网络信息系统的软件安全漏洞及预防措施

试论网络信息系统的软件安全漏洞及预防措施

王睦1，陈林2

（1.四川电力科学研究院；2.四川广安发电厂维修部）

1基于Internet环境下安全漏洞的形成原因在Internet的环境下，漏洞代表的是计算机系统的脆弱性，具体来讲漏洞就是系统在硬件、软件以及网络协议等方面体现出来的缺陷。一旦系统出现漏洞，便有可能遭到网络黑客对系统的恶意攻击和破坏。一般情况下，任何一个系统平台，其软件和硬件都会存在或多或少的漏洞。导致漏洞形成的原因较多，也比较复杂，总体来讲可将这些原因归纳为以下几种：

1.1网络协议漏洞

目前，TCP/IP协议是应用最多、使用范围最广的一种网络互联协议。但是该协议也存在漏洞，这是因为协议在设计之初是基于一种绝对安全环境之下完成的，其重点考虑的是网络互联与开放性这两方面的因素，而对于协议本身的安全性考虑甚少。正因如此，导致了该协议在使用中的不安全性，基于TCP/IP 这一协议下的网络服务也相应地受到安全威胁。

1.2软件漏洞

无论何种软件系统都存在一定的脆弱性，而安全漏洞则是已知的系统脆弱性。举个简单的例子：某些软件程序在接收到超长或是异常的数据时，便会造成缓冲区溢出。究其根本原因是该软件在设计时未充分考虑安全性问题，而有的软件在设计时虽然考虑了安全性方面的问题，但由于设计人员缺乏相关的知识和经验，从而使得设计中出现漏洞。常见的软件系统漏洞主要有两种：①操作系统设计缺陷引起的安全漏洞；②软件程序自身的安全漏洞。

1.3配置问题导致的漏洞

由于一些网络系统在建立时忽略了安全策略的制定，即便采用了相应的安全措施，也会因为配置不合理，导致安全机制无法充分发挥出其应有的作用。此外，当系统出现变化后，由于未能及时对安全配置进行更改，也有可能造成安全漏洞。

2网络信息系统软件安全漏洞分类

根据安全漏洞给系统造成的直接威胁可将其分为以下几类：

2.1本地拒绝服务

当软件出现安全漏洞后，攻击者便可以利用这些漏洞登录到用户的系统中，从而导致系统或应用程序瘫痪。该漏洞主要是由于程序对意外情况的处理出现失误导致的，如盲目跟随链接或是写临时文件前未对其安全性进行检查等等。较为典型的漏洞有以下几种情况：

（1）BSDi3.X存在漏洞能够使本地用户以一些垃圾文件覆

盖系统当中的全部，这样一来便会使系统陷入瘫痪状态。

（2）RedHat6.1的tmpwatch程序存在漏洞，能够使系统fork （）中出现许多无用的进程，这样会导致系统丧失响应能力。2.2远程非授权文件存取

攻击者通过这种类型的漏洞，便可以不经授权允许直接从远程对用户系统的某些重要文件进行存取。这种类型的漏洞主要是由于一些自身带有缺陷的cgi程序引起的，具体是因为这些程序没有对用户输入进行合法性检查，从而使得攻击者借助一些特别的输入获得了对文件的存取权限。典型漏洞有以下几种：

（1）Windows操作系统下的ⅡS5.0存在一个漏洞，通过向这一漏洞发送一个特殊的head标记，便能够获得asp源代码。

（2）Windows操作系统的IE程序存在漏洞，会允许一些带有恶意攻击性的web页面对用户系统中的本地文件进行浏览及读取。

2.3口令恢复

由于用户系统采用的口令加密方式相对较弱，从而使攻击者能够非常容易地获得用户的加密口令，这样一来攻击者便可以通过某些方法获得密码后的还原明文。典型漏洞有以下几种：

（1）Windows操作系统下的PassWD v1.2用来对系统中的各种口令进行管理并与URL一起存储起来。它的存储加密口令十分脆弱，攻击者只需要经过较为简单的分析，便能够很快获得该加密口令后的明文。

（2）Pcanywhere9.0采用的也是较为脆弱的加密方式来对传输口令进行加密，攻击者仅需要窃听到传输中的数据便能够破解出明文口令。

（3）Browsegate是一个在Windows操作系统下运行的代理防火强，其2.8版本在文件配置上是所有用户都可读取的，虽然也设置了加密口令，但加密方式却十分脆弱，攻击者无需花费太大的力气便可以获得加密口令后的明文。

2.4服务器信息泄露

攻击者通过这种类型的漏洞能够收集到攻击用户系统的有用信息。此类漏洞产生的原因是系统程序自身的缺陷，通常都是无法对错误进行正确处理导致的。典型的漏洞有以下几种：（1）Linux操作系统中的kernel2.1.53以下的TCP/IP堆栈开关端口对数据包的回应，攻击者可利用其这一特性对该端口中

摘要：网络信息系统即WIS，它是通过wep对复杂数据进行访问及交互服务的一种信息系统。该系统属于大规模信息系统当中的一

个子类，WIS能够支持分布在不同位置的大量随即用户借助自服务来实现联机信息检索和理性任务执行。由于该系统是建立在计算机

的基础之上，并借助网络来实现相关功能的。为此，系统的安全性会同时受到计算机和网络的影响。除此之外，系统本身的软件也会对

其安全带来一定的影响，导致这一问题的主要原因是软件安全漏洞。基于此点，就网络信息系统的软件安全漏洞及预防措施进行浅谈。

关键词：网络信息系统；软件；漏洞

（下转第151页）

位和高强螺栓等。铁磁性材料一般采用磁粉法检测，非铁磁性材料采用渗透法检测。

3.2超声检测

超声检测法主要用于检测对接焊缝内部埋藏缺陷和压力容器焊缝内表面裂纹。超声法也用于压力容器锻件和高压螺栓可能出现裂纹的检测。由于超声波探伤仪体积小、重量轻，便于携带和操作，而且与射线相比对人无伤害，因此在在用压力容器检验中得到广泛使用。

