关于计算机网络的安全漏洞与相关防范措施探讨

王晓亮

摘 要 安全漏洞是指网络系统中存在的弱项、缺点或协议缺陷，研制开发操作失误可形成漏洞，在不断纠正或修补以往漏洞时可逐渐凸显新漏洞，因此漏洞有增无减。漏洞高度复杂，对于安全风险、安全隐患的敏感性较高，黑客可利用漏洞渗透网络、深层系统，并执行恶意代码及接收错误指令，增加系统攻击风险、网络操作风险、硬件风险、软件风险。应及时发现漏洞、分析漏洞相关性、防范漏洞，减少漏洞危害。本文探讨了计算机网络的安全漏洞及相关防范措施，旨在主动防治网络问题，减少安全攻击、改进网络安全状态。

关键词 安全漏洞 网络 计算机

计算机网络应用领域及空间广阔，已经覆盖全球，为工作创造了诸多便捷，丰富了业余生活，现代社会中的网上购物、电子商务等服务对网络的依赖程度极高，民众生活与网络已互相融合。互联网涉及数量庞大的网络用户与计算机系统，且网络本身存在多种缺陷，因此网络安全隐患、安全漏洞难以避免。网络安全漏洞可增加间谍程序、蠕虫、木马、黑客攻击概率，为病毒隐藏及伪装、网络犯罪提供便利，造成信息泄漏、经济损失，还会引起网络故障。应重视防范安全漏洞，加强网络监管，科学分配网络中的软件资源、硬件资源，降低安全风险、减少恶意攻击及恶意干扰，提高网络保密程度，维持网络正常运转。

一、安全漏洞

安全漏洞属于不可控、无可避免、必然的、非正常情况，漏洞可影响路由器、防火墙、操作系统、应用软件正常运行，目前网络应用软件中的漏洞数量增势明显，如Mozilla Firefox及微软IE浏览器漏洞等，且发现漏洞与出现攻击程序之间的时间不断缩短，零日攻击问题频繁发生，漏洞修补程序发布时间落后，导致不能及时修补安全漏洞，增加了网络攻击的可能性。分析安全漏洞时需考虑网络系统环境、具体时间段，常见漏洞包括拒绝服务、安全绕过、信息泄露、缓冲溢出、权限升级漏洞、跨站脚本、注入漏洞、跨站伪造请求、代码执行及无授权访问等。防火墙与网络安全环境保护要求不匹配时也会出现安全漏洞，再加上黑客攻击技术在不断改进，出现安全漏洞时通常会发生程序捆绑攻击行为。编写网络软件程序时可能遗留安全漏洞及BUG，如FTP漏洞、CGI漏洞、ASP漏洞及PHP漏洞等，黑客通常会检测出BUG及安全漏洞，利用病毒攻击网络漏洞，读写系统结构或服务目录，如某些软件接收异常或超长数据时可导致缓冲区发生溢出问题。涉及安全漏洞的协议包括SSH、HTTP、FTP、TELNET、IPSec、TCP、IPv6及DNS等，网络协议主要为TCP/IP協议，协议本身不能准确判断开放性与互联性网络IP地址实际来源，网络黑客可利用安全漏洞侦听传输线路、检查或截取网络数据，推测TCP及改变路由，破坏、覆盖网络数据。

二、防范措施

（一）漏洞扫描

使用网络时应注意定期扫描安全漏洞，包括主机系统、防火墙、WEB站点、局域网的漏洞，了解是否存在窃听系统、不良网络服务，查询TCP/IP端口信息及记录协议响应情况，及时发现与修复漏洞，不断优化网络系统及增强安全攻击抵御能力。扫描漏洞时可采用模拟攻击测试法或目标系统扫描法，模拟攻击指的是利用DDOS、缓冲溢出、护欺骗等方法尝试性攻击远程目标，逐项检查目标系统已知漏洞或可能出现的漏洞。扫描目标系统指的是连接主机端口后请求FTP、TELNET等服务，并记录主机应答信息，通过分析应答过程检测安全漏洞。扫描网络与目标主机时多采用PING技术，使用工具ping与IP地址即可扫描目标主机，根据主机回应情况检测安全漏洞，如主机中的防火墙自动屏蔽PING扫描，可将错误数据发送到目标主机，通过判断ICMP出错响应情况检测漏洞，扫描流程。扫描防火墙安全控制规则中是否存在漏洞时，可采用与Trace-route IP数据分析相类似的方法，扫描时可通过探测网络开启端口与特定网关判断漏洞情况。探测软件漏洞时可发送UDP或ICMP请求报文，对ICMP回应进行分析，包括Que-SO、NAMP分段响应情况，从而判别响应信息与漏洞。扫描网络协议端口时可采用TCP SYN扫描、TCP Connect扫描、认证扫描及秘密扫描技术。

