計算機網絡安全漏洞及其防治研究

戚善澤

（沈陽理工大學信息科學與工程學院，遼寧 沈陽110168）

1 計算機網絡安全漏洞概述

1.1 網絡安全漏洞定義

在網絡的具體使用過程中，往往會產生一些錯誤，這些錯誤中，有的會對網絡安全造成危害，并且當其被某些人特別利用，能夠某些情況下破壞整個計算機的系統(tǒng)安全，這種錯誤，就是人們常說的網絡安全漏洞，因此，并非所有存在于網絡中的錯誤都是安全漏洞，關于網絡安全漏洞的定義，經過網絡技術和理論的長期發(fā)展，已經形成了一個廣泛認知的定義：

網絡安全就是存在于計算機網絡系統(tǒng)中的、可能對系統(tǒng)中的組成和數據造成損害的一切因素①。從這個定義來看，網絡安全漏洞可以說是一種由于組成計算機的軟件、硬件以及協議自身存在的不足所導致可以被攻擊者能夠在不被授權的情況下進行訪問或者破壞的一種安全事故。例如IntelPentium芯片中存在的邏輯錯誤等，都屬于網絡安全中的安全漏洞。

網絡安全漏洞往往是攻擊者發(fā)現或者使用的，即網絡安全漏洞為攻擊者提供了可以不被授權訪問或者破人他人計算機的機會，如果能夠有效的減少網絡安全漏洞或者使之不被攻擊者發(fā)現，那么網絡安全就會得到很大程度的保障。

1.2 網絡安全漏洞的類別

網絡安全漏洞的分類方法十分多樣，在這里，綜合網絡安全漏洞存在的位置、利用網絡安全漏洞進行攻擊的原理等綜合因素，對之進行分類：

（1）操作系統(tǒng)的安全漏洞。作為一個平臺的操作系統(tǒng)，其主要功能在于為各種各樣的應用提供支持，而就操作平臺自身來看，一方面，操作平臺在開發(fā)的過程中不可避免的存在著先天的缺陷；另一方面，操作系統(tǒng)在其功能的實現和發(fā)揮過程中，是需要不斷的進行新功能的改進的，在這種增進新功能的過程中，也會給操作系統(tǒng)帶來安全漏洞，總的來看，存在于操作系統(tǒng)中的安全漏洞有四個，分別是不完全的中介、操作系統(tǒng)陷阱、輸入輸出的非法訪問以及訪問控制的混亂。

（2）網絡協議的安全漏洞。作為冷戰(zhàn)時期的產物，TCP/IP主要承擔著保證傳輸準確性和確保通達的目標，通過重復的來回舉動以便于保證數據的完整和準確性，但是，由于TCP/IP沒有對IP進行鑒定，即其不存在能夠支持源地址辨別的控制機制，也就無法搞清楚IP從什么地方來，這一問題是TCP/IP所產生安全漏洞的主要原因所在，正是存在這一漏洞，使得黑客能夠對TCP型號進行推測，比如利用偵聽方式獲得數據，并在檢查的基礎上進行推測，之后，黑客就可以根據自己的需求通過修改傳輸路等形式，對數據進行破壞，達到利用安全漏洞的目的。

（3）數據庫的安全漏洞。保障WEB應用安全最大的敵人，就是對用戶輸入的盲目的信任，HTML表單中的參數，是用戶輸入的主要來源，如果在輸入之前或者輸入的過程中，對這些參數的合法性進行嚴格的測試，那么，就會增大計算機病毒的攜帶輸入，因為有可能會有認為的操作失誤由此產生，同時，還可能引起惡意的未經授權就進入數據庫的情況的產生，從而對服務器產生威脅。

（4）網絡軟件的安全漏洞，存在于網絡軟件中的安全漏洞，主要表現在四個方面，一是電子郵件，二是匿名的FTP，其中電子郵件存在的安全漏洞使得電腦黑客很容易將經過編碼的電腦病毒加入該系統(tǒng)中，進而利用該病毒，可以對遭受病毒侵襲的用戶的電腦進行各種控制；三是編程人員編寫的一些程序，這些程序自身存在的問題，會暴露出整個系統(tǒng)中的可讀性，進而放大了網絡的不安全因素，為黑客侵入提供了機會；四是域名服務導致的安全流動，從域名的功能和作用來看，域名是一條能夠連接用戶和自己的生命線，而事實上，也只有通過建立并且注冊而且擁有所有相關以及相似的域名，用戶才能夠更好的實現自我保護，但是由于域名自身存在的不足，使得這種保護自己的行為上漏洞連連，更容易被黑客所利用。

