摘  要： 結(jié)合實際工作發(fā)現(xiàn)的安全漏洞，從訪問控制、防火墻技術(shù)、病毒防范和入侵檢測4個方面探討了計算機網(wǎng)絡安全防范措施。通過安全防范措施，保證了網(wǎng)絡環(huán)境的安全，減少了被黑客攻擊的可能性。
關(guān)鍵詞： 網(wǎng)絡安全；計算機；漏洞；安全防范；黑客

　隨著計算機技術(shù)和信息技術(shù)的迅猛發(fā)展，網(wǎng)絡安全問題日漸顯著。計算機網(wǎng)絡向世界各個角落延伸，用戶通過網(wǎng)絡享受著巨大便利的同時，安全隱患令人擔憂。近幾年來網(wǎng)絡攻擊事件不斷增多，計算機安全漏洞數(shù)量有增無減，因而造成的危害不斷增多，影響惡劣，在一定程度上危害到人民群眾的根本利益和社會經(jīng)濟發(fā)展的穩(wěn)定性。但是，半數(shù)以上的攻擊都是基于計算機本身存在的漏洞而進行的，各行業(yè)網(wǎng)絡管理員及計算機用戶應增強安全防范，構(gòu)建完善的網(wǎng)絡安全環(huán)境，科學地進行漏洞發(fā)現(xiàn)、漏洞分析及漏洞安全防范工作，避免造成不必要的損失。
1 計算機安全漏洞簡單介紹
1.1 漏洞的定義
　漏洞是在硬件、軟件和協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。
　大多數(shù)用戶對安全漏洞的概念或多或少會有一定的了解，但由于所處的領(lǐng)域不同、看待漏洞的角度不同和研究的程度不同，導致對漏洞的理解也不同。信息安全漏洞的最早定義是由美國著名的計算機安全專家DENNING D E R[1]博士于1982年提出的，他從訪問控制角度，把漏洞定義為“導致操作系統(tǒng)執(zhí)行的操作和訪問控制矩陣所定義的安全策略之間相沖突的所有因素”。
1.2 漏洞的分類
　當今世界每天所依賴的軟件和網(wǎng)絡應用確實存在著漏洞，這只是軟件開發(fā)快速發(fā)展的必然結(jié)果。根據(jù)中國國家信息安全漏洞庫（CNNVD）統(tǒng)計，2012年10月份新增安全漏洞772個，日平均新增漏洞數(shù)量約25個，與前5個月平均增長數(shù)量相比，增長速度有所上升。圖1為近6個月漏洞新增數(shù)量統(tǒng)計圖。

　據(jù)析，新增漏洞主要為主流操作系統(tǒng)漏洞、TCP/IP協(xié)議缺陷漏洞及由安全策略引起的漏洞。
?。?）操作系統(tǒng)本身漏洞及鏈路連接漏洞[2]
　操作系統(tǒng)是一個人機交互便捷平臺，要支持各種應用，各種操作系統(tǒng)都存在著先天缺陷和不斷增加新功能而帶的漏洞。操作系統(tǒng)為用戶提供的功能越多，應用越新，漏洞的數(shù)量及其存在漏洞的可能性越大，受到攻擊的可能性越大；服務器或者PC安裝的操作系統(tǒng)時期越長，用的人越多，暴露漏洞的概率越大，越容易受到攻擊。黑客攻擊防火墻或內(nèi)部主機，一般都是先攻擊操作系統(tǒng)，控制了操作系統(tǒng)就控制了防火墻或內(nèi)部主機。計算機正常運行期間，需通過鏈路連接網(wǎng)絡互通功能，一旦存在鏈接，相應的就會存在被攻擊的可能性。鏈路連接攻擊及基于數(shù)據(jù)鏈路的會話攻擊等。
　（2）TCP/IP協(xié)議缺陷漏洞
　TCP/IP漏洞的根本所在就是目前其內(nèi)在控制機制對源地址還無法進行有效的鑒別，無法證實IP地址準確無誤地從哪里來。這就為網(wǎng)絡攻擊者利用偵聽技術(shù)破壞計算機網(wǎng)絡提供了很大的可能性，黑客利用此漏洞可以對數(shù)據(jù)進行檢查，推測TCP的序列號，修改鑒別過程，插入非法數(shù)據(jù)流。
　（3）安全策略漏洞
　網(wǎng)絡正常運行各項服務的正常開展都源于計算機端口開放功能。例如80端口開放，實現(xiàn)HTTP服務發(fā)揮功能；25端口開放，則可以提供SMTP服務。端口正常開放，在給用戶帶來方便的同時，也增加了計算機遭受攻擊的可能性，這時，傳統(tǒng)的防火墻的防護功能已經(jīng)顯得蒼白無力，很難發(fā)揮其有效的作用。
根據(jù)貴州省2012年信息安全評估示范項目過程中漏洞掃描師對貴州省**廳局進行的服務器外網(wǎng)漏洞掃描報告，分析得出漏洞分布情況如圖2所示。

