關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)的安全漏洞與相關(guān)防范措施探討

王曉亮

摘 要 安全漏洞是指網(wǎng)絡(luò)系統(tǒng)中存在的弱項(xiàng)、缺點(diǎn)或協(xié)議缺陷，研制開發(fā)操作失誤可形成漏洞，在不斷糾正或修補(bǔ)以往漏洞時(shí)可逐漸凸顯新漏洞，因此漏洞有增無減。漏洞高度復(fù)雜，對(duì)于安全風(fēng)險(xiǎn)、安全隱患的敏感性較高，黑客可利用漏洞滲透網(wǎng)絡(luò)、深層系統(tǒng)，并執(zhí)行惡意代碼及接收錯(cuò)誤指令，增加系統(tǒng)攻擊風(fēng)險(xiǎn)、網(wǎng)絡(luò)操作風(fēng)險(xiǎn)、硬件風(fēng)險(xiǎn)、軟件風(fēng)險(xiǎn)。應(yīng)及時(shí)發(fā)現(xiàn)漏洞、分析漏洞相關(guān)性、防范漏洞，減少漏洞危害。本文探討了計(jì)算機(jī)網(wǎng)絡(luò)的安全漏洞及相關(guān)防范措施，旨在主動(dòng)防治網(wǎng)絡(luò)問題，減少安全攻擊、改進(jìn)網(wǎng)絡(luò)安全狀態(tài)。

關(guān)鍵詞 安全漏洞 網(wǎng)絡(luò) 計(jì)算機(jī)

計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用領(lǐng)域及空間廣闊，已經(jīng)覆蓋全球，為工作創(chuàng)造了諸多便捷，豐富了業(yè)余生活，現(xiàn)代社會(huì)中的網(wǎng)上購(gòu)物、電子商務(wù)等服務(wù)對(duì)網(wǎng)絡(luò)的依賴程度極高，民眾生活與網(wǎng)絡(luò)已互相融合。互聯(lián)網(wǎng)涉及數(shù)量龐大的網(wǎng)絡(luò)用戶與計(jì)算機(jī)系統(tǒng)，且網(wǎng)絡(luò)本身存在多種缺陷，因此網(wǎng)絡(luò)安全隱患、安全漏洞難以避免。網(wǎng)絡(luò)安全漏洞可增加間諜程序、蠕蟲、木馬、黑客攻擊概率，為病毒隱藏及偽裝、網(wǎng)絡(luò)犯罪提供便利，造成信息泄漏、經(jīng)濟(jì)損失，還會(huì)引起網(wǎng)絡(luò)故障。應(yīng)重視防范安全漏洞，加強(qiáng)網(wǎng)絡(luò)監(jiān)管，科學(xué)分配網(wǎng)絡(luò)中的軟件資源、硬件資源，降低安全風(fēng)險(xiǎn)、減少惡意攻擊及惡意干擾，提高網(wǎng)絡(luò)保密程度，維持網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)。

一、安全漏洞

安全漏洞屬于不可控、無可避免、必然的、非正常情況，漏洞可影響路由器、防火墻、操作系統(tǒng)、應(yīng)用軟件正常運(yùn)行，目前網(wǎng)絡(luò)應(yīng)用軟件中的漏洞數(shù)量增勢(shì)明顯，如Mozilla Firefox及微軟IE瀏覽器漏洞等，且發(fā)現(xiàn)漏洞與出現(xiàn)攻擊程序之間的時(shí)間不斷縮短，零日攻擊問題頻繁發(fā)生，漏洞修補(bǔ)程序發(fā)布時(shí)間落后，導(dǎo)致不能及時(shí)修補(bǔ)安全漏洞，增加了網(wǎng)絡(luò)攻擊的可能性。分析安全漏洞時(shí)需考慮網(wǎng)絡(luò)系統(tǒng)環(huán)境、具體時(shí)間段，常見漏洞包括拒絕服務(wù)、安全繞過、信息泄露、緩沖溢出、權(quán)限升級(jí)漏洞、跨站腳本、注入漏洞、跨站偽造請(qǐng)求、代碼執(zhí)行及無授權(quán)訪問等。防火墻與網(wǎng)絡(luò)安全環(huán)境保護(hù)要求不匹配時(shí)也會(huì)出現(xiàn)安全漏洞，再加上黑客攻擊技術(shù)在不斷改進(jìn)，出現(xiàn)安全漏洞時(shí)通常會(huì)發(fā)生程序捆綁攻擊行為。編寫網(wǎng)絡(luò)軟件程序時(shí)可能遺留安全漏洞及BUG，如FTP漏洞、CGI漏洞、ASP漏洞及PHP漏洞等，黑客通常會(huì)檢測(cè)出BUG及安全漏洞，利用病毒攻擊網(wǎng)絡(luò)漏洞，讀寫系統(tǒng)結(jié)構(gòu)或服務(wù)目錄，如某些軟件接收異常或超長(zhǎng)數(shù)據(jù)時(shí)可導(dǎo)致緩沖區(qū)發(fā)生溢出問題。涉及安全漏洞的協(xié)議包括SSH、HTTP、FTP、TELNET、IPSec、TCP、IPv6及DNS等，網(wǎng)絡(luò)協(xié)議主要為TCP/IP協(xié)議，協(xié)議本身不能準(zhǔn)確判斷開放性與互聯(lián)性網(wǎng)絡(luò)IP地址實(shí)際來源，網(wǎng)絡(luò)黑客可利用安全漏洞偵聽傳輸線路、檢查或截取網(wǎng)絡(luò)數(shù)據(jù)，推測(cè)TCP及改變路由，破壞、覆蓋網(wǎng)絡(luò)數(shù)據(jù)。