2 網絡安全漏洞產生的原因

計算機網絡安全漏洞的產生，主集中在兩個方面，一個是DOS自身原因，另一個則是由網絡的入侵者，即常言所說的黑客主導的。從DOS的自身職能來看，其所提供的服務時一種拒絕性質的服務，在DOS工作的過程中，其要完成拒絕服務，在這一過程的同時，就會導致系統(tǒng)權限的泄露，加入在這個時候計算機的使用者想要對計算機的系統(tǒng)權限進行修改，那么對于權限資源就要再次進行分配，這樣將會分割資源程序，而分割資源程序的時候，并不是所有的資源都能夠被DOS充分利用，相反的，會有一部分資源轉化為無效文件，從而引發(fā)安全漏洞。而從網絡入侵方面來看，這種入侵事實上是一種惡意的攻擊，通過尋找計算機存在的安全漏洞，進而通過病毒等多種形式入侵計算機，如今伴隨著計算機的告訴發(fā)展，病毒等入侵手段也日益多樣化，這就使得入侵計算機的能力不斷增強，加入計算機遭受了惡意入侵，就會在原有漏洞的基礎上，產生更多、更嚴重的安全漏洞，使得計算機的自我保護能力降低，同時系統(tǒng)的運行混亂狀態(tài)也會出現，屆時，入侵的黑客就可以在沒有訪問權限的條件下控制電腦，達成其所要達到的目標。

具體而言，網絡安全漏洞的產生，主要是由以下幾個方面的原因導致的：

首先是操作系統(tǒng)和應用軟件缺省安裝，這種缺省安裝，導致了兩個問題的發(fā)生，一個是拙劣的腳本范例被安裝到了電腦上，另一個則是對于組建和服務不清晰，從而為電腦漏洞的產生提供了機會。其次是計算機自身的權限權限設置不正確，常規(guī)的權限設置設計到文件權限和用戶權限，如果在權限設置過程中，沒有很好的對用戶權限予以重視，并且對之實施一定的保護和反惡意攻擊設置，那么就會導致用戶權限及其容易被篡改，進而也就為惡意攻擊者提供了便利之門。其三是端口的大量打開，在計算機的使用過程中，如果大量的打開端口，就會給攻擊者提供更多的途徑，類似于一個封閉的城堡，打開的大門越多，就會給攻擊者制造越多的攻擊道路一樣，往往是端口的大量打開，使得計算機自身的安全隱患增多。

最后，雜事計算機在備份方面做的不到位，即缺乏備份或者備份的不夠完整，備份是電腦對自我資源的一種良好的保護，即一旦遭受到了意外的攻擊或者變故，可以很好的保護資料，避免資料的遺失或者殘缺，但是在實際的使用過程中，由于對備份的認識不到位，往往會出現備份不完整或者不正確等問題，從而導致系統(tǒng)一旦遭受突發(fā)的攻擊，就會使得重要數據丟失，造成不可挽回的后果。

3 計算機網絡安全漏洞引發(fā)的攻擊手段

3.1 利用網絡系統(tǒng)漏洞進行攻擊

計算機系統(tǒng)并不是一個完美無缺的存在，相反的，計算機系統(tǒng)自身存在著各種各樣的漏洞，正是由于這些漏洞的存在，為黑客的攻擊提供了便利，使得黑客可以利用漏洞進行各種各樣的操作，進而完成入侵系統(tǒng)等目的。此外，除了系統(tǒng)自身固有的不足和問題之外，人為的操作疏忽也是導致系統(tǒng)漏洞產生的主要原因，例如在權限設置方面、端口打開方面的不當操作，就會為黑客提供一些可乘之機，使得黑客可以更加輕易的入侵系統(tǒng)，達到其所要達到的目的。

