文/胡彬 孙军

新形势下计算机网络漏洞的防范

文/胡彬 孙军

在新形势下计算机信息技术得到快速发展，人类已经进入了计算机网络信息社会。计算机网络信息安全关系着人们的正常生活和个人隐私，甚至关系到国家军事安全。本文首先对计算机网络漏洞定义进行了介绍，并分析和总结了目前常见的计算机网络漏洞攻击类型和原理，最后提出了一些计算机网络漏洞的防范措施，本文的研究结果有望提高日常计算机网络使用的安全性，避免因为计算机网络攻击造成损失。

计算机 网络漏洞 原理 防范措施网络安全

进入二十一世纪以来，计算机技术得到了迅速发展，同时网络技术也迅猛发展，人类已经开始进入了一种网络信息化社会，各种线上购物、网络交易、工业控制、各类军事用途等都已经和人类的生活密不可分，网络信息的安全性也越来越受到人们的关注。我国在计算机网络安全信息方向起步较晚，相关人才也比较缺乏。在新形势下研究计算机网络漏洞的基本信息，并针对这些漏洞作出一些必要的防范措施，对于保障网络信息的安全性有着非常重要的意义。

1 计算机网络漏洞定义以及常见漏洞攻击类型

1.1 计算机网络漏洞定义

当今计算机网络漏洞都是伴随着操作系统而来的，而目前应用最多的则是微软的WINDOWS系统，其次则是LINUX、iOS等系统，LINUX和iOS系统虽然在市场上占有份额较少，但是其漏洞相对较少，因而在使用上也较为安全。应用最多的WINDOWS系统目前已经发展到WINDOWS 10,但是市场上仍然有很多XP、WINDOWS7等操作系统，这些系统在开发出来之初就有很多漏洞，因而在对外访问网络时很多计算机病毒和木马就可以利用这些漏洞对计算机进行攻击，盗取或者破坏个人隐私信息。

对于计算机网络漏洞的定义比较宽泛，目前国内外学者普遍认为，计算机网络漏洞是一种在计算机网络中长期存在，且可以被人或者程序利用进而不断损害计算机系统中的数据的因素。网络漏洞不仅仅是指计算机软件设计上存在的漏洞，如WINDOWS系统中的一些固定漏洞，而且还包括了硬件以及网络通信协议中的一些缺陷。这些缺陷可以被人或者程序利用进而破坏计算机系统或者信息安全。如很多系统在初始化设置时默认系统账户用户名和密码，这些用户名和密码是固定的，如果不进行修改就有可能被攻击者所利用。

1.2 常见网络漏洞攻击类型

网络漏洞广泛存在于计算机网络中，攻击者可以利用这些漏洞并制作相应的攻击工具来对网络进行攻击，这些攻击会对用户造成极大损失，因而，了解常见的网络漏洞攻击类型以及攻击原理对于防范网络漏洞具有非常重要的意义。图1为常见网络漏洞攻击类型的百分比分布图，从中可以看出，计算机病毒、木马和蠕虫病毒攻击占据了绝大多数。

图1：各类计算机网络攻击比例

1.2.1 计算机木马、病毒、蠕虫等

计算机木马、病毒以及蠕虫从计算机以及互联网出现以来就一直存在，且传播速度快、不容易被识别、造成的危害大。虽然目前的杀毒系统能够防范大部分的计算机木马和病毒，但是随着这些木马和病毒的不断变异，仍然是目前最为常见的攻击方式。

1.2.2 拒绝服务攻击

拒绝服务攻击是目前非常常见的一种攻击方法，一般攻击者会首先利用探测攻击探测目前主机是否存在可利用端口，然后通过DOS工具在短时间内向其发送大量数据包，从而造成目标主机瘫痪。这主要利用了TCP/ IP协议的漏洞，目前攻击者使用较多的有电子邮件炸弹、UDP Flood以及SYN Flood等，并且已经发展出了分布式DOS攻击，攻击者可以利用其控制的多台计算机（“肉鸡”）对目标电脑进行持续攻击，非常容易造成主机瘫痪。

