浅谈计算机网络安全漏洞及防范措施81690.doc

.毕 业 设 计题 目：浅谈计算机网络安全漏洞及防范措施 入 学 年 月 姓 名 学 号 专 业 联 系 方 式 学 习 中 心 指 导 教 师 完成时间 年 月 日.目 录论文摘要1关键词1一、漏洞的概念2（1） 什么是漏洞2（2） 漏洞与具体系统环境之间的关系及其相关特性22、 安全漏洞与系统攻击之间的关系3（1） 常见的攻击方法3（2） 系统攻击手段与系统漏洞分类43、 计算机病毒问题与系统安全漏洞4（1） 计算机病毒与系统安全漏洞的关系4（2） 计算机病毒的主要来源5（3） 计算机病毒的危害5（4） 计算机病毒的防御措施64、 计算机网络安全防范措施7（1） 加强内部网络治理7（2） 数据备份7（3） 物理隔离网闸7（4） 加密技术8（5） 防火墙技术8（6） 网络主机的操作系统安全和物理安全措施9结束语9参考文献9致谢词10.摘 要计算机网络的发展加速了信息时代的进程，但是计算机网络在服务人们生活的同时，网络的安全问题也日益突出。网络安全漏洞可以说是不可避免的，这是由网络系统的高级复杂性所决定的。为了确保信息的安全和畅通，研究计算机病毒的防范措施已经迫在眉睫。从计算机的特点入手，初步探讨对付计算机病毒的方法和措施。关键词：安全 漏洞 病毒 防范浅谈计算机网络安全漏洞及防范措施计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面、即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等、逻辑安全包括信息的完整性、保密性和可用性、计算机网络安全不仅包括组网的硬件、管理控制网络的软件，也包括共享的资源，快捷的网络服务，所以定义网络安全应考虑涵盖计算机网络所涉及的全部内容。参照ISO给出的计算机安全定义，认为计算机网络安全是指：“保护计算机网络系统中的硬件，软件和数据资源，不因偶然或恶意的原因遭到破坏、更改、泄露，是网络系统连接可靠性地正常运行，网络服务正常有序。”1、 漏洞的概念（一）什么是漏洞漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以是攻击者能够在为未授权的情况下访问或破坏系统。具体举例来说，比如在Intel Pentium芯片中存在的逻辑错误，在Sendmail早期版本中的编程错误，在NFS协议中认证方式上的弱点。在Unix系统管理员设置匿名Ftp服务时配置不当的问题都可能被攻击者使用，威胁到系统的安全。因而这些都可以认为是系统中存在的安全漏洞。（2） 漏洞与具体系统环境之间的关系及其相关特性 漏洞会影响到很大范围的软硬件设备，包括操作系统本身及其支撑软件，网络客户和服务器软件，网络路由器和安全防火墙等。换而言之，在这些不同的软硬件设备中都可以存在不同的安全漏洞问题。在不同种类的软、硬件设备，同种设备的不同版本之间，由不同设备构成的不同系统之间，以及同种系统在不同的设置条件下，都会存在各自不同的安全漏洞问题。漏洞问题是与时间紧密相关的。一个系统从发布的那一天起，随着用户的深入使用，系统中存在的漏洞会被不断暴露出来，这些早先被发现的漏洞也会不断被系统供应商发布的补丁软件修补，或在以后发布的新版系统中得以纠正。而在新版系统纠正了旧版本中具有漏洞的同时，也会引入一些新的漏洞和错误。因而随着时间的推移，就得漏洞会不断消失，新的漏洞会不断出现。漏洞问题也会长期存在。因而脱离具体的时间和具体的系统环境来讨论漏洞问题是毫无意义的。只能针对目标系统的操作系统版本、其上运行的软甲版本以及服务运行设置等实际环境来具体谈论其中可能存在的漏洞及其可行的解决办法。同时应该看到，对漏洞问题的研究必须要追踪当前最新的计算机系统机器安全问题的最新发展动态。这一点如同对计算机病毒发展问题的研究相似。2、 安全漏洞与系统攻击之间的关系 （一）常见的攻击方法1、 利用网络系统漏洞进行攻击 许多网络系统都存在着这样那样的漏洞，这些漏洞有可能是系统本身所有的，如WindowsNT、UNIX等都有数量不等的漏洞，也有可能是由于网管的疏忽而造成的。黑客利用这些漏洞就能完成密码探测、系统入侵等攻击。对于系统本身的漏洞，可以安装软件补丁；另外网管也需要仔细工作，尽量避免因疏忽而是他人有机可乘。2、 通过电子邮件进行攻击电子邮件是互联网上运用的十分广泛的一种通讯方式。