2 計算機安全漏洞防范措施
　針對網(wǎng)絡安全漏洞的類型，目前比較有效的防范措施主要有訪問控制、防火墻技術(shù)、病毒防范和入侵檢測技術(shù)等，其中對廣大網(wǎng)絡用戶和網(wǎng)絡管理員的安全培訓也是至關(guān)重要的。
2.1 訪問控制
　針對操作系統(tǒng)本身漏洞，根據(jù)第三級安全標記保護級[3]主要從身份鑒別、自主訪問控制、強制訪問控制、數(shù)據(jù)流控制、安全審計、用戶數(shù)據(jù)完整性和用戶數(shù)據(jù)保密性進行功能加強。
2.2 防火墻技術(shù)
　防火墻是設置在不同網(wǎng)絡或網(wǎng)絡安全域之間（可信網(wǎng)絡與不可信網(wǎng)絡）的一系列部件（軟件與硬件）的組合，是目前最廣泛、最經(jīng)濟有效的安全漏洞防范措施之一。通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實現(xiàn)對進、出內(nèi)部網(wǎng)絡的服務和訪問的審計和控制，從而防止不明身份黑客進入計算機用戶網(wǎng)絡，保護用戶的信息免于遭受破壞。
2.3 防病毒技術(shù)
　防病毒技術(shù)就是如何通過各種技術(shù)手段預防、查殺各種病毒代碼，通過防范計算機遭受各種病毒（包括病毒、蠕蟲、惡意代碼、木馬等）的感染、攻擊和破壞，保證計算機的數(shù)據(jù)安全和應用安全。從防病毒產(chǎn)品的部署來看可分為主機型防病毒產(chǎn)品和網(wǎng)關(guān)型防病毒產(chǎn)品。防病毒網(wǎng)關(guān)設計安裝在網(wǎng)絡邊緣，病毒侵入前進行實時地阻止，這樣很好地解決了病毒在被單機防病毒軟件查殺前已經(jīng)進入網(wǎng)絡的安全風險，且很好地避免了計算機用戶不熟悉防病毒軟件使用的風險[4]。
2.4 入侵檢測技術(shù)
　入侵檢測系統(tǒng)具有更多的智能，它利用各種不同類型的引擎對系統(tǒng)進行實時或定期監(jiān)控，獲取系統(tǒng)的審計數(shù)據(jù)或網(wǎng)絡數(shù)據(jù)包，然后將得到的數(shù)據(jù)進行分析，并判斷系統(tǒng)或網(wǎng)絡是否出現(xiàn)異常或入侵行為，一旦發(fā)現(xiàn)異常或入侵情況，發(fā)出報警并采取相應的保護措施。
2.5 加強網(wǎng)絡管理員綜合素質(zhì)[5]
　隨著計算機防范技術(shù)的發(fā)展，黑客攻擊技術(shù)水平也在不斷提高，因此網(wǎng)絡環(huán)境不存在絕對意義上的安全。應加強網(wǎng)絡管理員安全培訓，提高網(wǎng)絡管理人員綜合素質(zhì)，健全安全管理。通過認識計算機安全漏洞、分析漏洞和加強防范措施，爭取最大限度地確保計算機網(wǎng)絡的安全性，減少被黑客攻擊的可能性。
通過實踐工作中發(fā)現(xiàn)的計算機安全漏洞并對其分析，找出其安全防范對策。主要從訪問控制、防火墻、防病毒和入侵檢測（正在發(fā)展為入侵防御）幾個方面來加強防范，不給黑客留有可乘之機，確保網(wǎng)絡用戶的信息安全。
　另外，在大型企業(yè)和政府部門，在服務器安全運維階段，網(wǎng)絡管理人員應對網(wǎng)絡環(huán)境開展定期系統(tǒng)審計、漏洞掃描和滲透測試，進一步提升網(wǎng)絡安全運維情況。在網(wǎng)絡正常工作期間進行定期和不定期風險評估，以便幫助確認網(wǎng)絡環(huán)境保持的安全等級是否發(fā)生變化[6]。計算機安全漏洞及防范措施的研究是一項長期動態(tài)工作，需得到管理人員的鼎力支持，并具有繼續(xù)研究下去的意義。
參考文獻
[1] DENNING D E R. Crytography and data security[M]. USA，Boston： Addition-Wesley，1982.
[2] 鄭平.淺談計算機網(wǎng)絡安全漏洞及防范措施[J].計算機光盤軟件與應用，2012（3）：31-46.
[3] GB/T20272-2006.信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求[S].中國：中國國家質(zhì)量監(jiān)督檢驗檢疫總局、中國國家標準化管理委員會，2006.
[4] 武春嶺，李賀華.信息安全產(chǎn)品配置與應用[M].北京：電子工業(yè)出版社，2010.
[5] 倪靈芝.計算機網(wǎng)絡安全漏洞及解決措施初探[J].信息與電腦，2012（1）：24-25.
[6] 范紅.信息安全風險評估規(guī)范國家標準理解與實施[M].北京：中國標準出版社，2008.