毕业论文-浅谈计算机网络安全漏洞及防范措施

分类号密级UDC编号本科毕业论文题目浅谈计算机网络安全漏洞及防范措施院（系）专业年级学生姓名学号指导教师二○一五年十月2华中师范大学学位论文原创性声明本人郑重声明：所呈交的学位论文是本人在导师指导下独立进行研究工作所取得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写的成果作品。本人完全意识到本声明的法律后果由本人承担。学位论文作者签名：日期：年月日学位论文版权使用授权书本学位论文作者完全了解学校有关保障、使用学位论文的规定，同意学校保留并向有关学位论文管理部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授权省级优秀学士学位论文评选机构将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。本学位论文属于1、保密□，在_____年解密后适用本授权书。2、不保密□。（请在以上相应方框内打“√”）学位论文作者签名：日期：年月日3导师签名：日期：年月日内容摘要：计算机网络的发展加速了信息化时代的进程，但是计算机网络在服务人们生活的同时，网络的安全问题也日益突出。文章介绍了系统安全漏洞的基本概念，漏洞与不同安全级别操作系统之间的关系和环境相关特性与时效性以及安全漏洞与攻击者之间的关系。并通过实例，分析了计算机病毒问题与安全漏洞之间的联系，列举出了常见的安全漏洞，提出了相应的安全策略研究对于保障系统安全的积极意义。关键词：网络安全安全策略安全漏洞计算机病毒Abstract:Thedevelopmentofcomputernetworkacceleratestheprocessoftheinformationage,butincomputernetworkservicepeoplelivingatthesametime,networksecurityissuesarealsoincreasinglyprominentSystemareintroducedinthispaperthebasicconceptofsecurityholes,holesandtherelationshipbetweenthedifferentlevelofsecurityoperatingsystemandenvironmentrelatedfeaturesandtimeliness,securityvulnerabilitiesandtherelationshipbetweentheattackersAndthroughtheexample,thispaperanalyzesthecomputervirusproblemwiththeconnectionbetweenthesecurityvulnerabilities,liststhecommonsecurityvulnerabilities,putsforwardthecorrespondingsecuritypolicyresearchpositivesignificanceforensuringsystemsafetyKeywprds:networksecuritysecuritypolicysecurityholecomputervirus4目录内容摘要…………………………………………………………………………………3关键词…………………………………………………………………………………3Abstract………………………………………………………………………………3Keywords………………………………………………………………………………3一、漏洞的概念…………………………………………………………………………5（一）什么是漏洞……………………………………………………………………5（二）漏洞与系统环境的关系及特性………………………………………………5（三）漏洞问题与不同安全级别系统之间的关系…………………………………5二、安全漏洞与系统的攻击之间的关系………………………………………………6（一）常见的攻击方法………………………………………………………………6（二）系统攻击手段与系统漏洞分类………………………………………………7三、XP系统的常见漏洞…………………………………………………………………7四、安全策略漏洞防范…………………………………………………………………9（一）物理安全策略…………………………………………………………………9（二）访问控制安全策略……………………………………………………………9（三）网络协议策略…………………………………………………………………9参考文献…………………………………………………………………………………11致谢……………………………………………………………………………………125一、漏洞的概念（一）什么是漏洞漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生的错误，这个缺陷或错误可以被不法者或者电脑黑客利用，通过植入木马、病毒等方式攻击或控制整个电脑，从而窃取电脑中的重要资料和信息，甚至破坏整个系统。（二）漏洞与系统环境的关系及特性漏洞会影响到很大范围的软硬件设备，包括操作系统本身及支撑软件、路由器、防火墙等。在不同的软件硬件设备中，不同系统，或同种系统在不同的设置条件下，等会存在各自不同的漏洞问题。漏洞问题有其时效性。一个系统从发布的那一天起，随着用户的使用，系统中存在的漏洞会被不断暴露出来，也会不断被相应的补丁软件修补，或在随后发布的新版系统中纠正。而在系统中旧的漏洞被纠正的同时，往往也会因人一些新的漏洞和错误。因而随着时间的推移，旧的漏洞会不断的消失，新的漏洞会不断的出现。漏洞问题也会长期的存在。脱离具体的时间和具体的系统环境来讨论漏洞问题是毫无意义的。只能针对目标系统的实际环境来讨论其中可能存在的漏洞及其可行的解决办法。