文/胡彬 孫軍

新形勢(shì)下計(jì)算機(jī)網(wǎng)絡(luò)漏洞的防范

文/胡彬 孫軍

在新形勢(shì)下計(jì)算機(jī)信息技術(shù)得到快速發(fā)展，人類已經(jīng)進(jìn)入了計(jì)算機(jī)網(wǎng)絡(luò)信息社會(huì)。計(jì)算機(jī)網(wǎng)絡(luò)信息安全關(guān)系著人們的正常生活和個(gè)人隱私，甚至關(guān)系到國(guó)家軍事安全。本文首先對(duì)計(jì)算機(jī)網(wǎng)絡(luò)漏洞定義進(jìn)行了介紹，并分析和總結(jié)了目前常見(jiàn)的計(jì)算機(jī)網(wǎng)絡(luò)漏洞攻擊類型和原理，最后提出了一些計(jì)算機(jī)網(wǎng)絡(luò)漏洞的防范措施，本文的研究結(jié)果有望提高日常計(jì)算機(jī)網(wǎng)絡(luò)使用的安全性，避免因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)攻擊造成損失。

計(jì)算機(jī) 網(wǎng)絡(luò)漏洞 原理 防范措施網(wǎng)絡(luò)安全

進(jìn)入二十一世紀(jì)以來(lái)，計(jì)算機(jī)技術(shù)得到了迅速發(fā)展，同時(shí)網(wǎng)絡(luò)技術(shù)也迅猛發(fā)展，人類已經(jīng)開始進(jìn)入了一種網(wǎng)絡(luò)信息化社會(huì)，各種線上購(gòu)物、網(wǎng)絡(luò)交易、工業(yè)控制、各類軍事用途等都已經(jīng)和人類的生活密不可分，網(wǎng)絡(luò)信息的安全性也越來(lái)越受到人們的關(guān)注。我國(guó)在計(jì)算機(jī)網(wǎng)絡(luò)安全信息方向起步較晚，相關(guān)人才也比較缺乏。在新形勢(shì)下研究計(jì)算機(jī)網(wǎng)絡(luò)漏洞的基本信息，并針對(duì)這些漏洞作出一些必要的防范措施，對(duì)于保障網(wǎng)絡(luò)信息的安全性有著非常重要的意義。

1 計(jì)算機(jī)網(wǎng)絡(luò)漏洞定義以及常見(jiàn)漏洞攻擊類型

1.1 計(jì)算機(jī)網(wǎng)絡(luò)漏洞定義

當(dāng)今計(jì)算機(jī)網(wǎng)絡(luò)漏洞都是伴隨著操作系統(tǒng)而來(lái)的，而目前應(yīng)用最多的則是微軟的WINDOWS系統(tǒng)，其次則是LINUX、iOS等系統(tǒng)，LINUX和iOS系統(tǒng)雖然在市場(chǎng)上占有份額較少，但是其漏洞相對(duì)較少，因而在使用上也較為安全。應(yīng)用最多的WINDOWS系統(tǒng)目前已經(jīng)發(fā)展到WINDOWS 10,但是市場(chǎng)上仍然有很多XP、WINDOWS7等操作系統(tǒng)，這些系統(tǒng)在開發(fā)出來(lái)之初就有很多漏洞，因而在對(duì)外訪問(wèn)網(wǎng)絡(luò)時(shí)很多計(jì)算機(jī)病毒和木馬就可以利用這些漏洞對(duì)計(jì)算機(jī)進(jìn)行攻擊，盜取或者破壞個(gè)人隱私信息。

對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)漏洞的定義比較寬泛，目前國(guó)內(nèi)外學(xué)者普遍認(rèn)為，計(jì)算機(jī)網(wǎng)絡(luò)漏洞是一種在計(jì)算機(jī)網(wǎng)絡(luò)中長(zhǎng)期存在，且可以被人或者程序利用進(jìn)而不斷損害計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)的因素。網(wǎng)絡(luò)漏洞不僅僅是指計(jì)算機(jī)軟件設(shè)計(jì)上存在的漏洞，如WINDOWS系統(tǒng)中的一些固定漏洞，而且還包括了硬件以及網(wǎng)絡(luò)通信協(xié)議中的一些缺陷。這些缺陷可以被人或者程序利用進(jìn)而破壞計(jì)算機(jī)系統(tǒng)或者信息安全。如很多系統(tǒng)在初始化設(shè)置時(shí)默認(rèn)系統(tǒng)賬戶用戶名和密碼，這些用戶名和密碼是固定的，如果不進(jìn)行修改就有可能被攻擊者所利用。

