浅谈计算机网络安全漏洞及防范措施修订版.docx
《浅谈计算机网络安全漏洞及防范措施修订版.docx》由会员分享,可在线阅读,更多相关《浅谈计算机网络安全漏洞及防范措施修订版.docx(16页珍藏版)》请在冰豆网上搜索。
浅谈计算机网络安全漏洞及防范措施修订版
IBMTstandardizationoffice【IBMT5AB-IBMT08-IBMT2C-ZZT18】
浅谈计算机网络安全漏洞及防范措施修订版
浅谈计算机网络安全漏洞及防范措施
xxxx
xxxx
摘?
?
要:
?
随着计算机网络在人类生活领域中的广泛应用,针对计算机网络的攻击事件也随之增加。
网络已经无所不在的影响着社会的政治、经济、文化、军事、意识形态和社会生活等各个方面。
同时在全球范围内,针对重要信息资源和网络基础设施的入侵行为和企图入侵行为的数量仍在持续不断增加,网络攻击与入侵行为对国家安全、经济和社会生活造成了极大的威胁。
计算机病毒不断地通过网络产生和传播,计算机网络被不断地非法入侵,重要情报、资料被窃取,甚至造成网络系统的瘫痪等等,诸如此类的事件已给政府及企业造成了巨大的损失,甚至危害到国家的安全。
网络安全已成为世界各国当今共同关注的焦点,网络安全的重要性是不言而喻的,因此,对漏洞的了解及防范也相对重要起来。
介绍了计算机网络和网络安全的概念,对于互联网的安全问题提出了解决方案。
关键词:
计算机网络、网络安全、防火墙、局域网
Discusstheonlinesecurityloopholeoftheconputerandprecautionarymensuressimply
xxxx
xxxx
Abstract:
?
Withthepopularityofcomputernetworkinhumanlifefield,theattackingmattersaimedatcomputernetworkhavealsoincreased.Networkhasomnipresentimpactsforvariousfieldslikepolitics,economy,culture,militaryaffairs,ideologyandsociallives,etc.Simultaneously,inglobalrange,theamountofinvasionandinvasionattemptingaffairsthataimedatimportantresourceandnetworkbasicequipmentshaskeptincreasing.Thenetworkattackingandinvasionhavesignificantthreatonnationalsecurity,economyandsociallives.Computervirushavebeenproducedandspreadceaselessly;computernetworkhasbeeninvadedillegally;importantinformationanddatahavebeenstolenandevennetworksystemhasbeencrashed.Sucheventshavecausedenormousdamagesforgovernmentsandenterprises,sometimesfornationalsecurity.Therefore,networksecurityhasbeenthefocusofeverycountryintheworldanditsimportanceisself-evidenced.Hence,itiscomparativelyimportanttoknowthecomputerholesandprecaution.Haveintroducethecomputernetworkandconceptoftheonlinesecurity,hasputforwardthesolutiontothesecurityproblemofInternet,thinkakindofimportantmeanstorealizesafetymeasureofthenetworkisthetechnologyoffirewall.