3.2 通過電子郵件進行攻擊

在對網絡安全漏洞加以利用進而進行攻擊的手段中，電子郵件攻擊是一種常用的手法，作為應用十分廣泛的重要通訊方式，電子郵件在人們的生活中起到日益重要的作用，因此，也就成為了黑客們進行攻擊的一個主要手段。在進行電子郵件攻擊的時候，黑客一般會通過郵件炸彈或者CGI程序對目標郵件進行干擾，通過大量無用的垃圾郵件或者重復郵件，將要攻擊的郵件的容量占滿，并且使其類似于被撐爆而無法正常使用，進而達到進攻的目的，此外，由于大量的垃圾郵件的傳輸，會使得郵件系統(tǒng)產生大的工作負荷，進而工作反應緩慢乃至于癱瘓，也就為黑客的惡意攻擊提供了機會。

3.3 解密攻擊

在計算機的使用過程中，通過使用密碼進行安全保護，是一種實用并且常見的方法，密碼自身具有私密性，每個人的密碼都不相同，由此在保障安全的同時，也滿足了人們對于隱私保護的需求，而就當前的計算機密碼保護設置來看，系統(tǒng)對于使用人的確認方法就是通過密碼，只有密碼正確才能獲得訪問權限，防止則無法進行正常的訪問，這也使得使用密碼進行安全保護成為了互聯網中一種常見并且基礎的保護方式，而對于黑客而言，在入侵電腦系統(tǒng)的時候，進行解密攻擊也就顯得十分的必要。在黑客攻擊中，通過獲取密碼進行攻擊的方式是十分多元的，其中，有一種方法是通過對網絡數據的監(jiān)聽達到解密的目的，這種方式所利用的是用戶端與服務端之間的傳輸設置，因為在密碼保護過程中，正常用戶要想獲得訪問權限，必須進行密碼的輸入以及客服務器端的密碼確認，而黑客所要做的就是在服務器端與客戶端之間進行數據的監(jiān)聽，由于系統(tǒng)不會直接進行數據的傳輸，而是會將數據加密后進行傳輸。因此，黑客在獲得監(jiān)聽數據后，還要進行進一步的解密，這種加密無疑增大了黑客破解的難度，但是也有一些系統(tǒng)在沒有加密的情況下進行數據傳輸，從而使得黑客可以輕易破解其密碼。

3.4 后門軟件攻擊

在互聯網的攻擊手段中，存在一種常見的攻擊手法，稱之為后門軟件攻擊，比較著名的后門軟件攻擊案例是冰河、Back Orifice2000等特洛伊木馬，這些木馬可以通過自己的手段尋找到系統(tǒng)漏洞，并且侵入系統(tǒng)，進而進一步的獲得整個電腦的超級用戶級別的權利，對整臺電腦進行全面的控制，不僅局限于文件等數據資料，還包括密碼、桌面等的操控。因此，后門軟件的攻擊也是網絡安全漏洞被利用的一種重要攻擊方式。

4 防治網絡安全漏洞的手段

網絡安全漏洞的存在，使得用戶在使用計算機的同時存在著大量的安全隱患，因此，有必要在充分了解網絡安全漏洞產生的原因、種類以及引發(fā)的攻擊手段的基礎上，對網絡安全漏洞予以防范，保障用戶安全上網，確保網絡安全。

4.1 提升防火墻技術

顧名思義，防火墻的主要功能在于對一些威脅電腦系統(tǒng)安全的因素進行有效的隔離和防護，根據防火墻的這種功能和原理，可以將防火墻進行有效的分類。第一是過濾防護，在這種防火墻中，主要是對訪問進行篩選，即通過路由器的作用，對漏洞進行一定程度上的防護，這一類防火墻的功能比較基礎，作用也十分有限，所起到的是一定的防護作用，如果侵入的信息進行地址隱蔽，這一類防火墻很容易被欺騙過去，因此，這類防火墻的應用主要在于簡單保護。第二是代理技術，這一類防火墻技術和程序是進行連接的，因此可以對程序所接受到的信息進和數據進行分析，進而可以對來自于外界的訪問進行有效的控制，此外，代理技術還具備加密功能，即將防護數據在記錄的同事進行加密，方便合法的使用者查看。第三是訪控技術，相比較于前兩種的防火墻技術，防控技術更加具有動態(tài)性和實用性，能夠對不合法的訪問進行實時控制，同時還可以對網絡環(huán)境的安全進行包裝，在進行身份識別、權限管理等方面，都能夠發(fā)揮巨大的作用，同時對于計算機的數據保護，也擁有強大的能力，可以很好的阻止黑客的惡意攻擊。

