網絡漏洞與網絡維護的研究

摘要：隨著信息化的不斷深入，對網絡的依賴日深，網絡維護也日趨重要。網絡安全也就成為我們更為關注的問題。文章分析了計算機網絡漏洞的成因，及其維護策略。

關鍵詞：網絡漏洞；網絡維護；網絡研究

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)15-20ppp-0c

The Research of Network Vulnerability and Network Maintenance

WU Jing-zhong

(Hefei Design and Research Institute of Coal Industry，Hefei 230041，China)

Abstract:Along with the continuous deepening of information technology， we deeply depend on the network， network maintenance are becoming increasingly important. Network security has become more our concerned problems. The paper analyses the causes of computer network vulnerability and the strategy of network maintenance.

Key words:Network Vulnerability;Network Maintenance;Network Research;

1 引言

網絡是大、中、小型計算機、工作站、服務器以及微機共享資源及其他網點的集合點。每臺微機和工作站都是網絡整體的一部分。網絡作為各種高層應用的支持平臺網絡是實行信息化基本要素。網絡作為一個開放的信息平臺，人們在享受其帶來便捷的同時，也深受網絡安全不健全的煩惱。計算機病毒已經成為當今網絡上最可怕的安全威脅，成為黑客攻擊網絡的首要工具。引發網絡攻擊的一個最重要的原因就是在計算機中存著各種漏洞，它們很容易被利用來進行網絡的攻擊。如危害最大的包括沖擊波、惡郵差等在內的10種病毒 ，均是利用計算機網絡的漏洞進行攻擊。網絡安全也就成為我們更為關注的問題。那么我們應該如何應對這些網絡漏洞，并能及時有效地進行網絡維護呢？這也正是我們所要研究的主要內容。

2 計算機網絡漏洞的成因

計算機病毒具備破壞性和傳染性，主要通過電子郵件、文件下載、網絡訪問、移動介質等形式進行傳播，可造成數據破壞、系統異常、網絡癱瘓。廣義上的計算機病毒概念已經超過原有范疇，可包括：傳統病毒、蠕蟲、木馬、后門、惡意網頁代碼(惡意Java腳本/ActiveX)等。

2.1 網絡應用程序的漏洞

網絡中的漏洞可以存在于硬件和軟件中，但更多還是以軟件漏洞的形式存在。無論是網絡應用軟件，還是單機應用軟件，都廣泛隱藏有漏洞。

1)瀏覽器

IE瀏覽器已徹底擊敗Netscape，占據六成以上的用戶比例，而其很多漏洞都沒有解決：黑客可通過IE讀取硬盤上的文件，并把它發送到任何一個Internet上的服務器，甚至使你當機等等。IE如此，Netscape也不例外，原因是瀏覽器集成了太多開放技術，但瀏覽器要想有更好的互動性就必須用到這些。雖然每個瀏覽器都有報警裝置并不困難，他們甚至可以繞過瀏覽器設定的安全配置。

2)電子郵件

郵件炸彈到處盛行，任何一個用戶都可以用很容易的工具去發郵件炸彈，撐爆別人的郵箱。新出現的郵件附件病毒“美麗殺手”的攻擊目標主要是郵件服務器，而把它改成攻擊本地硬盤上的文件也是很容易的事情。

3)網絡服務程序

IIS2.0～4.0的漏洞很多，其中包括當機的危險，根用戶的密碼被竊的危險和非授權訪問的危險。Apache Wed服務器軟件，Mssol的漏洞都很多，黑客有辦法通過它們拿到Web數據庫的資料，等等。

4)協議

Http協議、SMTP協議和Socks協議等等，在網上已經運行和發展了多年，至今還沒有完善。通過Http協議，黑客可以輕而易舉地獲得人們認為很難被竊取的權限。通過Socks5，攻擊者可以把Web網站指向色情站點，破壞該站點的名譽。

2.2 網絡設計和網絡管理的漏洞

如網絡應用需要開放某些端口，同樣也為黑客留下了侵入通道。入侵電腦系統竊取商業情報、資料或國家秘密。特別是那些公布了原碼的操作系統，黑客會分析其源碼找到漏洞進行攻擊。

另外，大多數網管都沒有嚴格遵守網絡相關操作章程，以至于疏忽了諸多安全漏洞。事實上，大多數安全事件和安全隱患的發生與管理不善有密切關系。有調查表明，一半以上的電腦網絡漏洞是人為造成的，更多的網絡攻擊犯罪來自系統內部的員工。

3 計算機網絡的維護研究

要防止或減少網絡漏洞的攻擊，最好的方法是盡力避免主機端口被掃描和監聽，先于攻擊者發現網絡漏洞，并采取有效措施。

3.1 用技術手段防御漏洞

1)建立防火墻，加強對計算機網絡各個訪問層的控制。

近幾年來，攻擊者的興趣明顯是從端口掃描和制造拒絕服務攻擊（Dos Attack）轉向了針對Web、E-mail甚至數據庫等主流應用的攻擊。傳統的防火墻檢查IP數據包的包頭，而內容要通過計算機網絡的各個訪問層來檢查，在企業內部和Internet之間的一系列并列的門，每道門都對到達的包裹（IP數據包）進行逐一檢查，若未發現數據包含有異常代碼便開門放行。而現在出現了具有狀態檢測功能的防火墻，可以檢查哪些數據包是來自Internet對內部網絡訪問請求的答應。

