摘 要: 結合實際工作發現的安全漏洞,從訪問控制、防火墻技術、病毒防范和入侵檢測4個方面探討了計算機網絡安全防范措施。通過安全防范措施,保證了網絡環境的安全,減少了被黑客攻擊的可能性。
關鍵詞: 網絡安全;計算機;漏洞;安全防范;黑客
隨著計算機技術和信息技術的迅猛發展,網絡安全問題日漸顯著。計算機網絡向世界各個角落延伸,用戶通過網絡享受著巨大便利的同時,安全隱患令人擔憂。近幾年來網絡攻擊事件不斷增多,計算機安全漏洞數量有增無減,因而造成的危害不斷增多,影響惡劣,在一定程度上危害到人民群眾的根本利益和社會經濟發展的穩定性。但是,半數以上的攻擊都是基于計算機本身存在的漏洞而進行的,各行業網絡管理員及計算機用戶應增強安全防范,構建完善的網絡安全環境,科學地進行漏洞發現、漏洞分析及漏洞安全防范工作,避免造成不必要的損失。
1 計算機安全漏洞簡單介紹
1.1 漏洞的定義
漏洞是在硬件、軟件和協議的具體實現或系統安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。
大多數用戶對安全漏洞的概念或多或少會有一定的了解,但由于所處的領域不同、看待漏洞的角度不同和研究的程度不同,導致對漏洞的理解也不同。信息安全漏洞的最早定義是由美國著名的計算機安全專家DENNING D E R[1]博士于1982年提出的,他從訪問控制角度,把漏洞定義為“導致操作系統執行的操作和訪問控制矩陣所定義的安全策略之間相沖突的所有因素”。
1.2 漏洞的分類
當今世界每天所依賴的軟件和網絡應用確實存在著漏洞,這只是軟件開發快速發展的必然結果。根據中國國家信息安全漏洞庫(CNNVD)統計,2012年10月份新增安全漏洞772個,日平均新增漏洞數量約25個,與前5個月平均增長數量相比,增長速度有所上升。圖1為近6個月漏洞新增數量統計圖。
據析,新增漏洞主要為主流操作系統漏洞、TCP/IP協議缺陷漏洞及由安全策略引起的漏洞。
(1)操作系統本身漏洞及鏈路連接漏洞[2]
操作系統是一個人機交互便捷平臺,要支持各種應用,各種操作系統都存在著先天缺陷和不斷增加新功能而帶的漏洞。操作系統為用戶提供的功能越多,應用越新,漏洞的數量及其存在漏洞的可能性越大,受到攻擊的可能性越大;服務器或者PC安裝的操作系統時期越長,用的人越多,暴露漏洞的概率越大,越容易受到攻擊。黑客攻擊防火墻或內部主機,一般都是先攻擊操作系統,控制了操作系統就控制了防火墻或內部主機。計算機正常運行期間,需通過鏈路連接網絡互通功能,一旦存在鏈接,相應的就會存在被攻擊的可能性。鏈路連接攻擊及基于數據鏈路的會話攻擊等。
(2)TCP/IP協議缺陷漏洞
TCP/IP漏洞的根本所在就是目前其內在控制機制對源地址還無法進行有效的鑒別,無法證實IP地址準確無誤地從哪里來。這就為網絡攻擊者利用偵聽技術破壞計算機網絡提供了很大的可能性,黑客利用此漏洞可以對數據進行檢查,推測TCP的序列號,修改鑒別過程,插入非法數據流。
(3)安全策略漏洞
網絡正常運行各項服務的正常開展都源于計算機端口開放功能。例如80端口開放,實現HTTP服務發揮功能;25端口開放,則可以提供SMTP服務。端口正常開放,在給用戶帶來方便的同時,也增加了計算機遭受攻擊的可能性,這時,傳統的防火墻的防護功能已經顯得蒼白無力,很難發揮其有效的作用。
根據貴州省2012年信息安全評估示范項目過程中漏洞掃描師對貴州省**廳局進行的服務器外網漏洞掃描報告,分析得出漏洞分布情況如圖2所示。
