・计算机世界 浅析安全策略漏洞防范 陈永峰 杨宁侠(河北软件职业技术学院,河北保定071000) 摘 要:随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性 和网络的开放性等特性,致使网络受到偶然或者恶意的原因而遭到破坏、更改、泄露。本文将分别在硬件、软件、协议方面的对常见漏洞进 行阐述。 关键词:安全漏洞;安全策略;网络安全 Analysis of the safety vulnerability prevention strategies Chen_Y0ngfeng Yang—Ningxia(Hebei Software Institute,Baoding 071000,China) Abstract:with the development of computer network,the global informationization has already become the main trend of human development. But because of the openness characteristics of diversity,distribution of the terminal connection form of computer network has inhom0geneity and network, resulting in the network by reason of accidental or malicious destruction of,change,leakage.This paper will respectively in hardware,software, the agreement on the common vulnerabi1ity described. Key words:security vu1nerability:security p0licy:network security 1漏洞的概念 安全漏洞的出现,是安全机制理论具体实现时出现的非正 1.1什么是漏洞 常情况。比如建立安全机制规划时,在考虑上存在的缺陷,软件 漏洞是在硬件、软件、协议的具体实现或系统安全策略上 编程中的错误,以及在实际使用时认为的配置错误等。而在一 存在的缺陷而可以使攻击者能够在未授权的情况下访问或破坏 切由人类实现的系统中都会不同程度的存在各种潜在错误。因 系统。 而可以说在所有系统中必定存在着某些安全漏洞,不管这些漏 1.2漏洞与具体系统环境之间的关系及其相关特性 洞是否已被发现,也不管该系统的理论安全级别如何。 漏洞会影响到很大范围的软硬件设备,包括操作系统本身 2物理安全策略 及支撑软件、路由器、防火墙等。在不同的软件硬件设备中,不 物理安全策略的目的是保护计算机系统、网络服务器和打 同系统,或同种系统在不同的设置条件下,等会存在各自不同 印机等,硬件实体和通信链路免受自然灾害、人为破坏和搭线 的漏洞问题。 攻击;验证用户身份和使用权限,防止用户越权操作;确保计算 漏洞问题有其时效性。脱离具体的时间和具体的系统环境 机系统有一个良好的电磁兼容环境。抑制和防止电磁泄漏是物 来讨论漏洞问题是毫无意义的。只能针对目标系统的实际环境 理安全策略的一个主要问题,除此之外还有自然威胁,可能是 来讨论其中可能存在的漏洞及其可行的解决办法。 有意的,也可能是无意的;可能是人为的,也可能是非人为的。 应该看到,对漏洞问题的研究必须跟踪当前最新的计算机 3访问控制安全策略 系统及其安全问题的最新发展动态。这一点与对计算机病毒发 访问控制安全策略的任务是保证网络资源不被非法使用 展问题的研究相似。 和非法访问,访问控制是计算机网络安全中最重要的核心策略 1.3漏洞问题与不同安全级别计算机系统之间的关系 之一。当前,入网访问控制、网络权限控制、目录级安全控制、属 目前计算机系统安全的分级标准一般都是依据“受信任计 性安全控制、网络服务器安全控制、防火墙控制等都是访问控 算机系统评估标准”(Trusted Computer System Evaluation 制的主要策略,安全策略存在着安全问题。 Criteria),即将计算机系统的安全性能由高而低划分为四个等 3.1操作系统和应用软件缺省安装 级。其中: 操作系统和应用软件缺省安装带来个问题:一个是不知究 D级一最低保护(Minimal protection);C级一自主访问控 竟安装了什么组件和服务,另一个是安装了拙劣的脚本范例,为 ¥ ̄](Discretion Protection);B--级强制访问控制(Mandatory 被攻击提供了“土壤”。 Protection);A级一可验证访问控 ̄](Verified Protection)。 3.2口令和帐号 根据定义,系统所属安全级别越高,理论上该系统也越健 攻击者入侵的第一步往往是窃取口令和帐号,口令是多系 全。可以说,系统安全级别是一种理论上的安全保证机制。是指 统第一层和唯一的防御线,因此没有口令、使用弱口令或系统 在某个系统根据理论得以正确实现时,系统应该可以达到的安 缺省帐号的口令,如果没有及时修改或清除,都会攻击者容易入 全程度。 侵到网络内部。 3.3权限设置不正确 作者简介:陈永峰(1980.9-),男,河北保定人,讲师,研究方 权限设置包括用户权限和文件权限,如果未将用户权限做 向:网络安全:杨宁侠(1980.卜),女,河北保定人,讲师,研究 好设定,攻击者可以轻易修改系统。