计算机网络安全漏洞及解决措施初探

黄日晴

摘 要 人们通过计算机网络享受着各种便利，随之而来的网络安全问题也让人无限担忧。由于我国国内计算机主流操作平台系统的功能复杂，而没有开放源代码，不能实现安全的检测验证。而目前所使用的计算机网络通信协议大多都由国外开发，在可靠性方向持有保留态度。因此，在计算机网络安全方面的漏洞也是一个比较严重的现实问题。本文通过分析计算机网络安全的现状，提出一些拙见。

关键词 计算机 网络 安全漏洞 解决措施

中图分类号：TP393.08文献标识码：A

Computer Network Security Vulnerabilities and Solutions

HUANG Riqing

(Guangdong AIB Polytechnic, Guangzhou, Guangdong 510663)

Abstract Through the computer network, people enjoy a variety of convenience, and network security issues followed by also make people worry a lot. Due to the complexity of China's domestic computer mainstream platform function of the system, but not open source, can not achieve the safety testing and certification. Computer network communication protocol used mostly by foreign development, have reservations about the direction of reliability. Therefore, in computer network security vulnerability is a serious practical problems. In this paper, by analyzing the status of the computer network security, to make some humble opinion.

Key words computer; network; secruity vulnerability; solution

1 计算机网络安全漏洞

1.1 成因

1.1.1 操作系统本身漏洞和链路的连接漏洞

计算机网络由于需要给用户提供各种便利，那么就需要它在操作系统上拥有一个统一的用户交互平台，能够全方位多角度的支持各种所需功用。而计算机网络的功能越强大，就表明它交互平台的网就撒得更大，那么它存在的漏洞也就越多，所以会更有可能受到攻击。一个平台的建立不可能是暂时性的，也不可能是永远都固定不变的，那么它在这种长久的存在与优化升级的过程中就会遭受更多的暴露与攻击。在计算机的服务运行过程中，网络互通的功能需要由链路连接来实现。那么有了连接，就仿佛给攻击搭了一座桥。而这些攻击包括对链路连接本身的攻击、对物理层表述的攻击以及对互通协议的攻击等等。

1.1.2 TCP/IP协议漏洞和安全策略方面的漏洞

应用协议可以高效支持网络通信顺畅，但是TCP/IP固有缺陷决定了源地址无法得到相应控制机制的科学鉴别。一旦IP地址无从确认，黑客就可以从中截取数据，以篡改原有的路由地址。在计算机系统中，响应端口开放支持了各项服务正常运转，但是这种开放依然给各种网络的攻击制造了便利。或许有人说防火墙可以阻止其的进攻，但是如今防火墙对于开放的流入数据攻击依然束手无策。

1.2 检测方法

（1）配置文件检测。一般来说，系统运行的不安全配置主要是由于配置文件的缺失或是过于复杂，而关于配置文件漏洞的查找则需要读取并解释来完成。当系统文件的配置影响到系统的功能运行时，用户需要及时的找出这个错误并且纠正过来。由于某些错误配置只能在遭受攻击后方能看到，由此对配置文件进行检测会有效地降低漏洞的风险。

（2）文件内容与保护机制检测。一般来说，特洛伊木马喜欢植入系统工具和命令文件，特别是命令文件中的启动脚本文件。因此在对这些文件进行检测时，可以设置唯有访问权限的用户才能启动或是修改。而对文件内容进行安全检测的第一步是检测访问控制设置。然后由于访问控制机制的复杂性，导致这种检测的功效并不十分明显。

（3）错误修正检测。大多攻击会利用操作系统的这些错误来破解系统进入权限，所以需要开发出补丁程序来修正这些错误。若是补丁程序没有得到及时的安装，那么这种错误修正就可以利用检验程序来完成。对于系统的这种检测而言，既可以是自动的也可以是手动的。被动型通过版本号和校验等来检测补丁程序的安装与否，而主动型则是通过检测来找出错误。

（4）差别检测。这是一种被动的检测方法，它需要有一个基准时间，但是在文件被改过之后，它实际上是忽略了时间和日期的，由此可能出现造假的情况。而且它并不能阻止程序已经被更改的部分，只能检测其是否被更改。正是由于差别检测的这些特点，也就需要进行经常性的检查。而文件的检测程度直接和基准的有效性挂钩。

