浅析安全的策略漏洞防范.docVIP

浅析安全的策略漏洞防范 　　摘 要：随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性等特性，致使网络受到偶然或者恶意的原因而遭到破坏、更改、泄露。本文将分别在硬件、软件、协议方面的对常见漏洞进行阐述。 　　关键词：安全漏洞；安全策略；网络安全 　　1 漏洞的概念 　　1.1 什么是漏洞 　　漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷而可以使攻击者能够在未授权的情况下访问或破坏系统。 　　1.2 漏洞与具体系统环境之间的关系及其相关特性 　　漏洞会影响到很大范围的软硬件设备，包括操作系统本身及支撑软件、路由器、防火墙等。在不同的软件硬件设备中，不同系统，或同种系统在不同的设置条件下，等会存在各自不同的漏洞问题。 　　漏洞问题有其时效性。脱离具体的时间和具体的系统环境来讨论漏洞问题是毫无意义的。只能针对目标系统的实际环境来讨论其中可能存在的漏洞及其可行的解决办法。 　　应该看到，对漏洞问题的研究必须跟踪当前最新的计算机系统及其安全问题的最新发展动态。这一点与对计算机病毒发展问题的研究相似。 　　1.3 漏洞问题与不同安全级别计算机系统之间的关系 　　目前计算机系统安全的分级标准一般都是依据“受信任计算机系统评估标准”（Trusted Computer System Evaluation Criteria），即将计算机系统的安全性能由高而低划分为四个等级。其中： 　　D级--最低保护（Minimal protection）；C级―自主访问控制（Discretion Protection）；B--级强制访问控制（Mandatory Protection）；A级―可验证访问控制（Verified Protection）。 　　根据定义，系统所属安全级别越高，理论上该系统也越健全。可以说，系统安全级别是一种理论上的安全保证机制。是指在某个系统根据理论得以正确实现时，系统应该可以达到的安全程度。 　　安全漏洞的出现，是安全机制理论具体实现时出现的非正常情况。比如建立安全机制规划时，在考虑上存在的缺陷，软件编程中的错误，以及在实际使用时认为的配置错误等。而在一切由人类实现的系统中都会不同程度的存在各种潜在错误。因而可以说在所有系统中必定存在着某些安全漏洞，不管这些漏洞是否已被发现，也不管该系统的理论安全级别如何。 　　2 物理安全策略 　　物理安全策略的目的是保护计算机系统、网络服务器和打印机等，硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户身份和使用权限，防止用户越权操作；确保计算机系统有一个良好的电磁兼容环境。抑制和防止电磁泄漏是物理安全策略的一个主要问题，除此之外还有自然威胁，可能是有意的，也可能是无意的；可能是人为的，也可能是非人为的。 　　3 访问控制安全策略 　　访问控制安全策略的任务是保证网络资源不被非法使用和非法访问，访问控制是计算机网络安全中最重要的核心策略之一。当前，入网访问控制、网络权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、防火墙控制等都是访问控制的主要策略，安全策略存在着安全问题。 　　3.1 操作系统和应用软件缺省安装 　　操作系统和应用软件缺省安装带来个问题：一个是不知究竟安装了什么组件和服务，另一个是安装了拙劣的脚本范例，为被攻击提供了“土壤”。 　　3.2 口令和帐号 　　攻击者入侵的第一步往往是窃取口令和帐号，口令是多系统第一层和唯一的防御线，因此没有口令、使用弱口令或系统缺省帐号的口令，如果没有及时修改或清除，都会攻击者容易入侵到网络内部。 　　3.3 权限设置不正确 　　权限设置包括用户权限和文件权限，如果未将用户权限做好设定，攻击者可以轻易修改系统。例如，有些网站目录设为a―nonymous ftp user可以写入，使得攻击者不费吹灰之力修改网页。 　　3.4 防火墙不能过滤地址不正确的包 　　在防火墙控制中，防火墙是一个用来阻止网络中黑客访问某个机构的屏障，也可称之为控制进/出两个方向通信的门槛。但对于包过滤技术不能识别有危险的信息包，无法实施对应用级协议的处理，也无法处理UDP，RPC或动态协议；代理防火墙无法快速支持一些新出现的业务。 　　3.5 大量打开的端口 　　大量打开的端口给攻击者提供更多的入侵途径，对安全造成隐患。 　　3.6 日志文件不健全 　　日志记录着系统安全方面重要的信息，包括攻击者的入侵踪迹和系统修改记录等。 　　3.7 缓冲区溢出 　　缓冲区溢出是由于编程时的疏忽，在很多的服务程序中使用如strcpy（）strcat（）不进行有效位的检查的函数，最终可能导致恶意用户编写一小段利用程序