摘 要: 結(jié)合實(shí)際工作發(fā)現(xiàn)的安全漏洞,,從訪問(wèn)控制、防火墻技術(shù),、病毒防范和入侵檢測(cè)4個(gè)方面探討了計(jì)算機(jī)網(wǎng)絡(luò)安全防范措施,。通過(guò)安全防范措施,保證了網(wǎng)絡(luò)環(huán)境的安全,,減少了被黑客攻擊的可能性,。
關(guān)鍵詞: 網(wǎng)絡(luò)安全,;計(jì)算機(jī);漏洞,;安全防范,;黑客
隨著計(jì)算機(jī)技術(shù)和信息技術(shù)的迅猛發(fā)展,網(wǎng)絡(luò)安全問(wèn)題日漸顯著,。計(jì)算機(jī)網(wǎng)絡(luò)向世界各個(gè)角落延伸,,用戶通過(guò)網(wǎng)絡(luò)享受著巨大便利的同時(shí),安全隱患令人擔(dān)憂,。近幾年來(lái)網(wǎng)絡(luò)攻擊事件不斷增多,,計(jì)算機(jī)安全漏洞數(shù)量有增無(wú)減,因而造成的危害不斷增多,,影響惡劣,,在一定程度上危害到人民群眾的根本利益和社會(huì)經(jīng)濟(jì)發(fā)展的穩(wěn)定性。但是,,半數(shù)以上的攻擊都是基于計(jì)算機(jī)本身存在的漏洞而進(jìn)行的,,各行業(yè)網(wǎng)絡(luò)管理員及計(jì)算機(jī)用戶應(yīng)增強(qiáng)安全防范,構(gòu)建完善的網(wǎng)絡(luò)安全環(huán)境,,科學(xué)地進(jìn)行漏洞發(fā)現(xiàn),、漏洞分析及漏洞安全防范工作,避免造成不必要的損失,。
1 計(jì)算機(jī)安全漏洞簡(jiǎn)單介紹
1.1 漏洞的定義
漏洞是在硬件,、軟件和協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權(quán)的情況下訪問(wèn)或破壞系統(tǒng),。
大多數(shù)用戶對(duì)安全漏洞的概念或多或少會(huì)有一定的了解,,但由于所處的領(lǐng)域不同、看待漏洞的角度不同和研究的程度不同,,導(dǎo)致對(duì)漏洞的理解也不同,。信息安全漏洞的最早定義是由美國(guó)著名的計(jì)算機(jī)安全專家DENNING D E R[1]博士于1982年提出的,他從訪問(wèn)控制角度,,把漏洞定義為“導(dǎo)致操作系統(tǒng)執(zhí)行的操作和訪問(wèn)控制矩陣所定義的安全策略之間相沖突的所有因素”。
1.2 漏洞的分類
當(dāng)今世界每天所依賴的軟件和網(wǎng)絡(luò)應(yīng)用確實(shí)存在著漏洞,,這只是軟件開(kāi)發(fā)快速發(fā)展的必然結(jié)果,。根據(jù)中國(guó)國(guó)家信息安全漏洞庫(kù)(CNNVD)統(tǒng)計(jì),2012年10月份新增安全漏洞772個(gè),,日平均新增漏洞數(shù)量約25個(gè),,與前5個(gè)月平均增長(zhǎng)數(shù)量相比,增長(zhǎng)速度有所上升,。圖1為近6個(gè)月漏洞新增數(shù)量統(tǒng)計(jì)圖,。
據(jù)析,,新增漏洞主要為主流操作系統(tǒng)漏洞、TCP/IP協(xié)議缺陷漏洞及由安全策略引起的漏洞,。
?。?)操作系統(tǒng)本身漏洞及鏈路連接漏洞[2]
操作系統(tǒng)是一個(gè)人機(jī)交互便捷平臺(tái),要支持各種應(yīng)用,,各種操作系統(tǒng)都存在著先天缺陷和不斷增加新功能而帶的漏洞,。操作系統(tǒng)為用戶提供的功能越多,應(yīng)用越新,,漏洞的數(shù)量及其存在漏洞的可能性越大,,受到攻擊的可能性越大;服務(wù)器或者PC安裝的操作系統(tǒng)時(shí)期越長(zhǎng),,用的人越多,,暴露漏洞的概率越大,越容易受到攻擊,。黑客攻擊防火墻或內(nèi)部主機(jī),,一般都是先攻擊操作系統(tǒng),控制了操作系統(tǒng)就控制了防火墻或內(nèi)部主機(jī),。計(jì)算機(jī)正常運(yùn)行期間,,需通過(guò)鏈路連接網(wǎng)絡(luò)互通功能,一旦存在鏈接,,相應(yīng)的就會(huì)存在被攻擊的可能性,。鏈路連接攻擊及基于數(shù)據(jù)鏈路的會(huì)話攻擊等。