Keyworks:
Computernetwork、Networksecurity、Firewall、Localareanetwork
1、引言3
1.1研究的背景3
1.2研究的范围3
2、网络安全3
2.1计算机网络安全的现状3
2.2计算机网络安全漏洞的种类及成因4
2.3计算机网络面临的威胁5
2.4计算机网络安全防范策略5
3、防火墙技术5
3.1防火墙的简介5
3.2防火墙的关键技术6
4、防病毒技术7
4.1防病毒技术概述7
4.2网络防病毒的基本方法8
5、安全扫描技术9
5.1安全扫描概述9
5.2常用安全的扫描技术9
6、局域网的攻防10
6.1局域网的简介10
6.2局域网系统漏洞攻防11
6.3局域网病毒特点及攻防11
6.4局域网安全攻防武器11
7、确保网络安全的手段11
7.1写下你的安全策略11
7.2防火墙必不可少12
7.3随时更新桌面防病毒系统12
7.4强化您的服务器12
7.5补丁策略必不可少12
结束语13
致谢13
参考文献14
1、引言
1.1研究的背景
网络对于我们来说已经不再陌生,从校园内的局域网到遍及全国的因特网,随着网络的开放性、互联性与共享性程度的增强以及计算机网络系统与因特网的迅速发张和应用,网络的安全问题越来越引起人们的重视。
网络涉及到社会生活的各个领域,已经为影响人们信息生活发展的重要因素,因此,网络的安全问题显得至关重要。
随着互联网的飞速发展,网络安全逐渐成为一个潜在的居多问题。
网络安全性是涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。
在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。
因此,它关心的对象是那些无权使用,但却试图获得远程服务的人。
安全性的处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
当前,人类社会对计算机的依赖程度达到了空前的地步。
一旦计算机网络受到一些不可预测的外界条件的影响或者是黑客的攻击而倒致不能正常工作,甚至痪,整个社会就会陷入危机,将会带来极大的损失。
二十一世纪全世界的计算机都能通过因特网联到一起,信息安全的内涵也就发生了根本的变化。
它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。
正由于无处不在,也给不法分子可乘之机,出现了许多破坏网络的行为。
1.2研究的范围
分析网络安全问题,计算机网络安全的现状,面临的威胁,计算机网络安全漏洞种类、成因以及防范措施。
介绍防火墙相关技术、防病毒相关技术、安全扫描相关技术、局域网攻防技术以及确保网络安全手段。
2、网络安全
2.1计算机网络安全的现状
据美国金融时报报道,世界上平均每20分钟就发生一次入侵国际互联网络的计算机安全事件,1/3的防火墙被突破。
与此同时,在我国由于网民缺乏网络安全防范意识,且各种操作系统及应用程序的漏洞不断出现,使我国极易成为黑客攻击利用的首选目标,互联网安全形势非常严峻。
据最新调查显示,多达1.1亿网民在半年内遭遇账户或密码被盗情况,只有不到三成的网民认为网上交易是安全的。
另据中国反钓鱼网站联盟的统计显示,截至2010年7月底,累计收到19817个“钓鱼网站”举报。
从网上银行被克隆、用户资金被盗取到蠕虫、木马、钓鱼网站、恶意软件的侵扰,网购安全问题成为电子商务发展的一大瓶颈。
由于受技术条件的限制,很多人对网络安全的意识仅停留在如何防范病毒阶段,对网络安全缺乏整体意识。
2.2计算机网络安全漏洞的种类及成因
网络的高度便捷性、共享性使之在广泛的开放环境下极易受到这样或那样的威胁与攻击,例如拒绝服务攻击、后门及木马程序攻击、病毒、蠕虫侵袭、ARP攻击等。
