《网络安全漏洞及解决》由会员分享,可在线阅读,更多相关《网络安全漏洞及解决(6页珍藏版)》请在金锄头文库上搜索。
1、计算机网络安全漏洞及解决措施初探摘 要:随着计算机网络技术的快速发展,网络安全日益成为人们关注的焦 点。本文分析了影响网络安全的主要因素及攻击的主要方式,从管理和技术两方 面就加强计算机网络安全提出了针对性的建议。关键词计算机网络安全漏洞 解决措施前曰计算机诞生之初功能较为单一,数据处理相对简单,而随着计算机网络技术 的发展,计算机功能的多样化与信息处理的复杂程度显著提高。网络的出现,将 过去时间与空间相对独立和分散的信息集成起来,构成庞大的数据信息资源系 统,为人们提供更加便捷化的信息处理与使用方式,极大的推动了信息化时代的 发展进程。然而,随之而来的是这些信息数据的安全问题,公开化的网络平
2、台为 非法入侵者提供了可乘之机,不但会对重要的信息资源造成损坏,同时也会给整 个网络带来相当大的安全隐患。因此,计算机网络安全问题成为当今最为热门的 焦点之一,随着网络技术的发展,安全防范措施也在不断更新。1计算机网络安全的主要漏洞计算机网络安全是指“为数据处理系统建立和采取的技术和管理的安全保 护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄 漏”。计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的 内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保 护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、 完整性和可用性的
3、保护。计算机网络所面临的威胁是多方面的,既包括对网络中信息的威胁,也包 括对网络中设备的威胁,但归结起来,主要有以下几个方面。1.1网络硬件设施方面。计算机网络硬件设施是互联网中必不可少的部分, 硬件设施本身就有着安全隐患。电子辐射泄露就是其主要的安全隐患问题,也就 是说计算机和网络所包含的电磁信息泄露了,这增加了窃密、失密、泄密的危险; 此外安全隐患问题也体现在通信部分的脆弱性上,在进行数据与信息的交换和通 信活动时,主要通过四种线路,即光缆、电话线、专线、微波,除光缆外其它三 种线路上的信息比较容易被窃取;除上述方面外,计算机的操作系统与硬件组成 的脆弱性,也给系统的滥用埋下了隐患。另外,
4、移动存储介质。移动存储介质 比如U盘、移动硬盘等,由于其自身具有方便小巧、存储量大、通用性强、易携 带等特点,应用比较广泛,尤其是涉密单位,这给网络系统的信息安全造成很大 的隐患。如有的不知道U盘、移动硬盘上删除的文件能够还原,将曾经存贮过私 密信息的U盘外借,造成信息的泄露。1.2操作系统方面。操作系统是对网络系统与本地计算机的安全起关键的 决定性作用的部分。这是因为构建用户连接、上层软件、计算机硬件三者间联系 的就是计算机的操作系统。操作系统要在复杂的网络环境下能够更好的工作,无 疑会出现安全方面的漏洞,后门与系统漏洞是操作系统最主要的安全隐患,其包 含诸多的问题,比如Windows的远程
5、过程调用RPC漏洞、Linux下的缓冲区溢出等。 所以,很容易可以看出,在不能完全符合软件安全需要的情况下所引发的计算机 网络系统的主要缺陷是操作系统软件的安全漏洞的本质,另外,由于操作系统存 在安全隐患,数据库程序及电子邮件等都有可能会存在危险。根据漏洞被利用的 不同方式,有大约237条的攻击属于远程攻击,而本地攻击仅有25条,由此得出 漏洞被利用的主要方式是远程攻击,远程攻击对于网络安全带来了巨大的隐患。1.3软件方面。近年来,Oracle、微软、Sun都公布了安全更新公告,提醒 用户尽快下载、安装官方网站上的相应程序,这些安全策略内容主要涉及Windows 操作系统内核更新和Office