?。?)TCP/IP協(xié)議缺陷漏洞
TCP/IP漏洞的根本所在就是目前其內(nèi)在控制機(jī)制對(duì)源地址還無(wú)法進(jìn)行有效的鑒別,,無(wú)法證實(shí)IP地址準(zhǔn)確無(wú)誤地從哪里來(lái)。這就為網(wǎng)絡(luò)攻擊者利用偵聽(tīng)技術(shù)破壞計(jì)算機(jī)網(wǎng)絡(luò)提供了很大的可能性,,黑客利用此漏洞可以對(duì)數(shù)據(jù)進(jìn)行檢查,,推測(cè)TCP的序列號(hào),修改鑒別過(guò)程,,插入非法數(shù)據(jù)流,。
(3)安全策略漏洞
網(wǎng)絡(luò)正常運(yùn)行各項(xiàng)服務(wù)的正常開(kāi)展都源于計(jì)算機(jī)端口開(kāi)放功能,。例如80端口開(kāi)放,,實(shí)現(xiàn)HTTP服務(wù)發(fā)揮功能;25端口開(kāi)放,,則可以提供SMTP服務(wù),。端口正常開(kāi)放,在給用戶帶來(lái)方便的同時(shí),也增加了計(jì)算機(jī)遭受攻擊的可能性,,這時(shí),,傳統(tǒng)的防火墻的防護(hù)功能已經(jīng)顯得蒼白無(wú)力,很難發(fā)揮其有效的作用,。
根據(jù)貴州省2012年信息安全評(píng)估示范項(xiàng)目過(guò)程中漏洞掃描師對(duì)貴州省**廳局進(jìn)行的服務(wù)器外網(wǎng)漏洞掃描報(bào)告,,分析得出漏洞分布情況如圖2所示。
2 計(jì)算機(jī)安全漏洞防范措施
針對(duì)網(wǎng)絡(luò)安全漏洞的類型,,目前比較有效的防范措施主要有訪問(wèn)控制,、防火墻技術(shù)、病毒防范和入侵檢測(cè)技術(shù)等,,其中對(duì)廣大網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)管理員的安全培訓(xùn)也是至關(guān)重要的,。
2.1 訪問(wèn)控制
針對(duì)操作系統(tǒng)本身漏洞,根據(jù)第三級(jí)安全標(biāo)記保護(hù)級(jí)[3]主要從身份鑒別,、自主訪問(wèn)控制,、強(qiáng)制訪問(wèn)控制、數(shù)據(jù)流控制,、安全審計(jì),、用戶數(shù)據(jù)完整性和用戶數(shù)據(jù)保密性進(jìn)行功能加強(qiáng)。
2.2 防火墻技術(shù)
防火墻是設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間(可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò))的一系列部件(軟件與硬件)的組合,,是目前最廣泛,、最經(jīng)濟(jì)有效的安全漏洞防范措施之一。通過(guò)允許,、拒絕或重新定向經(jīng)過(guò)防火墻的數(shù)據(jù)流,,實(shí)現(xiàn)對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問(wèn)的審計(jì)和控制,,從而防止不明身份黑客進(jìn)入計(jì)算機(jī)用戶網(wǎng)絡(luò),,保護(hù)用戶的信息免于遭受破壞。
2.3 防病毒技術(shù)
防病毒技術(shù)就是如何通過(guò)各種技術(shù)手段預(yù)防,、查殺各種病毒代碼,,通過(guò)防范計(jì)算機(jī)遭受各種病毒(包括病毒、蠕蟲(chóng),、惡意代碼,、木馬等)的感染、攻擊和破壞,,保證計(jì)算機(jī)的數(shù)據(jù)安全和應(yīng)用安全,。從防病毒產(chǎn)品的部署來(lái)看可分為主機(jī)型防病毒產(chǎn)品和網(wǎng)關(guān)型防病毒產(chǎn)品。防病毒網(wǎng)關(guān)設(shè)計(jì)安裝在網(wǎng)絡(luò)邊緣,,病毒侵入前進(jìn)行實(shí)時(shí)地阻止,這樣很好地解決了病毒在被單機(jī)防病毒軟件查殺前已經(jīng)進(jìn)入網(wǎng)絡(luò)的安全風(fēng)險(xiǎn),且很好地避免了計(jì)算機(jī)用戶不熟悉防病毒軟件使用的風(fēng)險(xiǎn)[4],。
