新形勢下計算機網絡漏洞的防范

文/胡彬 孫軍

新形勢下計算機網絡漏洞的防范

文/胡彬 孫軍

在新形勢下計算機信息技術得到快速發展，人類已經進入了計算機網絡信息社會。計算機網絡信息安全關系著人們的正常生活和個人隱私，甚至關系到國家軍事安全。本文首先對計算機網絡漏洞定義進行了介紹，并分析和總結了目前常見的計算機網絡漏洞攻擊類型和原理，最后提出了一些計算機網絡漏洞的防范措施，本文的研究結果有望提高日常計算機網絡使用的安全性，避免因為計算機網絡攻擊造成損失。

計算機 網絡漏洞 原理 防范措施網絡安全

進入二十一世紀以來，計算機技術得到了迅速發展，同時網絡技術也迅猛發展，人類已經開始進入了一種網絡信息化社會，各種線上購物、網絡交易、工業控制、各類軍事用途等都已經和人類的生活密不可分，網絡信息的安全性也越來越受到人們的關注。我國在計算機網絡安全信息方向起步較晚，相關人才也比較缺乏。在新形勢下研究計算機網絡漏洞的基本信息，并針對這些漏洞作出一些必要的防范措施，對于保障網絡信息的安全性有著非常重要的意義。

1 計算機網絡漏洞定義以及常見漏洞攻擊類型

1.1 計算機網絡漏洞定義

當今計算機網絡漏洞都是伴隨著操作系統而來的，而目前應用最多的則是微軟的WINDOWS系統，其次則是LINUX、iOS等系統，LINUX和iOS系統雖然在市場上占有份額較少，但是其漏洞相對較少，因而在使用上也較為安全。應用最多的WINDOWS系統目前已經發展到WINDOWS 10,但是市場上仍然有很多XP、WINDOWS7等操作系統，這些系統在開發出來之初就有很多漏洞，因而在對外訪問網絡時很多計算機病毒和木馬就可以利用這些漏洞對計算機進行攻擊，盜取或者破壞個人隱私信息。

對于計算機網絡漏洞的定義比較寬泛，目前國內外學者普遍認為，計算機網絡漏洞是一種在計算機網絡中長期存在，且可以被人或者程序利用進而不斷損害計算機系統中的數據的因素。網絡漏洞不僅僅是指計算機軟件設計上存在的漏洞，如WINDOWS系統中的一些固定漏洞，而且還包括了硬件以及網絡通信協議中的一些缺陷。這些缺陷可以被人或者程序利用進而破壞計算機系統或者信息安全。如很多系統在初始化設置時默認系統賬戶用戶名和密碼，這些用戶名和密碼是固定的，如果不進行修改就有可能被攻擊者所利用。

1.2 常見網絡漏洞攻擊類型

網絡漏洞廣泛存在于計算機網絡中，攻擊者可以利用這些漏洞并制作相應的攻擊工具來對網絡進行攻擊，這些攻擊會對用戶造成極大損失，因而，了解常見的網絡漏洞攻擊類型以及攻擊原理對于防范網絡漏洞具有非常重要的意義。圖1為常見網絡漏洞攻擊類型的百分比分布圖，從中可以看出，計算機病毒、木馬和蠕蟲病毒攻擊占據了絕大多數。

圖1：各類計算機網絡攻擊比例

1.2.1 計算機木馬、病毒、蠕蟲等

計算機木馬、病毒以及蠕蟲從計算機以及互聯網出現以來就一直存在，且傳播速度快、不容易被識別、造成的危害大。雖然目前的殺毒系統能夠防范大部分的計算機木馬和病毒，但是隨著這些木馬和病毒的不斷變異，仍然是目前最為常見的攻擊方式。

1.2.2 拒絕服務攻擊

拒絕服務攻擊是目前非常常見的一種攻擊方法，一般攻擊者會首先利用探測攻擊探測目前主機是否存在可利用端口，然后通過DOS工具在短時間內向其發送大量數據包，從而造成目標主機癱瘓。這主要利用了TCP/ IP協議的漏洞，目前攻擊者使用較多的有電子郵件炸彈、UDP Flood以及SYN Flood等，并且已經發展出了分布式DOS攻擊，攻擊者可以利用其控制的多臺計算機（“肉雞”）對目標電腦進行持續攻擊，非常容易造成主機癱瘓。