而威胁的主要对象则包括机密信息的窃取、网络服务的中断、破坏等。
例如在网络运行中常见的缓冲区溢出现象、假冒伪装现象、欺骗现象均是网络漏洞的最直接表现。
(1)操作系统本身的漏洞及链路连接漏洞
计算机操作系统是一个统一的用户交互平台,为了给用户提供切实的便利,系统需全方位的支持各种各样的功能应用,而其功能性越强,漏洞则势必越多,受到漏洞攻击的可能性也会越大。
而操作系统服务的时间越久,其漏洞被暴露的可能性同样会大大增加,受到网络攻击的机率将随之升高,即便是设计性能再强、再兼容的系统也必然会存在漏洞。
计算机在服务运行中,需要通过链路连接实现网络的互通功能,既然有了链路的连接,就势必会存在对链路连接的攻击、对互通协议的攻击、对物理层表述的攻击以及对会话数据链的攻击等。
(2)TCP/IP协议的缺陷与漏洞及安全策略漏洞
网络通信的畅通运行离不开应用协议的高效支持,而TCP/IP的固有缺陷决定其没有相应的控制机制对源地址进行科学的鉴别,也就是说IP地址从哪里产生无从确认,而黑客则可利用侦听的方式劫持数据,推测序列号,篡改路由地址,使鉴别的过程被黑客数据流充斥。
另外在计算机系统中各项服务的正常开展依赖于响应端口的开放功能,例如要使HTTP服务发挥功能就必须开放80端口,如果提供SMTP服务,则需开放25端口等。
而端口的开放则给网络攻击带来了可乘之机。
在针对端口的各项攻击中,传统的防火墙建立方式已不能发挥有效的防攻击职能,尤其对于基于开放服务的流入数据攻击、隐蔽隧道攻击及软件缺陷攻击更是、束手无策、望尘莫及。
2.3计算机网络面临的威胁
由于计算机信息系统已经成为信息社会另一种形式的“金库”和“保密室”,因而,成为一些人窥视的目标。
再者,由于计算机信息系统自身所固有的脆弱性,主要是由于技术本身存在着安全弱点、系统的安全性差、缺乏安全性实践等使计算机信息系统面临威胁和攻击的考验。
计算机信息系统的安全威胁主要来自于以下几个方面。
(1)自然灾害。
计算机信息系统仅仅是一个智能的机器,易受自然灾害及环境(温度、湿度、振动、冲击、污染)的影响。
(2)黑客的威胁和攻击。
计算机信息网络上的黑客攻击事件越演越烈,已经成为具有一定经济条件和技术专长的形形色色攻击者活动的舞台。
(3)计算机病毒与间谍软件。
90年代,出现了曾引起世界性恐慌的“计算机病毒”,其蔓延范围广,增长速度惊人,损失难以估计。
与计算机病毒不同,间谍软件的主要目的不在于对系统造成破坏,而是窃取
系统或是用户信息。
(4)计算机犯罪。
计算机犯罪,通常是利用窃取口令等手段非法侵
人计算机信息系统,传播有害信息,恶意破坏计算机系统,实施贪污、盗窃、诈骗和金融犯罪等活动。
(5)信息战的严重威胁。
信息战,即为了国家的军事战略而采取行动,取
得信息优势,干扰敌方的信息和信息系统,同时保卫自己的信息和信息系统。
(6)计算机网络中经常受到攻击。
目前计算机网络中主要出现的攻击方
式:
1、服务拒绝攻击。
2、利用型攻击。
3、信息收集型攻击。
4假消息攻击。
2.4计算机网络安全防范策略
计算机网络安全从技术上来说,主要由防病毒、防火墙、入侵检测等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。
目前广泛运用和比较成熟的网络安全技术主要有:
防火墙技术、防病毒技术、安全扫描技术以及局域网的防范等。
以下将详细介绍这四种技术。
3、防火墙技术
3.1防火墙的简介
Intemet防火墙是一个用来控制经过其上的网络应用服务和数据信息的系统。
它结合了硬件和软件来防御未经受权的出入访问,目的是保护我们的网络和系统不受侵犯。
它的物理载体可以简单地表现为一个路由器、主机或任何一个可提供网络安全的设备,更可以是它们的组合。
网络系统引入防火墙的原因:
因为传统的子网系统本身是不安全的,它会将自身暴露给NFS或者NIS等先天不安全的服务,同时也易受来自网络上的探察和攻击。