黑客可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件，从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时，还有可能造成邮件系统对于正常的工作反应缓慢，甚至瘫痪，这一点和后面要讲到的“拒绝服务攻击（DDos）”比较相似。对于遭受此类攻击的邮箱，可以使用一些垃圾邮件清除软件来解决，Out look等收信软件同样也能达到此类目的。3、 解密攻击在互联网上，使用密码是最常见并且最重要的安全保护方法，用户时时刻刻都需要输入密码进行身份校验。而现在的密码保护手段大都人密码不认人，只要有密码，系统就会认为你是经过授权的正常用户，因此，取得密码也是黑客进行攻击的一重要手法。取得密码也还有好几种方法，一种是对网络上的数据进行监听。因为系统在进行密码校验是，用户输入的密码需要从用户端传送到服务器端，而黑客就能在两端之间进行数据监听。但一般系统在传送密码时都进行了加密处理，即黑客所得到的数据中不会存在明文的密码，这给黑客进行破解又提了一道难题。这种手法一般运用于局域网，一旦成功攻击者将会得到很大的操作权益。另一种解密方法就是使用穷举法对抑制用户名的密码进行暴力解密。这种解密软件对尝试所有可能字符所组成的密码，但这项工作十分地费时，不过如果用户的密码设置得比较简单，如“12345”、“ABC”等，那有可能只需一眨眼的功夫就可搞定。为了防止受到这种攻击的危害，用户在进行密码设置时一定要将其设置的复杂，也可使用多层密码，或者变换思路使用中文密码，并且不要以自己的生日和电话甚至用户名作为密码，因为一些密码破解软件可以让破解者输入与被破解用户相关的信息，如生日等，然后对这些数据构成的密码进行优先尝试。另外应该经常更换密码，这样使其被破解的可能性又下降了不少。(2) 系统攻击手段与系统漏洞分类系统安全漏洞是在系统具体实现和具体使用中产生的错误，但并不是系统中存在的错误都是安全漏洞。只有能威胁到系统安全的错误才是漏洞。许多错误在通常情况下并不会对系统安全造成危害，只有被人在某些条件下故意使用时才会影响系统安全。漏洞虽然可能最初就存在与系统当中，但一个漏洞并不是自己出现的，必须要有人发现。在实际使用中，用户会发现系统中存在错误，而入侵者会有意利用其中的某些错误并使其成为威胁系统安全的工具，这是人们会认识到这个错误是一个系统安全漏洞。系统供应商会尽快发布针对这个漏洞的补丁程序，纠正这个错误。这就是系统安全漏洞从被发现到被纠正的一般过程。系统攻击者往往是安全漏洞的发现者和使用者，要对于一个系统进行攻击，如果不能发现和使用系统中存在的安全漏洞是不可能成功的。对于安全级别较高的系统尤其如此。系统安全漏洞与系统攻击活动之间有紧密的关系。因而不该脱离系统攻击活动来谈论安全漏洞问题。了解常见的系统攻击方法，对于有针对性的理解系统漏洞问题，以及找到相应的补救方法是十分必要的。3、 计算机病毒问题与系统安全漏洞（一）计算机病毒与系统安全漏洞之间的关系计算机病毒（Computer Virus）在中华人民共和国计算机信息系统安全保护条例中被明确定义，病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。与医学上的“病毒”不同，计算机病毒不是天然存在的，是某些人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能通过某种途径潜伏在计算机的存储介质（或程序）里，当达到某种条件时及被激活，通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中，从而感染其他程序，对计算机资源进行破坏，所谓的病毒就是人为造成的，对其他用户的危害性很大！（2） 计算机病毒的主要来源病毒不是来源于突发或偶然的原因。病毒来自于一次偶然的事件，那时的研究人员为了计算出当时互联网的在线人数，然而它却自己“繁殖”了起来导致了整个服务器的崩溃和堵塞，有事一次突发的停电和偶然的错误，会在计算机的磁盘和内存中产生一些乱码和随机指令，但这些代码是无序和混乱的，病毒则是一种比较完美的，精巧严谨的代码，按照严格的秩序组织起来，与所在的系统网络环境相适应和配合起来，病毒不会通过偶然形成，并且需要有一定的长度，这种基本的长度从概率上来讲是不可能通过随机代码产生的。