1.2 常見(jiàn)網(wǎng)絡(luò)漏洞攻擊類型

網(wǎng)絡(luò)漏洞廣泛存在于計(jì)算機(jī)網(wǎng)絡(luò)中，攻擊者可以利用這些漏洞并制作相應(yīng)的攻擊工具來(lái)對(duì)網(wǎng)絡(luò)進(jìn)行攻擊，這些攻擊會(huì)對(duì)用戶造成極大損失，因而，了解常見(jiàn)的網(wǎng)絡(luò)漏洞攻擊類型以及攻擊原理對(duì)于防范網(wǎng)絡(luò)漏洞具有非常重要的意義。圖1為常見(jiàn)網(wǎng)絡(luò)漏洞攻擊類型的百分比分布圖，從中可以看出，計(jì)算機(jī)病毒、木馬和蠕蟲病毒攻擊占據(jù)了絕大多數(shù)。

圖1：各類計(jì)算機(jī)網(wǎng)絡(luò)攻擊比例

1.2.1 計(jì)算機(jī)木馬、病毒、蠕蟲等

計(jì)算機(jī)木馬、病毒以及蠕蟲從計(jì)算機(jī)以及互聯(lián)網(wǎng)出現(xiàn)以來(lái)就一直存在，且傳播速度快、不容易被識(shí)別、造成的危害大。雖然目前的殺毒系統(tǒng)能夠防范大部分的計(jì)算機(jī)木馬和病毒，但是隨著這些木馬和病毒的不斷變異，仍然是目前最為常見(jiàn)的攻擊方式。

1.2.2 拒絕服務(wù)攻擊

拒絕服務(wù)攻擊是目前非常常見(jiàn)的一種攻擊方法，一般攻擊者會(huì)首先利用探測(cè)攻擊探測(cè)目前主機(jī)是否存在可利用端口，然后通過(guò)DOS工具在短時(shí)間內(nèi)向其發(fā)送大量數(shù)據(jù)包，從而造成目標(biāo)主機(jī)癱瘓。這主要利用了TCP/ IP協(xié)議的漏洞，目前攻擊者使用較多的有電子郵件炸彈、UDP Flood以及SYN Flood等，并且已經(jīng)發(fā)展出了分布式DOS攻擊，攻擊者可以利用其控制的多臺(tái)計(jì)算機(jī)（“肉雞”）對(duì)目標(biāo)電腦進(jìn)行持續(xù)攻擊，非常容易造成主機(jī)癱瘓。

1.2.3 欺騙類攻擊

欺騙類攻擊主要是利用計(jì)算機(jī)網(wǎng)絡(luò)的參與者自身大意，同時(shí)利用計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議的漏洞，偽造計(jì)算機(jī)地址、網(wǎng)址、報(bào)文等，將這些發(fā)送給目標(biāo)主機(jī)，目標(biāo)主機(jī)在接收這些偽造后的報(bào)文后會(huì)導(dǎo)致目標(biāo)主機(jī)作出錯(cuò)誤判斷。同時(shí)攻擊者會(huì)根據(jù)情況打開一些端口或者增加一些計(jì)算機(jī)管理員，以方便下次非法進(jìn)入。另外還有一些欺騙類攻擊會(huì)占用主機(jī)的資源，如IP欺騙通過(guò)偽造IP向目標(biāo)主機(jī)發(fā)送網(wǎng)絡(luò)通信請(qǐng)求，主機(jī)需要辨別這些網(wǎng)絡(luò)請(qǐng)求，但是由于網(wǎng)絡(luò)IP是虛假的，因而會(huì)反復(fù)重復(fù)多次進(jìn)行確認(rèn)，因而會(huì)占用系統(tǒng)大量資源，導(dǎo)致系統(tǒng)卡頓。