3.3射线检测

X射线检测方法主要在现场用于板厚较小的压力容器对接焊缝内部埋藏缺陷的检测，对于人不能进入的压力容器以及不能采用超声检测的多层包扎压力容器和球形压力容器通常采用lr-192或Se-75等同位素进行Y射线照相。另外，射线检测也常用于在用压力容器检验中对超声检测发现缺陷的复验，以进一步确定这些缺陷的性质，为缺陷返修提供依据。

3.4涡流检测

对于在用压力容器，涡流检测主要用于换热器换热管的腐蚀状态检测和焊缝表面裂纹检测。

3.5磁记忆检测

磁记忆检测方法用于发现压力容器存在的高应力集中部位，这些部位容易产生应力腐蚀开裂和疲劳损伤，在高温设备上还容易产生蠕变损伤。通常采用磁记忆检测仪器对压力容器焊缝进行快速扫查，以发现焊缝上存在的应力峰值部位，然后对这些部位进行表面磁粉检测、内部超声检测、硬度测试或金相分析，以发现可能存在的表面裂纹、内部裂纹或材料微观损伤。

3.6红外检测

许多高温压力容器内部有一层珍珠岩等保温材料，以使压力容器壳体的温度低于材料的允许使用温度，如果内部保温层出现裂纹或部分脱落，则会使压力容器壳体超温运行而导致热损伤采用常规红外热成像技术可以很容易发现压力容器壳体的局部超温现象。压力容器上的高应力集中部位在经大量疲劳载荷后，如出现早期疲劳损伤，会出现热斑迹图象。压力容器壳体上疲劳热斑迹的红外热成像检测可以及早发现压力容器壳体上存在的薄弱部位，为以后的重点检测提供依据。

4结束语

无损检测技术作为一种综合性的应用技术，在压力容器实际的生产、使用过程中，应根据材料的特点、设计的要求和相关法规标准的要求来选择不同的检测方法和合格的级别，特别要注意对检测部位和检测时机的选择要符合材料的特点和相关标准法规的要求，这样才能确保缺陷的检出率，确保压力容器的安全使用。

参考文献：

[1]李景辰，等编．压力容器基础知识[M]．北京：劳动人事出版社，1984．

[2]王晓雷．锅炉压力容器无损检测相关知识.全国锅炉压力容器无损检测考委会．2001．

[3]梁宏宝，王立勋，刘磊．压力容器无损检测技术的现状与发展[J]．石油机械．2007，（2）．

的秘密进行扫描。

（2）某些cgi程序漏洞，如DBMan（db.cgi）存在漏洞，攻击者便可利用这一漏洞获得用户系统中的环境变量，进而为攻击者的下一步攻击提供有用信息。

3预防网络信息系统软件安全漏洞的有效措施想要进一步预防网络信息系统的软件安全漏洞给系统带来的威胁，可从以下几个方面着手：

3.1网络层的安全预防措施

（1）建立安全可靠的防火墙。防火墙技术是一种应用性较强的安全技术，其现已被广泛应用于各种网络的安全防御当中。防火墙主要是指建立在不同网络之间的信息出入口，它能够按照用户的安全策略对进出网络的信息流进行监控，且具有较强的抗攻击能力，是确保网络信息安全的重要基础设施之一。用户在系统中建立好防火墙之后，即便系统软件出现安全漏洞，防火墙也能够将大部分攻击者对安全漏洞的利用阻隔在外，从而有效地确保系统的安全性。

（2）入侵检测技术。按照检测对象的不同，入侵检测可分为网络型和主机型两种。其中主机型入侵检测系统主要保护的是该主机所在系统，它通过监测系统中运行的进程是否合法来保护系统安全；而网络型入侵检测系统则是通过对所有本网内的数据包进行收集和分析判断，来确保用户系统安全。无论是基于哪一种类型的入侵检测系统，其最终目的都是为了防止非法

入侵对系统的破坏，它的应用能够有效地预防系统软件安全漏洞给系统带来的威胁。

3.2安全配置

ⅡS是微软诸多组件当中安全漏洞最多的一个，大约每隔2~3个月左右便会出现一个安全漏洞，为此，对其进行安全配置是非常重要的环节，也是预防软件安全漏洞最有效的措施之一。具体的安全配置方法如下：先将操作系统在C盘中默认安装的Inetpub目录永久性删除，然后在D盘重新建立一个Inet－pub，同时在ⅡS管理器中将主目录指向D：\Inetpub即可。若是用户需要一些权限目录，可随时再建，而且可以需要哪种权限就开哪种，但需要注意的是尽可能不要给写权限和执行权限。

参考文献：

[1]袁爱民.网络信息系统安全漏洞分析研究[J].数字技术与应用.2012（3）.

[2]冯绿音.网络信息系统日志分析与审计技术研究[D].上海交通大学. 2007（10）.

[3]霍耀森.基于网络监听和协议分析技术的网络监控系统的设计与实现[D].武汉大学.2009（3）.

[4]任铮，陈志刚.基于数据挖掘和规划的智能网络入侵检测系统[J].计算机工程与科学.2008（6）.

[5]周子庭，李建华.系统日志分析及在主机入侵检测中的应用[J].信息安全与通信保密.2009（4）.

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!（上接第187页）