1.2.3 欺騙類攻擊

欺騙類攻擊主要是利用計算機網絡的參與者自身大意，同時利用計算機網絡協議的漏洞，偽造計算機地址、網址、報文等，將這些發送給目標主機，目標主機在接收這些偽造后的報文后會導致目標主機作出錯誤判斷。同時攻擊者會根據情況打開一些端口或者增加一些計算機管理員，以方便下次非法進入。另外還有一些欺騙類攻擊會占用主機的資源，如IP欺騙通過偽造IP向目標主機發送網絡通信請求，主機需要辨別這些網絡請求，但是由于網絡IP是虛假的，因而會反復重復多次進行確認，因而會占用系統大量資源，導致系統卡頓。

1.2.4 緩沖區溢出攻擊

緩沖區溢出攻擊主要是利用一些網絡軟件中的漏洞，向一些軟件發送非常長的信息，由于網絡軟件緩沖區有限，因而會導致緩沖區溢出，進而程序運行失敗或者計算機死機。同時攻擊者還可以利用這些漏洞向目標主機發送指令或者留下漏洞，以便下一次繼續入侵。在目前使用的WINDOWS系統以及各類軟件中廣泛存在著緩沖區溢出漏洞，這些漏洞的危害非常大，但是目前還沒有引起足夠的重視。對于緩沖區溢出攻擊不僅要求用戶在平時有良好的計算機使用習慣，還要求軟件的開發者盡可能的對軟件進行合理測試，以防止攻擊者利用這些漏洞進行攻擊。

1.2.5 程序錯誤攻擊

同前面幾種計算機網絡漏洞攻擊一樣，程序錯誤攻擊也廣泛存在于計算機網絡中，這主要是由于計算機網絡的協議還不夠完善，而且很多服務器上的服務程序也不夠完美，人們在使用計算機網絡時，都是將數據包通過協議打包發送到服務器，再由服務器轉發出去，但是攻擊者可以利用這些漏洞向服務器發送一些垃圾數據或者錯誤數據，服務器無法辨別這些數據是否需要處理，因而很多主機或者服務器的資源都會被占用，網絡會發生擁堵。歷史上非常有名的沖擊波病毒就是一種程序錯誤攻擊，這種攻擊方法主要是利用WINDOWS NT系統的RPC服務的任意代碼可執行漏洞，這類攻擊方法只能使用防火墻和殺毒軟件，盡量切斷數據包發送途徑。

1.2.6 后門攻擊

后門攻擊的最大危害在于攻擊者利用后門攻擊目標主機后極有可能在主機上留有若干后門，這些后門會被越來越多的攻擊者利用，從而使得目標主機變為“肉雞”，也就是傀儡機，在攻擊者需要時，會利用很多“肉雞”來對其他的計算機進行攻擊，“肉雞”就像攻擊者的后花園一樣，攻擊者想來就來，想走就走，因而對計算機以及使用者而言造成非常大的危害。后門攻擊經常利用在電子郵件或者網址中混有木馬，誘騙主機操作者打開后即可獲取主機的控制權。這類攻擊方法需要規范自身的計算機使用習慣，并定時查殺木馬病毒。

2 計算機網絡漏洞防范研究

以上對計算機網絡漏洞以及攻擊原理進行了簡要介紹，可以發現計算機網絡漏洞對于計算機使用者來說造成了非常大的威脅，而二十一世紀是信息社會，網絡信息安全和人們生活的聯系也越來越密切。為了盡量減少計算機網絡漏洞的危害，對計算機網絡漏洞進行合理防范就顯得非常有必要了。在防范措施上，主要從物理安全、訪問安全策略以及網絡協議方向入手，針對常見的網絡漏洞進行防范。

2.1 物理安全策略

計算機網絡非常依賴于計算機的安全，對于計算機網絡漏洞的防范首要保護計算機主機系統、服務器的硬件設施等，有一些風險是無法消除的，如自然災害以及其他的一些不可抗力因素，但是總體來說應當將這些物理硬件設施放置在安全、不容易受侵害的場所。

除此之外，還需要保證計算機的使用上排除其他可疑人員的干擾，包括計算機系統應當具有能夠驗證用戶身份的能力，確保使用者具有足夠權限，對于其他一些重要的計算機系統而言，在防范上還應當做好計算機使用記錄，以盡可能保障計算機的使用安全。