1.2.4 緩沖區(qū)溢出攻擊

緩沖區(qū)溢出攻擊主要是利用一些網(wǎng)絡(luò)軟件中的漏洞，向一些軟件發(fā)送非常長(zhǎng)的信息，由于網(wǎng)絡(luò)軟件緩沖區(qū)有限，因而會(huì)導(dǎo)致緩沖區(qū)溢出，進(jìn)而程序運(yùn)行失敗或者計(jì)算機(jī)死機(jī)。同時(shí)攻擊者還可以利用這些漏洞向目標(biāo)主機(jī)發(fā)送指令或者留下漏洞，以便下一次繼續(xù)入侵。在目前使用的WINDOWS系統(tǒng)以及各類軟件中廣泛存在著緩沖區(qū)溢出漏洞，這些漏洞的危害非常大，但是目前還沒(méi)有引起足夠的重視。對(duì)于緩沖區(qū)溢出攻擊不僅要求用戶在平時(shí)有良好的計(jì)算機(jī)使用習(xí)慣，還要求軟件的開發(fā)者盡可能的對(duì)軟件進(jìn)行合理測(cè)試，以防止攻擊者利用這些漏洞進(jìn)行攻擊。

1.2.5 程序錯(cuò)誤攻擊

同前面幾種計(jì)算機(jī)網(wǎng)絡(luò)漏洞攻擊一樣，程序錯(cuò)誤攻擊也廣泛存在于計(jì)算機(jī)網(wǎng)絡(luò)中，這主要是由于計(jì)算機(jī)網(wǎng)絡(luò)的協(xié)議還不夠完善，而且很多服務(wù)器上的服務(wù)程序也不夠完美，人們?cè)谑褂糜?jì)算機(jī)網(wǎng)絡(luò)時(shí)，都是將數(shù)據(jù)包通過(guò)協(xié)議打包發(fā)送到服務(wù)器，再由服務(wù)器轉(zhuǎn)發(fā)出去，但是攻擊者可以利用這些漏洞向服務(wù)器發(fā)送一些垃圾數(shù)據(jù)或者錯(cuò)誤數(shù)據(jù)，服務(wù)器無(wú)法辨別這些數(shù)據(jù)是否需要處理，因而很多主機(jī)或者服務(wù)器的資源都會(huì)被占用，網(wǎng)絡(luò)會(huì)發(fā)生擁堵。歷史上非常有名的沖擊波病毒就是一種程序錯(cuò)誤攻擊，這種攻擊方法主要是利用WINDOWS NT系統(tǒng)的RPC服務(wù)的任意代碼可執(zhí)行漏洞，這類攻擊方法只能使用防火墻和殺毒軟件，盡量切斷數(shù)據(jù)包發(fā)送途徑。

1.2.6 后門攻擊

后門攻擊的最大危害在于攻擊者利用后門攻擊目標(biāo)主機(jī)后極有可能在主機(jī)上留有若干后門，這些后門會(huì)被越來(lái)越多的攻擊者利用，從而使得目標(biāo)主機(jī)變?yōu)椤叭怆u”，也就是傀儡機(jī)，在攻擊者需要時(shí)，會(huì)利用很多“肉雞”來(lái)對(duì)其他的計(jì)算機(jī)進(jìn)行攻擊，“肉雞”就像攻擊者的后花園一樣，攻擊者想來(lái)就來(lái)，想走就走，因而對(duì)計(jì)算機(jī)以及使用者而言造成非常大的危害。后門攻擊經(jīng)常利用在電子郵件或者網(wǎng)址中混有木馬，誘騙主機(jī)操作者打開后即可獲取主機(jī)的控制權(quán)。這類攻擊方法需要規(guī)范自身的計(jì)算機(jī)使用習(xí)慣，并定時(shí)查殺木馬病毒。

2 計(jì)算機(jī)網(wǎng)絡(luò)漏洞防范研究

以上對(duì)計(jì)算機(jī)網(wǎng)絡(luò)漏洞以及攻擊原理進(jìn)行了簡(jiǎn)要介紹，可以發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)漏洞對(duì)于計(jì)算機(jī)使用者來(lái)說(shuō)造成了非常大的威脅，而二十一世紀(jì)是信息社會(huì)，網(wǎng)絡(luò)信息安全和人們生活的聯(lián)系也越來(lái)越密切。為了盡量減少計(jì)算機(jī)網(wǎng)絡(luò)漏洞的危害，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)漏洞進(jìn)行合理防范就顯得非常有必要了。在防范措施上，主要從物理安全、訪問(wèn)安全策略以及網(wǎng)絡(luò)協(xié)議方向入手，針對(duì)常見(jiàn)的網(wǎng)絡(luò)漏洞進(jìn)行防范。

