网络信息系统安全漏洞研究
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络信息系统安全漏洞研究
作者:孟磊
来源:《消费电子·理论版》2013年第02期
摘要:随着计算机和互联网的在各个领域的广泛使用,网络信息系统的安全问题日益受到人们的重视。本文分析了网络安全漏洞的成因并提出了相关的防范措施,旨在为广大网络用户提供一定的安全知识,提高用户的防范意识。
关键词:计算机;网络信息系统;安全;漏洞
中图分类号:TP393 文献标识码:A 文章编号:1674-7712 (2013) 04-0074-01
在计算机网络系统中,系统资源是共享的,用户可以直接访问网络和计算机中的文件、数据和各种软件、硬件资源。随着计算机和网络的普及,政府部门、军队、企业的核心机密和重要数据,甚至是个人的隐私都储存在互联的计算机中。因计算机系统的原因或者是不法之徒千方百计地进入或破坏,会给国家、社会、企业及个人带来巨大的损失。网络安全已经成为当今计算机领域中重要的研究课题之一。
一、网络信息系统安全漏洞成因
网络信息系统安全漏洞的成因是多方面的,主要分为硬件漏洞,软件漏洞和协议漏洞三个方面。漏洞的出现有的是不可避免的逻辑错误,有的是管理员的不规范操作所遗留,有的则是入侵者的恶意利用篡改所造成。比如一个程序的出现,开始可能并没有发现很多可以利用的漏洞,但是随着时间的推移,入侵者的侵入方式不断优化,这个程序可能出现很多很多的安全漏洞。这就需要我们使用者和开发者也要不断完善已经开始使用的程序。软件如此,硬件亦是如此。
(一)网络协议漏洞。网络协议包括TCP/IP(传输控制协议、网际协议)在开放系统参考模型出现前十年就存在了,也是因为它出现的比较早,因此有关它的漏洞近年来越来越多的被发现和恶意利用。TCO/IP协议以及其他一百多个协议构成了TCP/IP协议簇。TCP/TP协议被认为是“开放的”,因为从其最初的版本直到目前的最新版本都是公开的,并且是不收费的。这就更加给非法入侵者提供了便利,例如smurf攻击、IP地址欺骗。网络协议最大的弱点是就非常容易信任,因此入侵者可以随意篡改数据而不被发现。
(二)操作系统漏洞。网络操作系统的漏洞种类很多。其中最常见的一种被称为“缓冲区溢出”。入侵者输入很长的一段字符,长度超过了程序的检测长度,超出的部分即入侵者的攻击代码占据了缓冲
区的内存就可以逃过系统的检测而被执行,入侵者就成功的达到了目的。而程序设计者往往为了简单而没有设计检测过长的字符,这一点便常常被入侵者利用成功。还有一中系统漏洞
叫做意料外的联合使用,由于一个程序的设计往往需要使用多层代码,甚至联系到最低端的输入框,入侵者可以利用这一点,在最低端输入框输入高层代码而被执行,从而达到入侵目的。还有一种漏洞情况也是很常见的,有时,管理员开了一个临时端口,使用完毕后却忘了禁止它。这个临时端口便成了入侵者一个很好的门户导致其恶意攻击。
(三)数据库安全漏洞。网络的数据库往往是加密的,有着较好的安全防护的,一般入侵者不易攻击,但是入侵者一旦攻击成功,其获得的数据资源也是相当庞大的。因此,数据库也是入侵者喜欢攻击的一个对象。数据库的恶意攻击往往与用户不能严格的验证参数的合法性有关,如果用户能够严格按照要求使用数据库将大大减少入侵者的攻击。
(四)安全策略漏洞。计算机网络信息系统中的安全策略往往过于简单,安全策略一旦被信任便可以使响应端口开放,响应端口的随意开放给入侵者以可乘之机,入侵者循着开放的响应端口进行恶意攻击和数据篡改。
二、网络信息系统安全漏洞的防范措施
针对各类网络不同的安全隐患与安全需求,人们开发了许多安全防护产品。目前,普遍使用的安全防护技术包括访问控制策略、防火墙技术、数据加密技术、网路漏洞扫描技术。
(一)访问控制策略。访问控制需要完成两个任务:识别和确认访问系统的用户、决定该用户可以对某一系统资源进行何种类型的访问。目的是通过一定的控制策略限制主体对客体的访问权限,保证主体能够以一种合法的方式访问某一资源。这种访问控制策略是保证计算机网络安全的一项重要措施。
(二)防火墙技术。防火墙是硬件和软件的组合,是在两个网络之间执行访问控制策略的系统,用来帮助保护网络或计算机系统的安全。防火墙可以防止对受保护的网络进行未授权访问,同时能让受保护的网络访问防火墙以外的网络。一般来说,防火墙具有三种功能:一是能够强化安全策略,二是能有效地记录因特网上的活动,三是能限制暴露用户信息。防火墙能保护站点不被任意连接,总结并记录有关正在进行的连接资源。防火墙的缺陷是不能防范恶意的知情者、不能防范不通过它的链接、不能防备全部的威胁和病毒。按照防火墙对内外来往数据的处理方法,大致可以将防火墙分为两大体系:包过滤防火墙和代理防火墙。前者是依据控制数据
包的源地址、目的地址和传送协议来判断哪些数据包可以进出网络。后者是位于内部用户和外部服务之间,代理在幕后处理所有用户和因特网服务之间的通信以代替相互间的直接交谈。
(三)数据加密。加密是在不安全的环境中实现信息安全传输的重要方法。互联网上通常使用公用/私有密钥的加密技术。它使用相互关联的密钥,一个是私有密钥,只有用户知道,例如电子邮件传输系统中的邮箱密码;另一个为公用密钥,可对外公开,甚至可在网络服务器
中注册。公用密钥在网络中传递,用于加密数据,私有密钥用于解密数据。基于密码技术的访问控制是防止数据传输泄密的主要防护手段。随着信息技术的发展,信息安全对密码的依赖会越来越大。
(四)网络漏洞扫描。网络漏洞扫描主要是指用来自动检测远程或者本地主机安全漏洞的程序。网络漏洞扫描可以帮助用户及时发现漏洞的威胁,及时的设计,发布,下载,安装漏洞补丁,以减少被入侵者攻击的危险。目前漏洞扫描技术已经得到了广泛的应用,并且在信息安全方面扮演着不可或缺的角色。
参考文献:
[1]王耀武.信息管理系统[M].北京:电子工业出版社,2003.
[2]顾巧伦.计算机网路安全[M].北京:清华大学出版社,2004.
[3]朱咆玲.计算机安全漏洞研究[J].通信市场,2009,7.
[作者简介]孟磊(1985-),男,山西太原人,同济大学软件工程学院软件工程专业研究生,主要从事软件研究。