现在流行的病毒是由人为故意编写的，多数病毒可以找到作者和产地信息，从大量的统计分析来看，病毒作者主要情况和目的是：一些天才的程序员为了表现自己和证明自己的能力，出于对上司的不满，为了好奇，为了报复，为了祝贺和求爱，为了得到控制口令，为了软件拿不到报酬预留的陷阱等。当然也有因政治，军事，宗教，民族，专利等方面的需求而专门编写的，其中也包括一些病毒研究机构和黑客的测试病毒。（3） 计算机病毒的危害会造成计算机资源的损失和破坏，不但会造成资源和财富的巨大浪费，而且有可能造成社会性的灾难，随着信息化社会的发展，计算机病毒的威胁日益严重，反病毒的任务也更加艰巨了。1988年11月2日下午5时1分59秒，美国康奈尔大学的计算机科学系研究生，23岁的莫里斯（Morris）将其编写的蠕虫程序输入计算机网络，致使这个拥有数万台计算机的网络被堵塞。这件事就像是计算机界的一次大地震，引起了巨大反响，震惊全世界，引起了人们对计算机病毒的恐慌，也使更多的计算机专家重视和致力于计算机病毒研究。1988年下半年，中国在统计局系统首次发现了“小球”病毒，他对统计系统影响极大，此后由计算机病毒发作而引起的“病毒事件”接连不断，上世纪九十年代末发现的CIH、梅丽莎等病毒更是给社会造成了很大的损失。计算机病毒按危害分为：无害型：除了传染时减少磁盘的可用空间外，对系统没有其他影响。无危险性：这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。危险性：这类病毒在计算机系统操作中造成严重的错误。非常危险型：这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这些病毒对系统造成的危害，并不是本身的算法中存在危险的调用，而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区，这些病毒也按照它们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版的DOS、Windows和其它操作系统造成破坏。例如：在早期的病毒中，有一个“Denzuk”病毒在360K磁盘上很好的工作，不会造成任何破坏，但是在后来的高密度软盘上却能引起大量的数据丢失。计算机病毒的破坏行为体现了病毒的杀伤能力。病毒破坏行为的激烈程度取决于病毒作者的主观愿望和他所具有的技术能量。数以万计不断发展扩张的病毒，其破坏行为千奇百怪，不可能穷举其破坏行为，而且难以做全面的描述，根据现有的病毒资料可以把病毒的破坏目标和攻击部位归纳如下：攻击系统数据区，攻击部位包括：硬盘主引寻扇区、BOOT扇区、FAT表、文件目录等。迫使计算机空转，计算机速度明显下降。攻击磁盘，攻击磁盘数据、不写盘、写操作变读操作、写盘时丢失字节等。扰乱屏幕显示，病毒扰乱屏幕显示的方式很多，可列举如下：字符跌落、环绕、倒置、显示前一屏、光标下跌、滚屏、抖动、乱写、吃字符等。键盘病毒，干扰键盘操作，已发现有下述方式：响铃、封锁键盘、换字、抹掉缓存区字符、重复、输入紊乱等。喇叭病毒，许多病毒运行时，会使计算机的喇叭发出响声。有的病毒作者通过喇叭发出种种声音，有的病毒作者让病毒演奏旋律优美的世界名曲，在高雅的曲调中区杀戮人们的信息财富，已发现的喇叭发声有以下方式：演奏曲子、警笛声、炸弹噪声、鸣叫、咔咔声、滴答声等。攻击CMOS，在机器的CMOS区中，保存着系统的重要数据，例如系统时钟、磁盘类型、内存容量等。有的病毒激活时，能够对CMOS区进行写入动作，破坏系统CMOS中的数据。干扰打印机，典型现象为：假警报、间断性打印、更换字符等。（4） 计算机病毒的防御措施1、杀毒软件经常更新，以快速检测到可能入侵计算机的新病毒或者变种。2、使用安全监视软件（和杀毒软件不同比如360安全卫士、瑞星卡卡）主要防止浏览器被异常修改，插入钩子，安装不安全恶意的插件。3、使用防火墙或者杀毒软件自带的防火墙。4、关闭电脑自动播放并对电脑和移动储存工具进行常见病毒免疫。5、定时全盘病毒木马扫描。6、注意网址正确性，避免进入山寨网站。7、不随意接受、打开陌生人发来的电子邮件或者通过QQ传递的文件或网址。8、使用正版软件。9、使用移动存储器前，最好要先查杀病毒，然后在使用。四、计算机网络安全防范措施对网络中的每一台计算机安装防病毒软件是对任何类型的网络免受病毒攻击最保险和最有效的方法，它需要定期对软件中的病毒定义进行更新。如果没有忧患意识，很容易陷入盲从杀毒软件的误区。因此，光有工具不行，还必须在意识上加强防范，并且注重操作的正确性；重要的是培养集体防毒意识，部署统一的防毒策略，高效、及时地应对病毒的入侵。