二、防范措施

（一）漏洞掃描

使用網(wǎng)絡(luò)時(shí)應(yīng)注意定期掃描安全漏洞，包括主機(jī)系統(tǒng)、防火墻、WEB站點(diǎn)、局域網(wǎng)的漏洞，了解是否存在竊聽系統(tǒng)、不良網(wǎng)絡(luò)服務(wù)，查詢TCP/IP端口信息及記錄協(xié)議響應(yīng)情況，及時(shí)發(fā)現(xiàn)與修復(fù)漏洞，不斷優(yōu)化網(wǎng)絡(luò)系統(tǒng)及增強(qiáng)安全攻擊抵御能力。掃描漏洞時(shí)可采用模擬攻擊測(cè)試法或目標(biāo)系統(tǒng)掃描法，模擬攻擊指的是利用DDOS、緩沖溢出、護(hù)欺騙等方法嘗試性攻擊遠(yuǎn)程目標(biāo)，逐項(xiàng)檢查目標(biāo)系統(tǒng)已知漏洞或可能出現(xiàn)的漏洞。掃描目標(biāo)系統(tǒng)指的是連接主機(jī)端口后請(qǐng)求FTP、TELNET等服務(wù)，并記錄主機(jī)應(yīng)答信息，通過分析應(yīng)答過程檢測(cè)安全漏洞。掃描網(wǎng)絡(luò)與目標(biāo)主機(jī)時(shí)多采用PING技術(shù)，使用工具ping與IP地址即可掃描目標(biāo)主機(jī)，根據(jù)主機(jī)回應(yīng)情況檢測(cè)安全漏洞，如主機(jī)中的防火墻自動(dòng)屏蔽PING掃描，可將錯(cuò)誤數(shù)據(jù)發(fā)送到目標(biāo)主機(jī)，通過判斷ICMP出錯(cuò)響應(yīng)情況檢測(cè)漏洞，掃描流程。掃描防火墻安全控制規(guī)則中是否存在漏洞時(shí)，可采用與Trace-route IP數(shù)據(jù)分析相類似的方法，掃描時(shí)可通過探測(cè)網(wǎng)絡(luò)開啟端口與特定網(wǎng)關(guān)判斷漏洞情況。探測(cè)軟件漏洞時(shí)可發(fā)送UDP或ICMP請(qǐng)求報(bào)文，對(duì)ICMP回應(yīng)進(jìn)行分析，包括Que-SO、NAMP分段響應(yīng)情況，從而判別響應(yīng)信息與漏洞。掃描網(wǎng)絡(luò)協(xié)議端口時(shí)可采用TCP SYN掃描、TCP Connect掃描、認(rèn)證掃描及秘密掃描技術(shù)。

（二）構(gòu)建漏洞信息庫(kù)