2.4 入侵檢測(cè)技術(shù)
入侵檢測(cè)系統(tǒng)具有更多的智能,,它利用各種不同類型的引擎對(duì)系統(tǒng)進(jìn)行實(shí)時(shí)或定期監(jiān)控,獲取系統(tǒng)的審計(jì)數(shù)據(jù)或網(wǎng)絡(luò)數(shù)據(jù)包,,然后將得到的數(shù)據(jù)進(jìn)行分析,,并判斷系統(tǒng)或網(wǎng)絡(luò)是否出現(xiàn)異常或入侵行為,,一旦發(fā)現(xiàn)異?;蛉肭智闆r,發(fā)出報(bào)警并采取相應(yīng)的保護(hù)措施,。
2.5 加強(qiáng)網(wǎng)絡(luò)管理員綜合素質(zhì)[5]
隨著計(jì)算機(jī)防范技術(shù)的發(fā)展,,黑客攻擊技術(shù)水平也在不斷提高,因此網(wǎng)絡(luò)環(huán)境不存在絕對(duì)意義上的安全,。應(yīng)加強(qiáng)網(wǎng)絡(luò)管理員安全培訓(xùn),,提高網(wǎng)絡(luò)管理人員綜合素質(zhì),健全安全管理,。通過(guò)認(rèn)識(shí)計(jì)算機(jī)安全漏洞,、分析漏洞和加強(qiáng)防范措施,爭(zhēng)取最大限度地確保計(jì)算機(jī)網(wǎng)絡(luò)的安全性,,減少被黑客攻擊的可能性,。
通過(guò)實(shí)踐工作中發(fā)現(xiàn)的計(jì)算機(jī)安全漏洞并對(duì)其分析,找出其安全防范對(duì)策,。主要從訪問(wèn)控制,、防火墻、防病毒和入侵檢測(cè)(正在發(fā)展為入侵防御)幾個(gè)方面來(lái)加強(qiáng)防范,,不給黑客留有可乘之機(jī),,確保網(wǎng)絡(luò)用戶的信息安全。
另外,,在大型企業(yè)和政府部門,,在服務(wù)器安全運(yùn)維階段,網(wǎng)絡(luò)管理人員應(yīng)對(duì)網(wǎng)絡(luò)環(huán)境開(kāi)展定期系統(tǒng)審計(jì),、漏洞掃描和滲透測(cè)試,,進(jìn)一步提升網(wǎng)絡(luò)安全運(yùn)維情況。在網(wǎng)絡(luò)正常工作期間進(jìn)行定期和不定期風(fēng)險(xiǎn)評(píng)估,,以便幫助確認(rèn)網(wǎng)絡(luò)環(huán)境保持的安全等級(jí)是否發(fā)生變化[6],。計(jì)算機(jī)安全漏洞及防范措施的研究是一項(xiàng)長(zhǎng)期動(dòng)態(tài)工作,需得到管理人員的鼎力支持,,并具有繼續(xù)研究下去的意義,。
參考文獻(xiàn)
[1] DENNING D E R. Crytography and data security[M]. USA,Boston: Addition-Wesley,1982.
[2] 鄭平.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全漏洞及防范措施[J].計(jì)算機(jī)光盤軟件與應(yīng)用,,2012(3):31-46.
[3] GB/T20272-2006.信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求[S].中國(guó):中國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局,、中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì),2006.
[4] 武春嶺,,李賀華.信息安全產(chǎn)品配置與應(yīng)用[M].北京:電子工業(yè)出版社,,2010.
[5] 倪靈芝.計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞及解決措施初探[J].信息與電腦,2012(1):24-25.
[6] 范紅.信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范國(guó)家標(biāo)準(zhǔn)理解與實(shí)施[M].北京:中國(guó)標(biāo)準(zhǔn)出版社,,2008.