（一）加强内部网络治理防控计算机病毒进程中，最容易、最经济的方法是使用用口令来控制对系统资源的访问。网络治理员和终端操作员根据自己的职责权限，选择不同的口令，对应用程序数据进行合法操作，防止用户越权访问数据和使用网络资源。在网络上，软件的安装和治理方式不仅关系到网络维护治理的效率和质量，而且涉及到网络的安全性。好的杀毒软件能在几分钟内轻松地安装到每一个服务器上，并可下载和散布到所有的目的机器上，由网络治理员集中设置，它会成为网络安全治理的一部分，并且自动提供最佳的网络病毒防御措施。当计算机病毒对网上资源的应用程序进行攻击时，这样的病毒存在于信息共享的网络介质上，因此就要在网关上设防，在网络前端进行杀毒。（二）数据备份所谓数据备份就是将硬盘上的有用的文件、数据都拷贝到另外的地方，如移动硬盘等，这样即使连续连接在网络上的计算机被攻击破坏，因为已经有了备份，所以不用担心，再将需要的文件和数据拷贝回来就可以了。做好数据的备份时解决数据安全问题的最直接与最有效的措施之一。数据备份方法有全盘备份，增量备份，差分备份。 （三）物理隔离网闸物理隔离网闸是使用带有多个控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使“黑客”无法入侵、无法攻击、无法破坏，实现了真正的安全。 （四）加密技术 网络安全的另一个非常重要的手段就是加密技术。它的思想核心就是既然网络本身并不安全可靠，那么所有重要信息全部通过加密处理。网络安全中，加密作为一把系统安全的钥匙，是实现网络安全的重要手段之一，正确的使用加密技术可以确保信息的安全。数据加密的基本过程就是对原来为明文的文件或数据按某种书案发进行处理，使其成为不可读的一段代码，通常成为密文，使其只能在输入相应的密钥之后才能显示出来本来的内容，通过这样的途径来达到保护数据不被非法人窃取，阅读的目的。该过程的逆过程为解密，即将该编码信息转化为其原来数据的过程。加密技术主要有两个用途，一是加密信息；另一个是信息数字署名，即发信者用自己的私人钥匙将信息加密，这就相当于在这条消息上署上了名。任何人只有用发信者的公用钥匙，才能解开这条消息。这一方面可以证明这条信息确实是此发信者发出的，而且事后未经过他人的改动（因为只有发信息者才知道自己的私人钥匙），另一方面也确保发信者对自己发出的消息负责，消息一旦发出并署了名，他就无法再否认这一事实。如果既需要保密又希望署名，则可以将上面介绍的两个步骤合并起来。即发信者先用自己的私人钥匙署名再用收信者的公用钥匙加密，再发给对方，反过来收信者只需要用自己的私人钥匙解密，再用发信者的公用钥匙验证签名。这个过程说起来有些繁琐，实际上很多软件都可以只用一条命令实现这些功能，非常简便易行。 （五）防火墙技术网络防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信，在很大程度上保护了网络的安全性。需要说明的是，网络的安全性通常是以网络服务的开放性、便利性、灵活性为代价的。对防火墙的设置也不例外，由于防火墙的隔断作用，一方面加强了内部网络的安全，一方面却使内部网络与外部网络(Internet)的信息系统交流受到阻碍，必须在防火墙上附加各种信息服务的代理软件来代理内部网络与外部人信息交流，这样不仅增大了网络管理开销，而且减慢了信息传递速率。因此，一般而言，只有对个体网络安全有特别要求，而又需要和Internet联网和企业网、公司网，才建议使用防火墙。另外，防火墙只能阻截来自外部网络的侵扰，而对于内部网络的安全还需要通过对内部网络的有效控制和管理来实现。 （六）网络主机的操作系统安全和物理安全措施防火墙是网络的第一道防线但是它并不能完全保护内部网络，必须结合其他措施才能提高系统的安全系数。在防火墙之后是基于网络主机的操作系统安全和物理安全措施。按照级别从低到高，分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全;同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。这些构成整个网络系统的第二道安全防线，主要防范部分突破防火墙以及从内部发起的攻击。系统备份是网络系统的最后防线，用来遭受攻击之后进行系统恢复。除了防火墙和主机安全措施，还有就是全局性的由系统安全审计、入侵检测和应急处理机构成的整体安全检查和反应措施