例如,有些网站目录设为 方向:计算机通讯。 a--nonymous ftp user可以写入,使得攻击者不费吹灰之力修 (下转第268页) 1O4无线互联科技 ・教学探讨 功。 一坏,纵然使你有一些学问和本领,也无甚用处”。教育应该赋 调查显示,相比思想品德、体育锻炼、成绩和分数,教师 予学生良好的道德品质。电脑和互联网将我们带入了2l世纪,改 不管在培养还是夸奖学生方面,分数和成绩的注重都占最大比 革创新已经成为我国的时代精神,建立国家创新体系,走创新 重。学校老师、家长对孩子的期待目标80%以上为好大学好工 型国家之路,已成为世界许多国家的共同选择,因此教育 作。只有极少数的目标为好大学是基础,其次追求先进思想、成 的本质之一应该体现为培养创新能力。 为对社会有用的人。更有甚者,有四人谈到“为他们争光”“为 家长和老师的教育观念是孩子人生的起跑线,只有家长和 家里赢得荣誉”“光耀门楣”。分数高、成绩好就意味着美好前 老师普遍认识到教育不是分数,自下而上的进行教育改良,才 途的意识在多数家长和老师眼里仍然根深蒂固…。 能推动国家白上而下的高考改革,使大学自主招生、多元录取 3总结 的高考改革趋势得到普遍认同,是国家创新人才培养的必由之 教育的本质是:心中的道德律和无限的创造力。康德的墓 路。 碑上,是《实践理性批判》里的一句话:“令我所敬畏无非是两 个东西,即心中的道德律和头顶上的星空” ,他回答了教育最 [参考文献] 本质的两方面,心中的道德律和无穷的创造力。 [1]线教平.高考状元变流浪汉,“唯分论者”该醒醒了[N].线教平的博 道德是社会意识形态之一,是人们共同生活及其行为的准 客.2014. 则和规范。教育家陶行知说过:“因为道德是做人的根本,根本 [2]康德.实践理眭批判嗍.商务印书馆.1999年5月第1版. (上接第104页) 改网页。 码可以适应但其算法复杂,加密数据的速率较低。 3.4防火墙不能过滤地址不正确的包 4网络协议策略 在防火墙控制中,防火墙是一个用来阻止网络中黑客访问 针对TCP/I P网络提出www、snmp、ftp等协议,但此协 某个机构的屏障,也可称之为控制进/出两个方向通信的门槛。 议有诸多脆弱之处,snmp(简单网络管理协议)管理工作站在 但对于包过滤技术不能识别有危险的信息包,无法实施对应用 解析和处理trap消息及snmp代理和在处理请求消息时具有某 级协议的处理,也无法处 ̄UDP,RPC或动态协议;代理防火墙无 些缺陷,主要原因是对s NMP消息的检查不充分,当数据包 法快速支持一些新出现的业务。 中含有异常的字段值或过长的对象识别时,会引起内存耗尽, 3.5大量打开的端口 堆栈耗尽以及缓冲区溢出等致命错误,而导致修改目标系统和 大量打开的端口给攻击者提供更多的入侵途径,对安全造 执行其他代码。后果因具体设备而异,形成拒绝服务器攻击条 成隐患。 件,设备不能正常工作,产生大量日志记录、系统崩溃或挂起和 3.6日志文件不健全 设备自动启动等。SNMP主要采用VDPC传输,很容易进行I P源地 日志记录着系统安全方面重要的信息,包括攻击者的入侵 址假冒。所以,仅仅使用访问控制列表有时不足以防范。大多数 踪迹和系统修改记录等。 snmp设备接受来自网络广播地址的snmp消息,攻击者甚至可以 3.7缓冲区溢出 不必知道目标设备的IP地址,通过发送广播snmp数据包达到目 缓冲区溢出是由于编程时的疏忽,在很多的服务程序中使 的。 用如strcpy()strcat()不进行有效位的检查的函数,最终可能 ftp(文件传输协议)是一种脆弱而且漏洞较多的协议。 导致恶意用户编写一小段利用程序来进一步打开安全缺口,然 ftp有两个通道,一个控制通道,一个传输通道。在passive模 后将代码缀加在缓冲区有效载荷末尾,这样当发生缓冲区溢出 式下服务器并不检查客户端的地址,因此,在文件传输发生的 时,返回指针指向恶意代码,这样系统的控制权就会被夺取。 情况下,传输的数据可以被第三个用户劫持。在日常工作中,预 3.8没有备份或备份不完整 防计算机病毒,保证网络安虽然全,应主要做到以下几点: 没有备份、备份不完整、备份不正确或设备物理介质保管 (1)机器专人管理负责;(2)不要从A盘引导系统;(3)对所有 不善一旦系统遭到自然灾难或认为攻击后,数据将不能得到完 系统软件、工具软件、程序软件要进行写保护;(4)对于外来的 全或部分恢复。 机器和软件进行病毒检查;(5)对游戏程序要严格控制:(6)网络 3.9信息加密的缺陷 上的计算机用户,要遵守网络的使用;(7)安装一个具备实时拦 在信息加密策略中,一般分为两类,一类是常规密码,另 截电子邮件病毒和恶意代码病毒的防火墙,并且要经常及时更 一类是公钥密码。常规密码是指收信方和发信方使用相同的密 新病毒库,至少一周应进行一次更新升级;(8)收到陌生邮件时 钥,即加密密钥和解密密钥是相同或等价的,比较著名的常规 要慎之又滇,尤其是对于带有附件的陌生电子邮件。 密码算法有:des,idea等常规密码有很强的保密强度,且经受 住时间的检验和攻击,但其密钥必须通过安全的途径传送,密 [参考文献] 钥管理成为系统安全重要因素。公钥密码是指收信方和发信方 [1]胡道明.计算机局域网(第二版)[M].北京:清华大学出版社. 使用的密钥互不相同,而且几乎不可能推导出解密密钥,比较 [2]钱檫黑客行为与网络安全[J].北京:电力机车技术. 著名的公钥密码算法有:rsa,rabin,eigamal等,虽然公钥密 [3]舒'洁_堵住黑客入口[J].北京:中国电脑教育报. 268无线互联科技