在防范網絡安全漏洞方面，要進一步發(fā)揮防火墻的作用，在防火墻的設置和功能升級方面，注重及時進行更新，將防火墻的作用發(fā)揮出來，減少網絡安全漏洞造成的計算機危機。

4.2 加強病毒防范措施

在常見的對網絡安全漏洞加以利用進而進行攻擊的方式中，病毒是應用較為普遍、危害比較大的一種攻擊方式，而且病毒的攻擊力強，隱蔽性高，使得病毒一旦進入計算機系統(tǒng)，不僅難以被發(fā)現，即使發(fā)現了清理也是一個大難題，因此，在對網絡安全漏洞防治中，必須要對病毒加以防護。在我國目前應對網絡病毒的的方法中，基本采用的多層防衛(wèi)的方法，第一步是在計算機上進行各類病毒查殺軟件的安裝，類似于卡巴斯基反病毒軟件、超級巡警、AutoRun等，利用這些軟件，對各類病毒進行分析和抵御，同時，可以長期的對計算機的安全漏洞進行修復，并且可以掃描出隱藏起來的病毒掃描出來加以清除，確保網絡環(huán)境的安全；此外，在按照查殺各類病毒的同時，要對病毒升級庫進行構建，因為從目前的病毒攻擊來看，病毒并不是一種不會改變的，相反的，病毒會通過繁殖等方式進行病毒的擴散，并且具有很強的程序性和可操作性，所以必須要對病毒的升級工作予以公示；最后，則是要將病毒的侵入途徑切斷，在軟件的使用過程中，使用安全綠色的，避免病毒借助軟件等其他東西侵入電腦。

4.3 注重漏洞掃描技術的應用

漏洞掃描技術主要是對計算機的漏洞進行掃描和發(fā)現，進而在發(fā)現的基礎上展開積極的防范和修補，可以起到防患于未然的作用，其工作原理是：首先對計算機展開漏洞攻擊，并且將這種攻擊記錄下來，在攻擊的過程中進行偵測，檢查計算機是否存在系統(tǒng)內的不合理信息。當前，主流的漏洞掃描技術是DOS，其可以達到掃描的目的，在掃描過程中，可以實現本地掃描也可以實現遠程遙控掃描，能夠對網絡安全進行有效的保護。

此外，在漏洞掃描技術的應用中，要注重加強對一些病毒或者木馬容易隱藏的關鍵部位的掃描，例如端口、運行軟件等，避免病毒隱藏起來難以被發(fā)現。

4.4 其他防治安全漏洞的方式

除了以上幾種防治安全漏洞的方式外，在加強網絡安全的防治中，還要注重強化端口解析以及加強數據備份工作。

端口主要是指計算機的外接部分，例如USB之類的設備，這一類設備屬于計算機的對外部分，具有較強的安全系數，但是在使用的過程中，也容易出現通過USB進行病毒傳播的情況。因此，要加強對端口的分析，即在USB接入的時候，對之進行及時的檢測，發(fā)現病毒等的時候，及時進行滅殺，保護電腦系統(tǒng)安全。

其次是加強數據備份，黑客利用電腦系統(tǒng)漏洞入侵電腦后，往往會對一些資料進行盜取和摧毀，因此，加強數據備份，事實上就等于為電腦增加了一道保險，一旦系統(tǒng)被侵入，數據被摧毀后，還可以保留一些珍貴的數據，避免損失過大。

5 總結

網絡時代的便利已經讓很多人享受到了高科技帶來的生活質量的提升，但是同時，由于計算機網絡系統(tǒng)的安全漏洞引發(fā)的網絡安全事故，也讓很多人遭受了巨大的威脅，因此，在使用計算機的時候，要注重及時的對網絡安全漏洞進行甄別和修補，同時，個人在使用計算機的時候，要養(yǎng)成良好的使用習慣，盡量減少網絡安全漏洞，保護計算機安全，減少黑客的可乘之機。另一方面，伴隨著一些殺毒軟件等防護軟件和技術的更新，可以預見，在不遠的將來，網絡安全漏洞帶來的負面影響，一定會進一步被弱化。

［1］張達聰.鄒議計算機網絡安全漏洞及防范措施[J].硅谷,2011(07)：56-58.

［2］魏英韜.淺析計算機網絡安全防范措施[J].中國新技術新產品,2011(04)：90-92.

注釋：

①陳深,朱少芳.計算機網絡安全分析研究田[J].中國高新技術企業(yè),2013(06).