安全漏洞千差萬別、種類繁多，構(gòu)建安全漏洞信息庫(kù)可以提高漏洞掃描、檢測(cè)效率，準(zhǔn)確驗(yàn)證安全漏洞，標(biāo)記HTTP文件中的相關(guān)內(nèi)容，根據(jù)漏洞信息運(yùn)用追蹤技術(shù)查找網(wǎng)絡(luò)攻擊起源路徑，實(shí)現(xiàn)高效防護(hù)。構(gòu)建信息庫(kù)時(shí)可為不同的漏洞賦予唯一的特征碼，在檢測(cè)或掃描漏洞時(shí)可直接利用不同特征碼組成的數(shù)據(jù)包，在數(shù)據(jù)包中準(zhǔn)確提取漏洞特征碼，從而高效分析漏洞及獲取相應(yīng)的安全攻擊信息。注意根據(jù)漏洞掃描與檢測(cè)結(jié)果及時(shí)更新特征碼，保證信息庫(kù)中包含詳細(xì)的安全漏洞信息，包括漏洞特征、狀態(tài)、信息來源、控件信息及端口信息，漏洞編號(hào)、類型、名稱、相關(guān)引用、修訂時(shí)間、公布日期或報(bào)告時(shí)間，漏洞風(fēng)險(xiǎn)評(píng)估與危險(xiǎn)級(jí)別、相關(guān)建議、補(bǔ)救方案、漏洞軟件與版本、木馬匹配規(guī)則、后門匹配規(guī)則、影響程度與影響平臺(tái)、處理方式及攻擊程度等。目前可使用的漏洞信息庫(kù)包括NIST實(shí)驗(yàn)室的NVD漏洞庫(kù)、Mitre公司的CVE漏洞庫(kù)、CERT小組的US-CERT漏洞庫(kù)、ISS組織的X-Force漏洞庫(kù)，上述信息庫(kù)數(shù)據(jù)下載、發(fā)布方式、更新方式各有特點(diǎn)，信息庫(kù)結(jié)構(gòu)，漏洞信息構(gòu)成。

（三）完善網(wǎng)絡(luò)配置

為預(yù)防黑客利用漏洞發(fā)起偽造攻擊，可調(diào)整路由器訪問列表，限制路由器數(shù)據(jù)包允許通過地址范圍；關(guān)閉路由器上的源路由，利用No Ip Soure-route命令阻止源路由器發(fā)生安全攻擊；也可以在RPF檢查設(shè)備中設(shè)置No Ip Directed-broadcast命令，利用No Ip Directed-broadcast命令控制通過路由器的數(shù)據(jù)，減少路由攻擊。為確保端口安全，可在交換機(jī)中設(shè)置MAC地址數(shù)允許值，控制允許流量，避免網(wǎng)絡(luò)設(shè)備無定向、徒然處理數(shù)據(jù)包，減少協(xié)議端口單播擴(kuò)散轉(zhuǎn)發(fā)流量，減少安全漏洞與安全攻擊。連接網(wǎng)絡(luò)時(shí)應(yīng)盡量關(guān)閉計(jì)算機(jī)中的打印共享與文件共享功能，必要時(shí)可隱藏IP，避免設(shè)置空連接，將無用網(wǎng)絡(luò)端口及服務(wù)程序關(guān)閉，禁用Guest賬號(hào)。確保防火墻或服務(wù)器相匹配，刪除無用軟件程序與缺省路由，安裝病毒查殺與反查殺軟件，結(jié)合殺毒與防毒，組建多層次病毒防衛(wèi)體系，注意更新殺毒軟件、系統(tǒng)補(bǔ)丁，如卡巴斯基、小紅傘、金山毒霸等。設(shè)置復(fù)雜的服務(wù)密碼，完全隱藏重要目錄或文件，禁用Windows服務(wù)器中的Telnet服務(wù)、Remote Registry服務(wù)及Messenger服務(wù)。

三、結(jié)語(yǔ)

網(wǎng)絡(luò)資源開放、分散、共享，安全攻擊具有易欺騙性、潛藏性與隱蔽性特點(diǎn)，可利用系統(tǒng)漏洞、網(wǎng)絡(luò)漏洞等安全漏洞非法截獲訪問信息，威脅網(wǎng)絡(luò)運(yùn)行安全，引起隱蔽性攻擊、數(shù)據(jù)被竊、系統(tǒng)癱瘓、網(wǎng)絡(luò)破壞與網(wǎng)絡(luò)犯罪，影響網(wǎng)絡(luò)交流、溝通、信息共享。要主動(dòng)制定防范措施應(yīng)對(duì)安全漏洞，提高網(wǎng)絡(luò)結(jié)構(gòu)自身的安全性，設(shè)計(jì)誘騙技術(shù)、網(wǎng)絡(luò)陷阱、追蹤技術(shù)、信息證據(jù)獲取技術(shù)等，控制入網(wǎng)訪問，使用安全服務(wù)程序與通信協(xié)議，雙重加密網(wǎng)絡(luò)數(shù)據(jù)，避免網(wǎng)絡(luò)硬件、軟件遭到更改、攻擊、破壞。此外，應(yīng)注意減少操作系統(tǒng)、認(rèn)證技術(shù)缺陷，注重維修及檢測(cè)網(wǎng)絡(luò)運(yùn)行空間，做到定期掃描、更新、清理，及時(shí)修正漏洞。

（作者單位為大連電子學(xué)校）