6、组件的安全更新,操作系统的安全形势非常的严峻, 给用户的信息带来了巨大的隐患。一旦有漏洞的系统在执行过程中出现缺陷,同 时遇到攻击,很可能会引发系统的完全失效。应用软件的与生俱来的特征之一就 是软件缺陷。这些缺陷不仅存在于小程序,也贯穿于大软件之中,生命与财产因 此面临很大的威胁。最为典型的例子是上个世纪的海湾战争中,软件计时系统存 在误差,而且这一误差不断被累积,致使美军的爱国者导弹拦截伊拉克飞毛腿导 弹失败,出现了巨大的人员伤亡,引发了严重的后果。不少网络安全问题是由应 用软件所存在的缺陷引起的,应用软件的这些安全隐含必须受到足够的重视。总 之,从目前的情况来看,我国自2000年来越来越重
7、视信息安全的关键作用,信息 与网络安全产业初步形成了一定规模。然而从总的情况看,我们国家的信息与网 络安全依然存在着巨大的问题。随着网络的普及,移动,互联网,电信业务的不 断整合,需要把网络建设成真正可靠、安全的网络已经成为每个网络安全研究人 员必须解决的主要问题之一。2计算机网络受攻击的主要形式由于计算机网络的开放性、互连性等特征,致使网络为病毒、黑客和其他不 轨的攻击提供机会,所以研究计算机网络的安全以及防范措施是必要的,这样才 能确保网络信息的保密性、安全性、完整性和可用性。计算机网络应用中常见的 安全问题主要有以下六种形式。2.1威胁系统漏洞。由于任何一个操作系统和网络软件在设计上存在
8、缺陷和 错误,这就成为一种不安全的隐患,让不法者利用,一些恶意代码会通过漏洞很 容易进入计算机系统对主机进行攻击或控制电脑。所以在使用电脑时,要及时安 装网络安全扫描工具,及时下载系统补丁来修复系统漏洞。2.2欺骗技术攻击。通过欺骗路由条目、IP地址、DNS解析地址,使服务器无法正常响应这些请 求或无法辨别这些请求来攻击服务器,从而造成缓冲区资源阻塞或死机;或者通 过将局域网中的某台计算机设置为网关IP地址,导致网络中数据包转发异常而使 某一网段无法访问。例如局域网中ARP攻击包问题。2.3 “黑客”的侵犯。“黑客”就是一种在网络中具有破坏性、隐蔽性和非授权性的特性,通过网 络利用系统漏洞等方
9、式非法植入对方计算机系统,一旦进入计算机中,用户的主 机就被黑客完全利用,成为黑客的超级用户,黑客程序可以被用来窃取密码、口 令、帐号、阻塞用户、电子邮件骚扰、篡改网页、破坏程序等行为,对用户主机 安全构成严重威胁。因此,从某种意义上讲,黑客对网络安全的危害甚至超过网 络病毒攻击。2.4计算机病毒攻击。计算机病毒是危害网络安全的最主要因素。计算机病毒具有隐蔽性、传染性、 潜伏性、破坏性、可触发性。病毒程序轻者降低系统工作效率,重者导致系统崩 溃、数据丢失,造成无可挽回的损失,所以我们要正确认识并对待网络病毒的攻 击,减少对个人计算机及网络系统的破坏,以保护计算机网络安全,使得计算机 网络真正发
10、挥其积极的作用。2.5网络物理设备故障问题。网络中的设备包括计算机、网络通信设备、存储设备、传输设备、防雷系统、 抗电磁干扰系统、网络环境都是网络安全的重要保障,每个环节设备出现问题, 都会造成网络故障。所以定期和不定期检测设备、使用先进的网络设备和产品是 网络安全不可忽视的问题。2.6网络管理缺陷问题。如果管理不严格,网络安全意识不强,都会对网络安全造成威胁,如用户名 和口令设置不妥,重要机密数据不加密,数据备份不及时,用户级别权限划分不 明确或根本无级别限制,就容易导致病毒、黑客和非法受限用户入侵网络系统, 让数据泄露、修改、删除,甚至使系统崩溃。3加强计算机网络安全的对策措施3.1网络安
11、全的审计和跟踪技术。审计和跟踪这种机制一般情况下并不干涉和直接影响主业务流程,而是通过 对主业务进行记录、检查、监控等来完成以审计、完整性等要求为主的安全功能。 审计和跟踪所包括的典型技术有:入侵检测系统(IDS)、漏洞扫描系统、安全 审计系统,等等。我们以IDS为例,IDS是作为防火墙的合理补充,能够帮助系统 对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻 识别和响应),提高了信息安全基础结构的完整性。入侵检测是一种主动保护网 络和系统安全的技术,它从计算机系统或网络中采集、分析数据,查看网络或主 机系统中是否有违反安全策略的行为和遭到攻击的迹象,并采取适当的响应措施
