网站首页  词典首页

请输入您要查询的论文:

 

标题 关于计算机网络的安全漏洞与相关防范措施探讨
范文

    王晓亮

    摘 要 安全漏洞是指网络系统中存在的弱项、缺点或协议缺陷,研制开发操作失误可形成漏洞,在不断纠正或修补以往漏洞时可逐渐凸显新漏洞,因此漏洞有增无减。漏洞高度复杂,对于安全风险、安全隐患的敏感性较高,黑客可利用漏洞渗透网络、深层系统,并执行恶意代码及接收错误指令,增加系统攻击风险、网络操作风险、硬件风险、软件风险。应及时发现漏洞、分析漏洞相关性、防范漏洞,减少漏洞危害。本文探讨了计算机网络的安全漏洞及相关防范措施,旨在主动防治网络问题,减少安全攻击、改进网络安全状态。

    关键词 安全漏洞 网络 计算机

    计算机网络应用领域及空间广阔,已经覆盖全球,为工作创造了诸多便捷,丰富了业余生活,现代社会中的网上购物、电子商务等服务对网络的依赖程度极高,民众生活与网络已互相融合。互联网涉及数量庞大的网络用户与计算机系统,且网络本身存在多种缺陷,因此网络安全隐患、安全漏洞难以避免。网络安全漏洞可增加间谍程序、蠕虫、木马、黑客攻击概率,为病毒隐藏及伪装、网络犯罪提供便利,造成信息泄漏、经济损失,还会引起网络故障。应重视防范安全漏洞,加强网络监管,科学分配网络中的软件资源、硬件资源,降低安全风险、减少恶意攻击及恶意干扰,提高网络保密程度,维持网络正常运转。

    一、安全漏洞

    安全漏洞属于不可控、无可避免、必然的、非正常情况,漏洞可影响路由器、防火墙、操作系统、应用软件正常运行,目前网络应用软件中的漏洞数量增势明显,如Mozilla Firefox及微软IE浏览器漏洞等,且发现漏洞与出现攻击程序之间的时间不断缩短,零日攻击问题频繁发生,漏洞修补程序发布时间落后,导致不能及时修补安全漏洞,增加了网络攻击的可能性。分析安全漏洞时需考虑网络系统环境、具体时间段,常见漏洞包括拒绝服务、安全绕过、信息泄露、缓冲溢出、权限升级漏洞、跨站脚本、注入漏洞、跨站伪造请求、代码执行及无授权访问等。防火墙与网络安全环境保护要求不匹配时也会出现安全漏洞,再加上黑客攻击技术在不断改进,出现安全漏洞时通常会发生程序捆绑攻击行为。编写网络软件程序时可能遗留安全漏洞及BUG,如FTP漏洞、CGI漏洞、ASP漏洞及PHP漏洞等,黑客通常会检测出BUG及安全漏洞,利用病毒攻击网络漏洞,读写系统结构或服务目录,如某些软件接收异常或超长数据时可导致缓冲区发生溢出问题。涉及安全漏洞的协议包括SSH、HTTP、FTP、TELNET、IPSec、TCP、IPv6及DNS等,网络协议主要为TCP/IP協议,协议本身不能准确判断开放性与互联性网络IP地址实际来源,网络黑客可利用安全漏洞侦听传输线路、检查或截取网络数据,推测TCP及改变路由,破坏、覆盖网络数据。

    二、防范措施

    (一)漏洞扫描

    使用网络时应注意定期扫描安全漏洞,包括主机系统、防火墙、WEB站点、局域网的漏洞,了解是否存在窃听系统、不良网络服务,查询TCP/IP端口信息及记录协议响应情况,及时发现与修复漏洞,不断优化网络系统及增强安全攻击抵御能力。扫描漏洞时可采用模拟攻击测试法或目标系统扫描法,模拟攻击指的是利用DDOS、缓冲溢出、护欺骗等方法尝试性攻击远程目标,逐项检查目标系统已知漏洞或可能出现的漏洞。扫描目标系统指的是连接主机端口后请求FTP、TELNET等服务,并记录主机应答信息,通过分析应答过程检测安全漏洞。扫描网络与目标主机时多采用PING技术,使用工具ping与IP地址即可扫描目标主机,根据主机回应情况检测安全漏洞,如主机中的防火墙自动屏蔽PING扫描,可将错误数据发送到目标主机,通过判断ICMP出错响应情况检测漏洞,扫描流程。扫描防火墙安全控制规则中是否存在漏洞时,可采用与Trace-route IP数据分析相类似的方法,扫描时可通过探测网络开启端口与特定网关判断漏洞情况。探测软件漏洞时可发送UDP或ICMP请求报文,对ICMP回应进行分析,包括Que-SO、NAMP分段响应情况,从而判别响应信息与漏洞。扫描网络协议端口时可采用TCP SYN扫描、TCP Connect扫描、认证扫描及秘密扫描技术。

