淺談計算機網絡安全漏洞及防范措施

竇喜靖 田超

(河南省地質高級技工學校,河南鄭州 450000)

淺談計算機網絡安全漏洞及防范措施

竇喜靖 田超

(河南省地質高級技工學校,河南鄭州 450000)

計算機網絡安全漏洞及防范是網絡時代必須重視和解決的任務,也是當前計算機研究的重點和熱點領域。文章首先介紹了網絡安全漏洞中的兩個主要漏洞類型:操作系統或鏈路連接漏洞和TCP/IP協議及安全策略的漏洞,并根據網絡安全漏洞從訪問控制、安裝防火、漏洞掃描技術三個角度提出計算機網絡安全漏洞防范措施。

計算機網絡 安全漏洞 防范措施

網絡具有的高開放性和高共享性特點讓人們獲得了更加方便、快捷的上網體驗。但是由于自身不完善,計算機網絡存在許許多漏洞,導致網絡容易受到黑客或惡意軟件的攻擊,造成個人信息和其它重要數據丟失或被切取。而服務器本身不提供網絡安全服務,導致所有計算機網絡用戶都棉鈴計算機網絡安全漏洞風險,做好計算機網絡安全漏洞的防范措施也成為網絡時代的艱巨任務[1]。

1 計算機網絡安全漏洞種類

1.1 操作系統或鏈路連接漏洞

計算機操作系統是計算機用戶之間實現交互的統一平臺,操作系統為用戶提供了功能多樣的應用以滿足用戶的需求,它方便了用戶上網操作,提高了上網的體驗。但是操作系統難以避免漏洞的出現,兼容性和設計性能再強的操作系統也會存在漏洞。操作系統提供的應用越多,操作系統存在的漏洞也就越多,操作系統遭到漏洞攻擊的幾率也越高。此外,操作系統服務的時間越長,操作系統漏洞被暴露的幾率也會大大增加。此外,計算機在服務員興中需要通過鏈路實現網絡互通功能,鏈路的存在也給黑客或惡意軟件等外在因素發動攻擊的渠道,對物理層表述、互通協議、會話數據鏈以及鏈路連接等攻擊也必然會產生。

1.2 TCP/IP協議及安全策略的漏洞

網絡通信要實現運行通暢,必須建立在高效的支持協議基礎上,但是TCP/IP協議自身存在缺陷,而且TCP/IP存在的缺陷缺少科學鑒別原地址的控制機制,既TCP/IP協議無法確認IP地址。而黑客可利用偵聽方式劫持用戶數據,并推測出數據的序列號,再修改路由地理,導致TCP/IP協議鑒別過程被黑客的數據流充斥[2]。此外,端口開放功能是計算機系統提供的各項服務的充分條件,例如開放80端口后HTTP服務器才能發揮功能,開放25端口后計算機則可以提供SMTP服務。端口的存在也攻擊給計算機網絡帶來了可乘之機。而且建立防火墻的方式不能有效的防御針對端口的攻擊,尤其是針對隱蔽隧道、開放服務流入數據以及軟件缺陷的攻擊,防火墻更是素手無策。

2 計算機網絡安全防范措施

2.1 訪問控制

防火墻技術可分為包過濾技術和狀態檢測及服務器代理技術,包過濾技術是早期防火墻具備的技術,它需要依據路由器來實施各項網絡保護功能,而且具有一定地篩選協議和地址的以及高透明度服務功能[3]。但是,包過濾技術也有較大的局限性。例如,包過濾技術防范地址欺騙的能力不高,執行安全策略的效率低等。代理服務器技術可直接實現應用程序之間的連接,分析接收的數據表,設定一定的訪問控制。代理服務器技術可自由且安全的控制進程流量,并生成相應的記錄。同時代理服務器技術具備的透明加密機制還能與其它安全防控方式有效集成。但是自身特點也決定服務器代理技術會對用戶使用過程造成一定的限制,底層代理安全性能容易失控而難以控制。

防火墻主要發揮方訪問控制的作用,而訪問控制是計算機網絡安全方法和保護的主要策略,它可有效保證網絡資源不被非法訪問和非法使用。防火墻的訪問控制作用主要通過入網訪問控制、網絡權限控制、目錄級安全控制以及屬性安全控制去實現作用。入網訪問控制主要通過控制非法用戶登錄服務器獲取資源,以及防止非法用戶修改或使用數據。此外,入網訪問控制還能控制用戶入網時間以及入網的工作站;網絡權限控制主要賦予用戶和用戶組特定的權限,讓用戶在權限范圍內訪問數據和資源,以及限定用戶對數據和資源的操作權限;目錄及安全控制是允許控制用戶對目錄、文件和設備的訪問,用戶的操作權取決于用戶受托者的指派;屬性安全控制是指管理員制定需要使用的文件或設備的訪問屬性,屬性安全控制可提高權限安全控制的安全屬性。

2.2 安裝防火墻

完善的網絡漏洞特征庫包括網絡漏洞特征信息庫和漏洞驗證準確性,它是計算機網絡安全漏洞防范的重要保證。針對網絡安全中存在的漏洞,需要賦予漏洞相應的特征碼。而且由于檢測實踐中將網絡數據包作為主要的操作對象,因而在賦予安全漏洞的特征碼必須建立在數據包測試有效、準確以及高效判斷接受的基礎上[4]。此外,由于漏洞的數量和種類繁多,準確提取特征碼也具有總要的作用,它可以為快速準確地分析漏洞做好鋪墊。漏洞掃描過程則可以通過分析并建立新的漏洞特征信息庫的方式實現維護和更新。

2.3 完善漏洞掃描技術

掃描技術的原理依據網絡環境錯誤注入方式模擬攻擊行為,再探測系統中是否不合法信息或合法數據回應,通過回應結果發現漏洞。因此,可以先通過分析網絡漏洞的方式去檢測是否存在入侵攻擊。首先,在主機端口建立連接,向服務器展開請求申請。在觀察主機應答方式的同時收集主機信息系統的變化情況,再根據主機反映結果以及信息系統變化發現漏洞。模擬攻擊可以逐項和逐條檢查系統中漏洞,并且讓漏洞完全顯現,常用模擬攻擊方法有緩沖區溢出和DOS攻擊兩種[5]。漏洞掃描系統是依據掃描技術為基礎的、自動檢測本地或遠程主機安全漏洞的程序,它能發現主機安全性中的薄弱環節,網絡管理員通過漏洞掃描系統可及時發現安全漏洞,并采取措施及時打補丁,修補漏洞,提高網絡安全性能。

3 結語

計算機網絡安全漏洞的類型多種多樣,安全防范也需要根據設計情況做出具體的措施,才能達到細致且全面的多級防范。同時用戶還需要規范自身的上網行為,綠色上網。養成安全殺毒軟件、更新升級軟件的習慣,做到提前防范安全漏洞。

[1]肖鏃.關于計算機網絡安全與防范的研究與探討[J].計算機光盤軟件與應用,2012,(3).

[2]彭軍飛.淺談計算機網絡安全漏洞及防范措施[J].職業,2012, (12).

[3]林范龍.淺談計算機網絡安全隱患問題和防范措施[J].數字技術與應用,2012,(3).

[4]楊梅.計算機網絡安全漏洞及防范措施初探[J].數字技術與應用, 2012,(6).

[5]王向輝.計算機網絡安全攻擊的手段和安全防范措施[J].計算機光盤軟件與應用,2013,(8).

竇喜靖(1987—),男,河南省鄭州市人,工作單位:河南省地質高級技工學校,職務:助理講師,研究方向:主要從事教學及地質勘查、地質科研等方面的工作。