应该看到，对漏洞问题的研究必须跟踪当前最新的计算机系统及其安全问题的最新发展动态。这一点与对计算机病毒发展问题的研究相似。（三）漏洞问题与不同安全级别系统之间的关系目前计算机系统安全的分级标准一般都是依据“受信任计算机系统评估标准”(TrustedComputerSystemEvaluationCriteria)，即“橘皮书”中的定义，将计算机系统的安全性能由高而低划分为四个等级。其中：D级--最低保护(Minimalprotection)，凡没有通过其他安全等级测试项目的系统即属于该级，如Dos,Windows个人计算机系统。C级—自主访问控制(DiscretionProtection)，该等级的安全特点在于系统的客体(如文件、目录)可由该系统主体(如系统管理员、用户、应用程序)自主定义访问权。例如：管理员可以决定系统中任意文件的权限。当前Unix、Linux、WindowsNT等操作系统都属此安全等级。B--级强制访问控制(MandatoryProtection)，该级的安全特点在于由系统强制对客体进行安全保护，在该级安全系统中，每个系统客体及主体都有自己的安全标签，系统依据用户的安全等级赋予其对各个对象的访问权限。A级—可验证访问控制(VerifiedProtection)，其特点在于系统拥有正式的分析及数学式方法可完全证明该系统的安全策略及安全规格的完整性与一致性。根据定义，系统所属安全级别越高，理论上该系统也越健全。可以说，系统安全级别是一种理论上的安全保证机制。是指在某个系统根据理论得以正确实现时，系统应该可以达到的安全程度。6安全漏洞的出现，是安全机制理论具体实现时出现的非正常情况。比如建立安全机制规划时，在考虑上存在的缺陷，软件编程中的错误，以及在实际使用时认为的配置错误等。而在一切由人类实现的系统中都会不同程度的存在各种潜在错误。因而可以说在所有系统中必定存在着某些安全漏洞，不管这些漏洞是否已被发现，也不管该系统的理论安全级别如何。可以认为，在一定程度上，安全漏洞问题是独立于操作系统本身的理论安全级别而存在的。并不是说，系统所属的安全级别越高，该系统中存在的安全漏洞就越少。安全与不安全只是一个相对的概念。可以这样理解，当系统中存在的某些漏洞被入侵者利用，是入侵者得以绕过系统中的一部分安全机制并获得对系统一定程度的访问权限后，在安全性较高的系统当中，入侵者如果希望获得特权或对系统造成较大的破坏，必须要克制更大的障碍。二、安全漏洞与系统攻击之间的关系系统安全漏洞是在系统的实现和使用中产生的，在某些条件下可能威胁到系统安全的错误。用户会在使用中发现系统中存在的错误，而入侵者都会设法利用其中的某些错误来破坏系统安全，系统供应商则会尽快发布纠正这些错误的补丁。这就是系统安全漏洞从被发现到纠正的一般过程。攻击者往往是安全漏洞的发现者和使用者，要对一个系统进行攻击，如果不能发现和使用系统中存在的安全漏洞是不可能成功的。对于理论安全级别较高的系统尤其如此。系统安全漏洞与系统攻击活动之间有着紧密的联系。因而不该脱离系统攻击活动来谈安全漏洞问题。了解常见的系统攻击方法，对于有针对性地理解系统漏洞问题，以及找到相应的补救方法是十分必要的。（一）常见的攻击方法通常可以根据攻击手段，把攻击活动大致分为远程攻击和内部攻击两种。随着网络的发展，远程攻击技术威胁越来越大，而其所涉及的系统漏洞以及相关的知识也较多，因而有更重要的研究价值。1.远程攻击远程攻击是指通过Internet或其他网络，对连接的网络上的任意一台机器的攻击活动。一般可根据攻击者的目的分为入侵与破坏性攻击两部分。破坏性攻击的目的是对系统进行的骚扰，使其丧失一部分或全部服务功能，或对数据造成破坏。像邮件炸弹、基于网络的拒绝服务攻击，及著名的蠕虫病毒等都属于此类。与破坏性攻击不同，远程入侵的目的是非法获得对目标系统资源的使用权。两种攻击都需要用到系统中存在的安全漏洞。从难度上来看，系统入侵可能更困难，也更具有代表性。2.内部攻击攻击者可以利用本地系统各组成部件中存在的安全漏洞，对系统进行破坏，如破坏数据，非法提升权限等。在实际情况下，内部攻击许多都是利用系统管理员配置上的错误和程序中存在的缓冲区溢出错误来实施的。虽然可以简单地将攻击分为以上两类，但在实际的攻击活动中，对两种攻击方法的使用并无界限。7（二）系统攻击手段与系统漏洞分类系统攻击之所以能够成功，主要是因为在系统中存在着各种类型的安全漏洞。安全漏洞和系统攻击之间有紧密的联系。脱离攻击过程单独看待漏洞问题是没有意义的。而研究安全漏洞的目的，正是为了防范对系统的攻击活动。因而可以通过对常见的系统攻击手段的研究，分析其所涉及的安全漏洞，这样在解决安全问题时才有针对性，防范系统攻击才可以取得较好的效果。下面将举例说明几种常见的攻击手段和其中所涉及到的安全漏洞。1.远程攻击手段举例（1）电子欺骗攻击电子欺骗是指利用网络协议中的缺陷，通过伪造数据包等手段，来欺骗某一系统，从而制造错误认证的攻击技术。“电子欺骗攻击”是利用了目前系统安全认证方式上的问题，或是在某些网络协议设计时存在的安全缺陷来实现的。比如NFS最初鉴别对一个文件的写请求时是通过发请求的机器而不是用户来鉴别的，因而易受到此种方式的攻击。（2）拒绝服务器攻击拒绝服务器攻击的目的非常简单和直接，即：使受害系统失去一部分或全部服务功能。包括暂时失去响应网络服务请求的能力，甚至于彻底破坏整个系统。不同的拒绝服务器攻击利用了不同的系统安全漏洞。比如对邮件系统的攻击是利用了当前邮件系统缺少必要的安全机制，易被滥用的特点。对网络协议实现核心的攻击是利用了系统在具体实现TCP/IP协议栈时的问题。2.内部攻击手段举例特洛伊木马指任何看起来象是执行用户希望和需要的功能，但实际上却执行不为用户所知的，并通是有害功能的程序。一般来说，攻击者都会设法通过某些手段在系统中放置特洛伊程序，并骗取用户执行改程序以达到破坏系统安全的目的。利用特洛伊木马出了可以攻击系统外，攻击者往往也会利用该技术来设置后门。可以说特洛伊木马攻击手段主要是利用了人类所犯的错误，即：在未能完成确认某个