2.1 物理安全策略

計(jì)算機(jī)網(wǎng)絡(luò)非常依賴于計(jì)算機(jī)的安全，對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)漏洞的防范首要保護(hù)計(jì)算機(jī)主機(jī)系統(tǒng)、服務(wù)器的硬件設(shè)施等，有一些風(fēng)險(xiǎn)是無(wú)法消除的，如自然災(zāi)害以及其他的一些不可抗力因素，但是總體來(lái)說(shuō)應(yīng)當(dāng)將這些物理硬件設(shè)施放置在安全、不容易受侵害的場(chǎng)所。

除此之外，還需要保證計(jì)算機(jī)的使用上排除其他可疑人員的干擾，包括計(jì)算機(jī)系統(tǒng)應(yīng)當(dāng)具有能夠驗(yàn)證用戶身份的能力，確保使用者具有足夠權(quán)限，對(duì)于其他一些重要的計(jì)算機(jī)系統(tǒng)而言，在防范上還應(yīng)當(dāng)做好計(jì)算機(jī)使用記錄，以盡可能保障計(jì)算機(jī)的使用安全。

2.2 訪問(wèn)安全策略

為計(jì)算機(jī)使用者設(shè)置合適的訪問(wèn)安全策略可以有效保證計(jì)算機(jī)網(wǎng)絡(luò)的安全性，并且可以盡可能低的保證網(wǎng)絡(luò)資源不被他人占用和非法方位。作為計(jì)算機(jī)網(wǎng)絡(luò)安全的重要策略之一，訪問(wèn)安全策略包括了防火墻控制、服務(wù)器安全控制、權(quán)限控制以及入網(wǎng)訪問(wèn)控制等。其中對(duì)防火墻進(jìn)行控制是一道堅(jiān)實(shí)的屏障，防火墻可以有效過(guò)濾一些非法信息，并且針對(duì)一些非法訪問(wèn)可以直接拒絕，因而，對(duì)防火墻進(jìn)行控制時(shí)訪問(wèn)安全策略的第一步。對(duì)于服務(wù)器安全的控制則包括了服務(wù)器系統(tǒng)備份以及信息加密。服務(wù)器系統(tǒng)備份是保證服務(wù)器數(shù)據(jù)在遭受到外界物理因素或者非法攻擊時(shí)能夠及時(shí)恢復(fù)數(shù)據(jù)的方法。而信息加密則是為了保障數(shù)據(jù)傳輸?shù)陌踩?，并且在密碼級(jí)別上根據(jù)自身需求進(jìn)行選擇，可以選擇rsa，rabin等密碼對(duì)數(shù)據(jù)進(jìn)行加密。在權(quán)限控制上主要是對(duì)計(jì)算機(jī)使用的權(quán)限控制以及文件操作的權(quán)限控制，WINDOWS系統(tǒng)本身有很多對(duì)于權(quán)限的默認(rèn)屬性，這些屬性通常都被攻擊者所熟知，如果不對(duì)這些權(quán)限進(jìn)行改動(dòng)，那么就非常有可能被攻擊者利用，而且很多網(wǎng)站開發(fā)者對(duì)于網(wǎng)頁(yè)修改的權(quán)限也比較隨意，導(dǎo)致攻擊者非常容易的修改網(wǎng)頁(yè)，給網(wǎng)站開發(fā)者和使用者都造成損失。一般而言，對(duì)于系統(tǒng)的賬號(hào)和密碼應(yīng)當(dāng)進(jìn)行獨(dú)立設(shè)置，并具有一定安全等級(jí)，使得攻擊者不容易破解利用。