目前Intemet的基本协议就是TCP/IP协议,而它在制定之初并没有把安全考虑在内,所以说基本没有安全可言。
防火墙的引入很大程度地加强了子网系统的安全。
防火墙的构建位置:
防火墙通常设在等级较高的网关或网点与Intemet的连接处,意在将本地网与Intemet隔离开,用以确保该子网(网点)与Intemet所有通信均能符合本部门的安全规则。
防火墙工作日志:
在防火墙的工作日志中,会记录和统计网络的使用情况,即何人何时去往何处及做了什么,哪怕他的访问未被允许。
当然,它的控制规则是具有可设计性的。
设计防火墙时须考虑的两个因素:
安全性和实用性。
两者要兼顾,以实用性平衡安全性。
对此有两层含义:
其一是要把安全性放在第一位。
目前,防火墙设计时多数采用的是“没有被允许就是禁止”的策略,其意是说防火墙的安全作用是首要的,这也正是设计者的初衷。
其二,在足够安全的情况下,要增加防火墙的实用性。
如果一个防火墙产品不具有良好的实用性,那么即使它再安全,也很难被人们接受。
目前防火墙的缺陷:
虽然防火墙是网络安全体系中极为重要的一环,但它还不足以让用户高枕无忧。
3.2防火墙的关键技术
(1)包过滤技术。
包过滤技术是防火墙中的一项主要安全技术,它通过防火墙对进出网络的数据流进行控制与操作。
系统管理员可以设定一系列规则,允许指定哪些类型的数据包可以流入或流出内部网络;哪些类型的数据包传输应该被拦截。
现在的一些包过滤防火墙不仅根据IP数据包的地址、方向、协议、服务、端口、访问时间等信息来进行访问控制,同时还对任何网络连接和当前的会话状态进行分析和监控。
(2)代理技术。
代理技术的含义:
代理技术指的是应用代理或代理服务器技术,可具体为一个代理内部网络用户与外部网络服务器进行信息交换的程序。
它将内部用户的请求确认后送达外部服务器,同时将外部服务器的响应再回送给用户。
代理服务:
现在的一些包过滤防火墙中对FTP,TELNET,HTTP,SMTP,POP3
和DNS等应用实现了代理服务。
这些代理服务对用户是透明的(TransParent),即用户意识不到防火墙的存在,便可完成内外网络的通讯。
当内部用户需要使用透明代理访问外部资源时,用户不需要进行设置,代理服务器会建立透明的通道,让用户直接与外界通信,这样极大地方便用户的使用,避免使用中的错误,降低使用防火墙时固有的安全风险和出错概率。
代理服务器可以屏蔽内部网的细节,使非法分子无法探知内部结构。
能够屏蔽某些特殊的命令,禁止用户使用容易造成攻击的不安全的命令,从根本上抵御攻击。
同时,还能够过滤非安全脚本,如ActiveX,JavaAPplet,Javaseript以及进行邮件过滤。
(3)地址翻译(NAT)技术。
网络地址翻译可以对外隐藏内部的网络结构,外部攻击者无法确定内部计算机的连接状态。
并且不同的时候,内部计算机向外连接使用的地址都是不同的,给外部攻击造成了困难。
同样NAT也能通过定义各种映像规则,屏蔽外部的链接请求,并可以将链接请求映射到不同的计算机中。
网络地址翻译都和IP数据包过滤一起使用,就构成一种更复杂的包过滤型的防火墙。
仅仅具备包过滤能力的路由器,其防火墙能力还是比较弱,抵抗外部入侵的能力也较差,而和网络地址翻译技术相结合,就能起到更好的安全保证。
4、防病毒技术
4.1防病毒技术概述
从反病毒产品对计算机病毒的作用来讲,防毒技术可以直观地分为:
病毒预防技术、病毒检测技术及病毒清除技术。
(1)计算机病毒的预防技术
计算机病毒的预防技术就是通过一定的技术手段防止计算机病毒对系统的传染和破坏。
实际上这是一种动态判定技术,即一种行为规则判定技术。
也就是说,计算机病毒的预防是采用对病毒的规则进行分类处理,而后在程序运作中凡有类似的规则出现则认定是计算机病毒。