1.2.3 欺骗类攻击

欺骗类攻击主要是利用计算机网络的参与者自身大意，同时利用计算机网络协议的漏洞，伪造计算机地址、网址、报文等，将这些发送给目标主机，目标主机在接收这些伪造后的报文后会导致目标主机作出错误判断。同时攻击者会根据情况打开一些端口或者增加一些计算机管理员，以方便下次非法进入。另外还有一些欺骗类攻击会占用主机的资源，如IP欺骗通过伪造IP向目标主机发送网络通信请求，主机需要辨别这些网络请求，但是由于网络IP是虚假的，因而会反复重复多次进行确认，因而会占用系统大量资源，导致系统卡顿。

1.2.4 缓冲区溢出攻击

缓冲区溢出攻击主要是利用一些网络软件中的漏洞，向一些软件发送非常长的信息，由于网络软件缓冲区有限，因而会导致缓冲区溢出，进而程序运行失败或者计算机死机。同时攻击者还可以利用这些漏洞向目标主机发送指令或者留下漏洞，以便下一次继续入侵。在目前使用的WINDOWS系统以及各类软件中广泛存在着缓冲区溢出漏洞，这些漏洞的危害非常大，但是目前还没有引起足够的重视。对于缓冲区溢出攻击不仅要求用户在平时有良好的计算机使用习惯，还要求软件的开发者尽可能的对软件进行合理测试，以防止攻击者利用这些漏洞进行攻击。

1.2.5 程序错误攻击

同前面几种计算机网络漏洞攻击一样，程序错误攻击也广泛存在于计算机网络中，这主要是由于计算机网络的协议还不够完善，而且很多服务器上的服务程序也不够完美，人们在使用计算机网络时，都是将数据包通过协议打包发送到服务器，再由服务器转发出去，但是攻击者可以利用这些漏洞向服务器发送一些垃圾数据或者错误数据，服务器无法辨别这些数据是否需要处理，因而很多主机或者服务器的资源都会被占用，网络会发生拥堵。历史上非常有名的冲击波病毒就是一种程序错误攻击，这种攻击方法主要是利用WINDOWS NT系统的RPC服务的任意代码可执行漏洞，这类攻击方法只能使用防火墙和杀毒软件，尽量切断数据包发送途径。

1.2.6 后门攻击

后门攻击的最大危害在于攻击者利用后门攻击目标主机后极有可能在主机上留有若干后门，这些后门会被越来越多的攻击者利用，从而使得目标主机变为“肉鸡”，也就是傀儡机，在攻击者需要时，会利用很多“肉鸡”来对其他的计算机进行攻击，“肉鸡”就像攻击者的后花园一样，攻击者想来就来，想走就走，因而对计算机以及使用者而言造成非常大的危害。后门攻击经常利用在电子邮件或者网址中混有木马，诱骗主机操作者打开后即可获取主机的控制权。这类攻击方法需要规范自身的计算机使用习惯，并定时查杀木马病毒。

2 计算机网络漏洞防范研究

以上对计算机网络漏洞以及攻击原理进行了简要介绍，可以发现计算机网络漏洞对于计算机使用者来说造成了非常大的威胁，而二十一世纪是信息社会，网络信息安全和人们生活的联系也越来越密切。为了尽量减少计算机网络漏洞的危害，对计算机网络漏洞进行合理防范就显得非常有必要了。在防范措施上，主要从物理安全、访问安全策略以及网络协议方向入手，针对常见的网络漏洞进行防范。

2.1 物理安全策略

计算机网络非常依赖于计算机的安全，对于计算机网络漏洞的防范首要保护计算机主机系统、服务器的硬件设施等，有一些风险是无法消除的，如自然灾害以及其他的一些不可抗力因素，但是总体来说应当将这些物理硬件设施放置在安全、不容易受侵害的场所。

除此之外，还需要保证计算机的使用上排除其他可疑人员的干扰，包括计算机系统应当具有能够验证用户身份的能力，确保使用者具有足够权限，对于其他一些重要的计算机系统而言，在防范上还应当做好计算机使用记录，以尽可能保障计算机的使用安全。

