(fēng)險評估規(guī)范國家標(biāo)準(zhǔn)理解與實(shí)施[M].北京:中國標(biāo)準(zhǔn)出版社,2008.

此內(nèi)容為AET網(wǎng)站原創(chuàng),,未經(jīng)授權(quán)禁止轉(zhuǎn)載,。