2.2 訪問安全策略

為計算機使用者設置合適的訪問安全策略可以有效保證計算機網絡的安全性，并且可以盡可能低的保證網絡資源不被他人占用和非法方位。作為計算機網絡安全的重要策略之一，訪問安全策略包括了防火墻控制、服務器安全控制、權限控制以及入網訪問控制等。其中對防火墻進行控制是一道堅實的屏障，防火墻可以有效過濾一些非法信息，并且針對一些非法訪問可以直接拒絕，因而，對防火墻進行控制時訪問安全策略的第一步。對于服務器安全的控制則包括了服務器系統備份以及信息加密。服務器系統備份是保證服務器數據在遭受到外界物理因素或者非法攻擊時能夠及時恢復數據的方法。而信息加密則是為了保障數據傳輸的安全性，并且在密碼級別上根據自身需求進行選擇，可以選擇rsa，rabin等密碼對數據進行加密。在權限控制上主要是對計算機使用的權限控制以及文件操作的權限控制，WINDOWS系統本身有很多對于權限的默認屬性，這些屬性通常都被攻擊者所熟知，如果不對這些權限進行改動，那么就非常有可能被攻擊者利用，而且很多網站開發者對于網頁修改的權限也比較隨意，導致攻擊者非常容易的修改網頁，給網站開發者和使用者都造成損失。一般而言，對于系統的賬號和密碼應當進行獨立設置，并具有一定安全等級，使得攻擊者不容易破解利用。

2.3 網絡協議策略

由于現有的網絡協議還不盡完善，因而有很多網絡攻擊是針對網絡協議來進行的，包括前面提到的分布式拒絕攻擊等，目前有很多協議，如ftp、snmp等但是這些協議在處理網絡消息時都存在缺陷，這主要體現在對網絡傳輸數據的檢查上不盡如人意，而且也無法檢查過長的數據段，非常容易造成服務器或者主機的內存不足或者出現緩沖區溢出錯誤等，這些情況都有可能會成為攻擊者攻擊的條件。

在日常計算機使用過程中，為了避免讓攻擊者利用網絡協議來進行攻擊，需要嚴格規范自身使用計算機習慣，及時開啟計算機防火墻，并對防火墻以及外部路由器的廣播地址進行隱藏，防止被攻擊者利用。同時計算機應當盡量避免被他人使用，防止其他人在使用電腦時留下后門，計算機系統中所有的軟件應當設置為寫保護，同時在必要時需要升級防火墻，要求防火墻可以防范網絡惡意代碼以及電子郵件等，為了防止郵箱炸彈，在收到陌生郵件時要時刻謹慎，并盡量不要下載陌生的文件。

3 結論

計算機網絡的出現極大的方便了人們的交流以及生活，二十一世紀是一個全球化的信息社會，計算機網絡安全是二十一世紀的重要課題。當前很多攻擊者利用現有計算機網絡的漏洞以及使用者的大意，對計算機網絡進行攻擊，但是計算機網絡漏洞是現有網絡安全非常脆弱的根本性原因，再針對計算機網絡漏洞的防范上，不僅要規范自身的計算機使用習慣，還需要網絡軟件以及協議開發者盡可能的找出漏洞并作出完善，只有這樣才能將計算機網絡打造成一個安全的網絡，才能最大限度的方便人們安全使用，保護人們的信息安全。

[1]李忠武,陳麗清.計算機網絡安全評價中神經網絡的應用研究[J].現代電子技術,2014,37(10):80-82.

[2]王萍.計算機網絡安全技術與防范措施探討[J].數字技術與應用,2014(04):200-201.

[3]韓銳.計算機網絡安全的主要隱患及管理措施分析[J].信息通信,2014(01):152-153.

[4]熊芳芳.淺談計算機網絡安全問題及其對策[J].電子世界,2012(22):139-140.

[5]楊光,李非非,楊洋.淺析計算機網絡安全防范措施[J].科技信息,2011(29):70+93.

[6]陳卓.計算機網絡信息安全及其防護對策[J].中國衛生信息管理雜志,2011,8(03):44-47.

作者單位國家工業信息安全發展研究中心 北京市100000

胡彬（1982-），工學學士。工程師。主要研究方向為信息安全、網絡安全運維管理研究及計算機與網絡信息安全。孫軍（1984-），工學博士。工程師。主要從事工業信息安全、智慧城市網絡安全及工業建模仿真等方向的研究工作。