2.3 網(wǎng)絡(luò)協(xié)議策略

由于現(xiàn)有的網(wǎng)絡(luò)協(xié)議還不盡完善，因而有很多網(wǎng)絡(luò)攻擊是針對(duì)網(wǎng)絡(luò)協(xié)議來(lái)進(jìn)行的，包括前面提到的分布式拒絕攻擊等，目前有很多協(xié)議，如ftp、snmp等但是這些協(xié)議在處理網(wǎng)絡(luò)消息時(shí)都存在缺陷，這主要體現(xiàn)在對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)的檢查上不盡如人意，而且也無(wú)法檢查過(guò)長(zhǎng)的數(shù)據(jù)段，非常容易造成服務(wù)器或者主機(jī)的內(nèi)存不足或者出現(xiàn)緩沖區(qū)溢出錯(cuò)誤等，這些情況都有可能會(huì)成為攻擊者攻擊的條件。

在日常計(jì)算機(jī)使用過(guò)程中，為了避免讓攻擊者利用網(wǎng)絡(luò)協(xié)議來(lái)進(jìn)行攻擊，需要嚴(yán)格規(guī)范自身使用計(jì)算機(jī)習(xí)慣，及時(shí)開啟計(jì)算機(jī)防火墻，并對(duì)防火墻以及外部路由器的廣播地址進(jìn)行隱藏，防止被攻擊者利用。同時(shí)計(jì)算機(jī)應(yīng)當(dāng)盡量避免被他人使用，防止其他人在使用電腦時(shí)留下后門，計(jì)算機(jī)系統(tǒng)中所有的軟件應(yīng)當(dāng)設(shè)置為寫保護(hù)，同時(shí)在必要時(shí)需要升級(jí)防火墻，要求防火墻可以防范網(wǎng)絡(luò)惡意代碼以及電子郵件等，為了防止郵箱炸彈，在收到陌生郵件時(shí)要時(shí)刻謹(jǐn)慎，并盡量不要下載陌生的文件。

3 結(jié)論

計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)極大的方便了人們的交流以及生活，二十一世紀(jì)是一個(gè)全球化的信息社會(huì)，計(jì)算機(jī)網(wǎng)絡(luò)安全是二十一世紀(jì)的重要課題。當(dāng)前很多攻擊者利用現(xiàn)有計(jì)算機(jī)網(wǎng)絡(luò)的漏洞以及使用者的大意，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行攻擊，但是計(jì)算機(jī)網(wǎng)絡(luò)漏洞是現(xiàn)有網(wǎng)絡(luò)安全非常脆弱的根本性原因，再針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)漏洞的防范上，不僅要規(guī)范自身的計(jì)算機(jī)使用習(xí)慣，還需要網(wǎng)絡(luò)軟件以及協(xié)議開發(fā)者盡可能的找出漏洞并作出完善，只有這樣才能將計(jì)算機(jī)網(wǎng)絡(luò)打造成一個(gè)安全的網(wǎng)絡(luò)，才能最大限度的方便人們安全使用，保護(hù)人們的信息安全。

[1]李忠武,陳麗清.計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)價(jià)中神經(jīng)網(wǎng)絡(luò)的應(yīng)用研究[J].現(xiàn)代電子技術(shù),2014,37(10):80-82.

[2]王萍.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)與防范措施探討[J].數(shù)字技術(shù)與應(yīng)用,2014(04):200-201.

[3]韓銳.計(jì)算機(jī)網(wǎng)絡(luò)安全的主要隱患及管理措施分析[J].信息通信,2014(01):152-153.

[4]熊芳芳.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題及其對(duì)策[J].電子世界,2012(22):139-140.

[5]楊光,李非非,楊洋.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全防范措施[J].科技信息,2011(29):70+93.

[6]陳卓.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及其防護(hù)對(duì)策[J].中國(guó)衛(wèi)生信息管理雜志,2011,8(03):44-47.

作者單位國(guó)家工業(yè)信息安全發(fā)展研究中心 北京市100000

胡彬（1982-），工學(xué)學(xué)士。工程師。主要研究方向?yàn)樾畔踩?、網(wǎng)絡(luò)安全運(yùn)維管理研究及計(jì)算機(jī)與網(wǎng)絡(luò)信息安全。孫軍（1984-），工學(xué)博士。工程師。主要從事工業(yè)信息安全、智慧城市網(wǎng)絡(luò)安全及工業(yè)建模仿真等方向的研究工作。