具体来说,计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作,尤其是写操作。
预防病毒技术包括:
磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。
例如,大家所熟悉的防病毒卡,其主要功能是对磁盘提供写保护,监视在计算机和驱动器之间产生的信号。
以及可能造成危害的写命令,并且判断磁盘当前所处的状态:
哪一个磁盘将要进行写操作,是否正在进行写操作,磁盘是否处于写保护等,来确定病毒是否将要发作。
计算机病毒的预防应用包括对已知病毒的预防和对未知病毒的预防两个部分。
目前,对已知病毒的预防可以采用特征判定技术或静态判定技术,而对未知病毒的预防则是一种行为
规则的判定技术,即动态判定技术。
(2)检测病毒技术
计算机病毒的检测技术是指通过一定的技术手段判定出特定计算机病毒的一种技术。
它有两种:
一种是根据计算机病毒的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化,在特征分类的基础上建立的病毒检测技术。
另一种是不针对具体病毒程序的自身校验技术。
即对某个文件或数据段进行检验和计算并保存其结果,以后定期或不定期地以保存的结果对该文件或数据段进行检验,若出现差异,即表示该文件或数据段完整性已遭到破坏,感染上了病毒,从而检测到病毒的存在。
(3)清除病毒技术
计算机病毒的清除技术是计算机病毒检测技术发展的必然结果,是计算机病毒传染程序的一种逆过程。
目前,清除病毒大都是在某种病毒出现后,通过对其进行分析研究而研制出来的具有相应解毒功能的软件。
这类软件技术发展往往是被动的,带有滞后性。
而且由于计算机软件所要求的精确性,解毒软件有其局限性,对有些变种病毒的清除无能为力。
目前市场上流行的Intel公司的PC_CILLIN、CentralPoint公司的CPAV,及我国的LANClear和Kill89等产品均采用上述三种防病毒技术。
4.2网络防病毒的基本方法
(1)基于网络目录和文件安全性方法
以NetWare为例,在NetWare中,提供了目录和文件访问权限与属性两种安全性措施。
"访问权限有:
防问控制权、建立权、删除权、文件扫描权、修改权、读权、写权和管理权。
属性有:
需归档、拷贝禁止、删除禁止、仅执行、隐含、索引、清洗、读审记、写审记、只读、读写、改名禁止、可共享、系统和交易。
属性优先于访问权限。
根据用户对目录和文件的操作能力,分配不同的访问权限和属性。
采用基于网络目录和文件安全性的方法对防止病毒起到了一定作用,但是这种方法毕竟是基于网络操作系统的安全性的设计,存在着局限性。
现在市场上还没有一种能够完全抵御计算机病毒侵染的网络操作系统,从网络安全性措施角度来看,在网络上也是无法防止带毒文件的入侵。
(2)采用工作站防病毒芯片
这种方法是将防病毒功能集成在一个芯片上,安装在网络工作站上,以便经常性地保护工作站及其通往服务器的路径。
工作站是网络的门户,只要将这扇门户关好,就能有效地防止病毒的入侵。
将工作站存取控制与病毒保护能力合二为一插在网卡的EPROM槽内,用户也可以免除许多繁琐的管理工作。
市场上Chipway防病毒芯片就是采用了这种网络防病毒技术。
在工作站DOS引导过程中ROMBIOS,ExtendedBIOS装入后PartitionTable装入之前Chipway获得控制权,这样可以防止引导型病毒。
Chipway的特点是:
①不占主板插槽,避免了冲突;②遵循网络上国际标准,兼容性好;③具有他工作站防毒产品的优点。
但目前,Chipway对防止网络上广为传播的文件型病毒能力还十分有限。
(3)采用StationLock网络防毒方法
StationLock是着名防病毒产品开发商TrendMicroDevices公司的新一代网络防病毒产品。