2.2 访问安全策略

为计算机使用者设置合适的访问安全策略可以有效保证计算机网络的安全性，并且可以尽可能低的保证网络资源不被他人占用和非法方位。作为计算机网络安全的重要策略之一，访问安全策略包括了防火墙控制、服务器安全控制、权限控制以及入网访问控制等。其中对防火墙进行控制是一道坚实的屏障，防火墙可以有效过滤一些非法信息，并且针对一些非法访问可以直接拒绝，因而，对防火墙进行控制时访问安全策略的第一步。对于服务器安全的控制则包括了服务器系统备份以及信息加密。服务器系统备份是保证服务器数据在遭受到外界物理因素或者非法攻击时能够及时恢复数据的方法。而信息加密则是为了保障数据传输的安全性，并且在密码级别上根据自身需求进行选择，可以选择rsa，rabin等密码对数据进行加密。在权限控制上主要是对计算机使用的权限控制以及文件操作的权限控制，WINDOWS系统本身有很多对于权限的默认属性，这些属性通常都被攻击者所熟知，如果不对这些权限进行改动，那么就非常有可能被攻击者利用，而且很多网站开发者对于网页修改的权限也比较随意，导致攻击者非常容易的修改网页，给网站开发者和使用者都造成损失。一般而言，对于系统的账号和密码应当进行独立设置，并具有一定安全等级，使得攻击者不容易破解利用。

2.3 网络协议策略

由于现有的网络协议还不尽完善，因而有很多网络攻击是针对网络协议来进行的，包括前面提到的分布式拒绝攻击等，目前有很多协议，如ftp、snmp等但是这些协议在处理网络消息时都存在缺陷，这主要体现在对网络传输数据的检查上不尽如人意，而且也无法检查过长的数据段，非常容易造成服务器或者主机的内存不足或者出现缓冲区溢出错误等，这些情况都有可能会成为攻击者攻击的条件。

在日常计算机使用过程中，为了避免让攻击者利用网络协议来进行攻击，需要严格规范自身使用计算机习惯，及时开启计算机防火墙，并对防火墙以及外部路由器的广播地址进行隐藏，防止被攻击者利用。同时计算机应当尽量避免被他人使用，防止其他人在使用电脑时留下后门，计算机系统中所有的软件应当设置为写保护，同时在必要时需要升级防火墙，要求防火墙可以防范网络恶意代码以及电子邮件等，为了防止邮箱炸弹，在收到陌生邮件时要时刻谨慎，并尽量不要下载陌生的文件。

3 结论

计算机网络的出现极大的方便了人们的交流以及生活，二十一世纪是一个全球化的信息社会，计算机网络安全是二十一世纪的重要课题。当前很多攻击者利用现有计算机网络的漏洞以及使用者的大意，对计算机网络进行攻击，但是计算机网络漏洞是现有网络安全非常脆弱的根本性原因，再针对计算机网络漏洞的防范上，不仅要规范自身的计算机使用习惯，还需要网络软件以及协议开发者尽可能的找出漏洞并作出完善，只有这样才能将计算机网络打造成一个安全的网络，才能最大限度的方便人们安全使用，保护人们的信息安全。

[1]李忠武,陈丽清.计算机网络安全评价中神经网络的应用研究[J].现代电子技术,2014,37(10):80-82.

[2]王萍.计算机网络安全技术与防范措施探讨[J].数字技术与应用,2014(04):200-201.

[3]韩锐.计算机网络安全的主要隐患及管理措施分析[J].信息通信,2014(01):152-153.

[4]熊芳芳.浅谈计算机网络安全问题及其对策[J].电子世界,2012(22):139-140.

[5]杨光,李非非,杨洋.浅析计算机网络安全防范措施[J].科技信息,2011(29):70+93.

[6]陈卓.计算机网络信息安全及其防护对策[J].中国卫生信息管理杂志,2011,8(03):44-47.

作者单位国家工业信息安全发展研究中心 北京市100000

胡彬（1982-），工学学士。工程师。主要研究方向为信息安全、网络安全运维管理研究及计算机与网络信息安全。孙军（1984-），工学博士。工程师。主要从事工业信息安全、智慧城市网络安全及工业建模仿真等方向的研究工作。