    (二)构建漏洞信息库

    安全漏洞千差万别、种类繁多,构建安全漏洞信息库可以提高漏洞扫描、检测效率,准确验证安全漏洞,标记HTTP文件中的相关内容,根据漏洞信息运用追踪技术查找网络攻击起源路径,实现高效防护。构建信息库时可为不同的漏洞赋予唯一的特征码,在检测或扫描漏洞时可直接利用不同特征码组成的数据包,在数据包中准确提取漏洞特征码,从而高效分析漏洞及获取相应的安全攻击信息。注意根据漏洞扫描与检测结果及时更新特征码,保证信息库中包含详细的安全漏洞信息,包括漏洞特征、状态、信息来源、控件信息及端口信息,漏洞编号、类型、名称、相关引用、修订时间、公布日期或报告时间,漏洞风险评估与危险级别、相关建议、补救方案、漏洞软件与版本、木马匹配规则、后门匹配规则、影响程度与影响平台、处理方式及攻击程度等。目前可使用的漏洞信息库包括NIST实验室的NVD漏洞库、Mitre公司的CVE漏洞库、CERT小组的US-CERT漏洞库、ISS组织的X-Force漏洞库,上述信息库数据下载、发布方式、更新方式各有特点,信息库结构,漏洞信息构成。

    (三)完善网络配置

    为预防黑客利用漏洞发起伪造攻击,可调整路由器访问列表,限制路由器数据包允许通过地址范围;关闭路由器上的源路由,利用No Ip Soure-route命令阻止源路由器发生安全攻击;也可以在RPF检查设备中设置No Ip Directed-broadcast命令,利用No Ip Directed-broadcast命令控制通过路由器的数据,减少路由攻击。为确保端口安全,可在交换机中设置MAC地址数允许值,控制允许流量,避免网络设备无定向、徒然处理数据包,减少协议端口单播扩散转发流量,减少安全漏洞与安全攻击。连接网络时应尽量关闭计算机中的打印共享与文件共享功能,必要时可隐藏IP,避免设置空连接,将无用网络端口及服务程序关闭,禁用Guest账号。确保防火墙或服务器相匹配,删除无用软件程序与缺省路由,安装病毒查杀与反查杀软件,结合杀毒与防毒,组建多层次病毒防卫体系,注意更新杀毒软件、系统补丁,如卡巴斯基、小红伞、金山毒霸等。设置复杂的服务密码,完全隐藏重要目录或文件,禁用Windows服务器中的Telnet服务、Remote Registry服务及Messenger服务。

    三、结语

    网络资源开放、分散、共享,安全攻击具有易欺骗性、潜藏性与隐蔽性特点,可利用系统漏洞、网络漏洞等安全漏洞非法截获访问信息,威胁网络运行安全,引起隐蔽性攻击、数据被窃、系统瘫痪、网络破坏与网络犯罪,影响网络交流、沟通、信息共享。要主动制定防范措施应对安全漏洞,提高网络结构自身的安全性,设计诱骗技术、网络陷阱、追踪技术、信息证据获取技术等,控制入网访问,使用安全服务程序与通信协议,双重加密网络数据,避免网络硬件、软件遭到更改、攻击、破坏。此外,应注意减少操作系统、认证技术缺陷,注重维修及检测网络运行空间,做到定期扫描、更新、清理,及时修正漏洞。

    (作者单位为大连电子学校)

随便看

 

科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。

 

Copyright © 2004-2023 puapp.net All Rights Reserved
更新时间:2024/12/23 8:52:23