其防毒概念是建立在"病毒必须执行有限数量的程序之后,才会产生感染效力"的基础之上。
StationLock也能处理一些基本的网络安全性问题,例如存取控制、预放未授权拷贝以及在一个点对点网络环境下限制工作站资源相互存取等。
StationLock能根据病毒活动辩别可能的病毒攻击意图,并在它造成任何破坏之前予以拦截。
由于StationLock是在启动系统开始之前,就接管了工作站上的硬件和软件,所以病毒攻击StationLock是很困难的。
StationLock是目前网络环境下防治病毒比较有效的方法。
5、安全扫描技术
5.1安全扫描概述
网络安全扫描技术包括PING扫描(pingsweep)访问控制规则探测(firewalking)、端口扫描(portscan)、操作系统检测(operatingsystemidentification)以及漏洞扫描(vulnerabilityscan)等。
这些技术在网络安全扫描的3个阶段中各有体现。
PING扫射用于网络安全扫描的第1阶段,可以帮助我们识别系统是否处于活动状态。
操作系统检测、访问控制规则探测和端口扫描用于网络安全扫描的第2阶段,其中操作系统检测顾名思义就是对目标主机运行的操作系统进行识别;访问控制规则探测用于获取被防火墙保护的远端网络的资料;而端口扫描是通过与目标系统的TCP/IP端口连接,并查看该系统处于监听或运行状态的服务。
网络安全扫描第3阶段采用的漏洞扫描通常是在端口扫描的基础上,对得到的信息进行相关处理,进而检测出目标系统存在的安全漏洞。
其中端口扫描技术和漏洞扫描技术是网络安全扫描技术中的两种核心技术,并且广泛运用于当前较成熟的网络扫描器中。
5.2常用安全的扫描技术
(1)端口扫描技术是一项自动探测本地或远程系统端口开放情况及策略和方法,提供被扫描主机的详细的网络服务清单。
通过端口扫描,一般可以获取目标主机的TCP和UDP详细端口列表。
由这些信息,如果结合协议分析技术,我们可以准确地推测出目标主机运行着什么样的服务。
对网络攻击者来说,通过端口扫描,可以大大缩小攻击者搜索漏洞的范围,提高攻击成功的可能性;对网络管理员来说,通过端口扫描,可以帮助网络管理员了解系统目前向外界提供了哪些服务,从而为系统用户管理网络提供了一种手段。
因此,端口扫描无论是对网络管理员还是对网络攻击者来说,都是一个必不可少的利器。
(2)在网络远程扫描中,往往需要知道远程主机在运行什么操作系统,开放了哪些服务,这样就可以了解目标系统可能存在的安全漏洞。
对黑客而言,就可以通过相应的漏洞攻击程序对目标系统发起攻击;对管理员而言,也可以借此对目标系统的安全状况作出分析,从而防范于未然。
目前流行的远程操作系统扫描技术主要有应用层探测技术和网络堆栈特征探测技术。
应用层探测技术
通过向目标主机发送应用服务连接或访问目标主机开放的有关记录就可能探测出目标主机的操作系统(包括相应的版本号)。
比如在很多较早的UNIX系统中,通过向服务器请求Telnet连接,可以知道其运行的UNIX的类型和版本号。
其它如Web服务器、DNS主机记录、SNMP等也可提供相应信息。
TCP/IP堆栈特征探测技术
利用不同操作系统的TCP/IP协议栈在实现上的细微特征差别,对返回的数据包进行深入分析就可以比较准确地获取目标主机的操作系统等信息。
(3)漏洞检测就是通过采用一定的技术主动地去发现系统中的安全漏洞。
漏洞检测可以分为对未知漏洞的检测和对已知漏洞的检测。
未知漏洞检测的目的在于发现软件系统中可能存在但尚未发现的漏洞。
己知漏洞的检测主要是通过采用模拟黑客攻击的方式对目标可能存在的已知安全漏洞进行逐项检测,可以对工作站、服务器、交换机、数据库等各种对象进行安全漏洞检测安全扫描技术,检测系统是否存在己公布的安全漏洞。
漏洞扫描技术是建立在端口扫描技术和远程操作系统识别技术的基础之上的。
6、局域网的攻防
6
升级会员 