（二）构建漏洞信息库

安全漏洞千差万别、种类繁多，构建安全漏洞信息库可以提高漏洞扫描、检测效率，准确验证安全漏洞，标记HTTP文件中的相关内容，根据漏洞信息运用追踪技术查找网络攻击起源路径，实现高效防护。构建信息库时可为不同的漏洞赋予唯一的特征码，在检测或扫描漏洞时可直接利用不同特征码组成的数据包，在数据包中准确提取漏洞特征码，从而高效分析漏洞及获取相应的安全攻击信息。注意根据漏洞扫描与检测结果及时更新特征码，保证信息库中包含详细的安全漏洞信息，包括漏洞特征、状态、信息来源、控件信息及端口信息，漏洞编号、类型、名称、相关引用、修订时间、公布日期或报告时间，漏洞风险评估与危险级别、相关建议、补救方案、漏洞软件与版本、木马匹配规则、后门匹配规则、影响程度与影响平台、处理方式及攻击程度等。目前可使用的漏洞信息库包括NIST实验室的NVD漏洞库、Mitre公司的CVE漏洞库、CERT小组的US-CERT漏洞库、ISS组织的X-Force漏洞库，上述信息库数据下载、发布方式、更新方式各有特点，信息库结构，漏洞信息构成。

（三）完善网络配置

为预防黑客利用漏洞发起伪造攻击，可调整路由器访问列表，限制路由器数据包允许通过地址范围；关闭路由器上的源路由，利用No Ip Soure-route命令阻止源路由器发生安全攻击；也可以在RPF检查设备中设置No Ip Directed-broadcast命令，利用No Ip Directed-broadcast命令控制通过路由器的数据，减少路由攻击。为确保端口安全，可在交换机中设置MAC地址数允许值，控制允许流量，避免网络设备无定向、徒然处理数据包，减少协议端口单播扩散转发流量，减少安全漏洞与安全攻击。连接网络时应尽量关闭计算机中的打印共享与文件共享功能，必要时可隐藏IP，避免设置空连接，将无用网络端口及服务程序关闭，禁用Guest账号。确保防火墙或服务器相匹配，删除无用软件程序与缺省路由，安装病毒查杀与反查杀软件，结合杀毒与防毒，组建多层次病毒防卫体系，注意更新杀毒软件、系统补丁，如卡巴斯基、小红伞、金山毒霸等。设置复杂的服务密码，完全隐藏重要目录或文件，禁用Windows服务器中的Telnet服务、Remote Registry服务及Messenger服务。

三、结语

网络资源开放、分散、共享，安全攻击具有易欺骗性、潜藏性与隐蔽性特点，可利用系统漏洞、网络漏洞等安全漏洞非法截获访问信息，威胁网络运行安全，引起隐蔽性攻击、数据被窃、系统瘫痪、网络破坏与网络犯罪，影响网络交流、沟通、信息共享。要主动制定防范措施应对安全漏洞，提高网络结构自身的安全性，设计诱骗技术、网络陷阱、追踪技术、信息证据获取技术等，控制入网访问，使用安全服务程序与通信协议，双重加密网络数据，避免网络硬件、软件遭到更改、攻击、破坏。此外，应注意减少操作系统、认证技术缺陷，注重维修及检测网络运行空间，做到定期扫描、更新、清理，及时修正漏洞。

（作者单位为大连电子学校）