2 計算機安全漏洞防范措施
針對網絡安全漏洞的類型,目前比較有效的防范措施主要有訪問控制、防火墻技術、病毒防范和入侵檢測技術等,其中對廣大網絡用戶和網絡管理員的安全培訓也是至關重要的。
2.1 訪問控制
針對操作系統本身漏洞,根據第三級安全標記保護級[3]主要從身份鑒別、自主訪問控制、強制訪問控制、數據流控制、安全審計、用戶數據完整性和用戶數據保密性進行功能加強。
2.2 防火墻技術
防火墻是設置在不同網絡或網絡安全域之間(可信網絡與不可信網絡)的一系列部件(軟件與硬件)的組合,是目前最廣泛、最經濟有效的安全漏洞防范措施之一。通過允許、拒絕或重新定向經過防火墻的數據流,實現對進、出內部網絡的服務和訪問的審計和控制,從而防止不明身份黑客進入計算機用戶網絡,保護用戶的信息免于遭受破壞。
2.3 防病毒技術
防病毒技術就是如何通過各種技術手段預防、查殺各種病毒代碼,通過防范計算機遭受各種病毒(包括病毒、蠕蟲、惡意代碼、木馬等)的感染、攻擊和破壞,保證計算機的數據安全和應用安全。從防病毒產品的部署來看可分為主機型防病毒產品和網關型防病毒產品。防病毒網關設計安裝在網絡邊緣,病毒侵入前進行實時地阻止,這樣很好地解決了病毒在被單機防病毒軟件查殺前已經進入網絡的安全風險,且很好地避免了計算機用戶不熟悉防病毒軟件使用的風險[4]。
2.4 入侵檢測技術
入侵檢測系統具有更多的智能,它利用各種不同類型的引擎對系統進行實時或定期監控,獲取系統的審計數據或網絡數據包,然后將得到的數據進行分析,并判斷系統或網絡是否出現異常或入侵行為,一旦發現異常或入侵情況,發出報警并采取相應的保護措施。
2.5 加強網絡管理員綜合素質[5]
隨著計算機防范技術的發展,黑客攻擊技術水平也在不斷提高,因此網絡環境不存在絕對意義上的安全。應加強網絡管理員安全培訓,提高網絡管理人員綜合素質,健全安全管理。通過認識計算機安全漏洞、分析漏洞和加強防范措施,爭取最大限度地確保計算機網絡的安全性,減少被黑客攻擊的可能性。
通過實踐工作中發現的計算機安全漏洞并對其分析,找出其安全防范對策。主要從訪問控制、防火墻、防病毒和入侵檢測(正在發展為入侵防御)幾個方面來加強防范,不給黑客留有可乘之機,確保網絡用戶的信息安全。
另外,在大型企業和政府部門,在服務器安全運維階段,網絡管理人員應對網絡環境開展定期系統審計、漏洞掃描和滲透測試,進一步提升網絡安全運維情況。在網絡正常工作期間進行定期和不定期風險評估,以便幫助確認網絡環境保持的安全等級是否發生變化[6]。計算機安全漏洞及防范措施的研究是一項長期動態工作,需得到管理人員的鼎力支持,并具有繼續研究下去的意義。
參考文獻
[1] DENNING D E R. Crytography and data security[M]. USA,Boston: Addition-Wesley,1982.
[2] 鄭平.淺談計算機網絡安全漏洞及防范措施[J].計算機光盤軟件與應用,2012(3):31-46.
[3] GB/T20272-2006.信息安全技術操作系統安全技術要求[S].中國:中國國家質量監督檢驗檢疫總局、中國國家標準化管理委員會,2006.
[4] 武春嶺,李賀華.信息安全產品配置與應用[M].北京:電子工業出版社,2010.
[5] 倪靈芝.計算機網絡安全漏洞及解決措施初探[J].信息與電腦,2012(1):24-25.
[6] 范紅.信息安全風險評估規范國家標準理解與實施[M].北京:中國標準出版社,2008.