1.3 扫描技术

（1）基于主机。安装一个服务或者代理于目标系统上，为了便于漏洞扫描系统的直接访问。扫描系统（下转第143页）（上接第107页）对计算机进行全面扫描之后，可以对全盘系统进行分析，找出更多系统漏洞。此种扫描主要是对系统设置、注册表以及应用软件等的扫描，中心服务器可以接收这些反馈信息，利用控制平台来处理。在这种扫描技术中，需要有用户代理、中心服务器和漏洞的扫描控制平台来组成。控制平台可以接收用户的扫描指令，中心服务器来响应这些指令，而用户代理来执行这些指令，三者相互合作，扫描出计算机网络安全漏洞。

（2）基于网络。这种基于网络的扫描技术主要是查找网络服务协议的漏洞，基于Internet的远程检测，它以一个外部攻击者的角度来扫描不同端口以及服务架构。基于网络的扫描技术需要通过分析比对扫描日志来得出是否被漏洞侵蚀的结论。在这种比对中，就可以有效的发现和清除协议漏洞。而完整的网络漏洞扫描大体可以分为三步走。首先是发现存在于主机或者网络中目标；其次进一步的搜索已发现的目标信息，比如说操作系统的类型和服务软件的版本等。若是漏洞目标是网络，则可以跟踪网络的路由设备等；最后是根据已得到的扫描信息来测评是否存有漏洞。

2 解决措施

2.1 利用防火墙

防火墙技术主要包括过滤技术、服务器代理技术和状态检测技术等。过滤技术是比较早的防火墙技术，它实施网络保护是通过路由器来实现的，能够筛选地址和协议，但是前面我们提到它不能有效防范欺骗地址，在进行安全策略的执行时，也存在着某些局限。而代理服务器直接与用户相连，能够提供访问控制。能够自如、安全的控制进程与流量，并且透明加密。但是由于它的针对性太强，也就注定了需要具体问题具体分析，代理服务不同，也就需要不同的服务器来解决。以上两者的不足正好被状态检测技术来弥补了，它能够转化各个元素物，形成一个数据流的整体，最终形成的连接状态的数据表比较完善，并且对连接状态也能够进行有效的监控。基于此的改革，方能使防火墙技术得到更加的完善。

2.2 利用扫描技术

一旦网络环境发生错误，网络漏洞便可趁虚而入。利用这种漏洞缺陷，提出利用扫描技术来进行网络漏洞的防范，可以将漏洞扼杀在萌芽状态，最终消灭漏洞。而在扫描之后，通过检测不合法的信息则可以实现漏洞的扫描。在主机端口通过建立连接，申请服务器展开请求。与此同时，观察主机以何种方式来应答，并且收集系统变化信息，通过结果来反监测。

2.3 完善网络漏洞信息库

完善网络信息库可以高效的保护网络漏洞，若是每个网络的漏洞都有其不同的特征码，那么在检测时我们可以通过检测网络数据包，从而测试数据的准确性和有效性。另外，网络漏洞种类繁多，而且千差万别，在进行网络漏洞修复时，提取的漏洞代码是否准确至关重要。漏洞数据库的维护更新可以通过分析漏洞，并且建立数据库的特征库来达到。在对数据库漏洞进行分析之后，也就可以及时查找网络漏洞，建立标准而标准的漏洞扫描代码。在对于数据库的设计方面，一个完整的网络漏洞数据库的设计应该包括漏洞的各个完整信息，对于漏洞的特征扫描以及端口信息等都应该有相应的数据分析。对于解决方式以及评估体系，特征木马的匹配状况都要详细解释和说明。

3 结语

如今信息技术告诉发展，计算机成为人们日常生活和工作中不可或缺的一部分，网络信息技术的安全与否也显得尤为重要。建立一个安全有效而且稳定的网络系统，是每个计算机用户的共同愿望。对网络漏洞进行及时的检测与扫描，通过分析漏洞、查找漏洞来解决漏洞、防范漏洞。

参考文献

[1] 王志军.对当前计算机网络应用安全现状与策略研究[J].计算机光盘软件与应用,2011(14).

[2] 张达聪.邹议计算机网络安全漏洞及防范措施[J].硅谷,2011(7).

[3] 石玮.浅谈计算机网络安全与防御技术[J].计算机光盘软件与应用,2010(13).

[4] 许宁,李晔.浅谈计算机网络安全防范技术[J].硅谷,2010(16).

[5] 刘春晓.浅谈计算机网络安全防范技术[J].科技资讯,2009(35).