也就是說，可以檢查那些不請自來的包裹。但是計算機各個訪問層的攻擊比較復雜，因為攻擊數據包在絕大多數情況下是合法的數據包，不同的是內容具有攻擊性，其內容的判斷就需要將所有相關的包重組后才能準確進行。一旦這種攻擊數據包通過防火墻，它們通常會開始有條不紊地利用目標系統的漏洞制造緩沖區溢出，獲得系統的控制權，然后以此為平臺開始尋找周圍其他系統的漏洞或者其他的蠕蟲留下的后門，進而展開攻擊。

對此，一些防火墻產品采取的應對措施是：針對每一類主流的應用，HTTP、SMTP、FTP和SQL Server數據庫訪問（基于RPC）都設置專門的過濾器。具有應用層過濾功能的防火墻可以更有效地阻擋當前多數病毒和攻擊程序，但新的安全威脅不斷出現又對防火墻提出了新的挑戰。攻擊的來源正在變得更加復雜，而攻擊的手段也愈加高明，最近垃圾郵件與攻擊代碼的結合就是一個典型的例證。這一方面需要防火墻設備對于應用層的內容有更好的認知和智能判別的能力，另一方面也需要防火墻更多地與其他的安全設備和應用有效配合，從而實現更加有力的防護。

2)利用NAT技術隱藏內部計算機網絡信息。

NAT英文全稱是“Network Address Translation”，中文意思是“網絡地址轉換”，它是一個IETF（Internet Engineering Task Force， Internet工程任務組）標準，允許一個整體機構以一個公用IP（Internet Protocol）地址出現在Internet上。NAT是在局域網內部網絡中使用內部地址，而當內部節點要與外部網絡進行通訊時，就在網關處將內部地址替換成公用地址，從而在外部公網（Internet）上正常使用，NAT可以使多臺計算機共享Internet連接，這一功能很好地解決了公共IP地址緊缺的問題。通過這種方法，您可以只申請一個合法IP地址，就把整個局域網中的計算機接入Internet中。

NAT將這些無法在互聯網上使用的保留IP地址翻譯成可以在互聯網上使用的合法IP地址。而全局地址，是指合法的IP地址，它是由NIC(網絡信息中心)或者ISP(網絡服務提供商)分配的地址，對外代表一個或多個內部局部地址，是全球統一的可尋址的地址。

3.2 應用加密技術

數據加密技術與防火墻配合使用的安全技術還有數據加密技術，是為提高住處系統及數據的安全性和保密性，防止秘密數據被外部破譯所采用的主要手段之一。按作用不同，數據加密技術主要分為數據存儲、數據完整性的鑒別以及密鑰管理技術四種

1)數據傳輸加密技術

目的是對傳輸中的數據流加密，常用的方針有線路加密和端——端加密兩種。前者側重在線路上而不考慮信源與信宿，是對保密信息通過各線路采用不同的加密密鑰提供安全保護。后者則指信息由發送者端自動加密，并進行TCP/IP數據包回封，然后加密、壓縮成不可閱讀和不可識別的數據穿過互聯網，當這些信息一旦到達目的地，將自動重組、解密，成為可讀數據。

2)數據存儲加密技術

目的是防止在存儲環節上的數據失密，可分為密文存儲和存取控制兩種。前者一般是通過加密算法轉換、附加密碼、加密模塊等方法以實現；后者則是對用戶資格、權限加以審查和限制，防止非法用戶存取數據或用戶越權存取數據。

3)數據完整性鑒別技術

目的是對介入信息的傳送、存取、處理的人的身份和相關數據內容進行難達到保密的要求，一般包括口令、密鑰、身份、數據等項的鑒別，系統通過對比驗證對象輸入的特征值是否符合預先設定的參數，實現對數據的安全保護。

4)密鑰管理技術

為了數據使用的方便，數據加密在許多場合集中表現為密鑰的應用，因此密鑰往往是保密與竊密的主要對象。密鑰的媒體有：磁卡、磁帶、磁盤、半導體存儲器等。密鑰的管理技術包括密鑰的產生、分配保存、更換與銷毀等各環節上的保密措施。

3.3 規范管理使用人員的行為，避免留下安全隱患

建立網絡管理制度，杜絕管理漏洞。如：設立網絡管理員崗位制度、微機房管理制度等。建立網絡技術安全管理，如：軟硬件的登記和保管、軟硬件的使用和維護、應用軟件開發和管理、軟件防病毒管理等。

4 結束語

隨著互聯網在各個領域的迅速普及與廣泛應用，網絡漏洞的種類越來越層出不窮。網絡安全和數據保護這些防范措施都有一定的限度，并不是越安全就越可靠。因而，在看一個內部網是否安全時不僅要考查其手段，而更重要的是對該網絡所采取的各種措施，其中不只是物理防范，還有人員因素，那么對于網管來說應該多訂閱一些安全通報的郵件列表，對運行對自己服務器上的平臺，應該經常去軟件商的網站獲取最新補丁。網管還應該對服務器上的每項設置分析清楚，熟知其含義，對不清楚或者沒有把握的設置，寧愿關掉它，絕不該一律采用缺省設置。

參考文獻：

[1]濮青.基于網絡拒絕服務攻擊的技術分析與安全策略[J].計算機應用研究，2003(03).

[2]馮文波.Internet上的網絡漏洞及安全維護技巧[J].計算機與數學工程，2003(2).

收稿日期：2008-03-09

作者簡介：吳際忠（1968-），女，遼寧人，工程師，研究方向：網絡安全防護。