12、 来阻挡攻击,降低可能的损失。它能提供对内部攻击、外部攻击和误操作的保护。 入侵检测系统可分为基于主机的入侵检测系统和基于网络的入侵检测系统两 类。3.2运用防火墙技术。防火墙是目前最为流行、使用最广泛的一种网络安全技术,它的核心思想是 在不安全的网络环境中构造一个相对安全的子网环境。防火墙的最大优势就在于 可以对两个网络之间的访问策略进行控制,限制被保护的网络与互联网络之间, 或者与其他网络之间进行的信息存取、传递操作。它具有以下特性:所有的从内 部到外部或从外部到内部的通信都必须经过它;只有内部访问策略授权的通信才 允许通过;系统本身具有高可靠性。不仅如此,防火墙作为网络安全的监视点, 它
13、还可以记录所有通过它的访问,并提供统计数据,提供预警和审计功能。防火 墙的体系结构有三种:(1)双重宿主主机体系结构。它是围绕具有双重宿主功 能的主机而构筑的,是最基本的防火墙结构。主机充当路由器,是内外网络的接 口,能够从一个网络向另一个网络发送IP数据包。这种类型的防火墙完全依赖于 主机,因此该主机的负载一般较大,容易成为网络瓶颈。对于只进行IP层过滤的 安全要求来说,只需在两块网卡之间转发的模块上插入对1?包的ACL控制即可。 但是如果要对应用层进行代理控制,其代理就要设置到这台双宿主主机上,所有 的应用要先于这个主机进行连接。这样每个人都需要有一个登录账号,增加了联 网的复杂性。(2)
14、屏蔽主机体系结构,又称主机过滤结构,它使用一个单独的 路由器来提供内部网络主机之间的服务,在这种体系结构中,主要的安全机制由 数据包过滤系统来提供。相对于双重宿主主机体系结构,这种结构允许数据包从 Internet上进入内部网络,因此对路由器的配置要求较高。(3)屏蔽子网体系 结构。它是在屏蔽主机体系结构基础上添加额外的安全层,并通过添加周边网络 更进一步把内部网络和Internet隔离开。为此这种结构需要两个路由器,一个位 于周边网络和内部网络之间,另一个在周边网络和外部网络之间,这样黑客即使 攻破了堡垒主机,也不能直接入侵内部网络,因为他还需要攻破另外一个路由器。3.3数据加密技术。数据加
15、密技术就是对信息进行重新编码,从而隐藏信息内容,使非法用户无 法获取信息的真实内容的一种技术手段。数据加密技术是为提高信息系统及数据 的安全性和保密性,防止秘密数据被外部破析所采用的主要手段之一。数据加密 技术按作用不同可分为数据存储,数据传输、数据完整性的鉴别,以及密钥的管 理技术。数据存储加密技术是防止在存储环节上的数据丢失为目的,可分为密文 存储和存取两种,数据传输加密技术的目的是对传输中的数据流加密。数据完整 性鉴别是对介入信息的传送、存取,处理人的身份和相关数据内容进行验证,达 到保密的要求,系统通过对比验证对输入的特征值是否符合预先设定的参数,实 现对数据的安全保护。3.4网络病毒
16、的防范。在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网 络病毒,必须有适合于局域网的全方位防病毒产品。学校、政府机关、企事业单 位等网络一般是内部局域网,就需要一个基于服务器操作系统平台的防病毒软件 和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病 毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换, 还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附 件中的病毒。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻 击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定 期或不定期的自动升级,及时为每台客户端计算机打好补丁,加强日常监测,使 网络免受病毒的侵袭。3.5提高网络工作人员的素质,强化网络安全责任。为了强化网络安全的责任,还有一项重要任务提高网络工作人员的管理 素质。要结合数据、软件、硬件等网络系统各方面对工作人员进行安全教育,提
