淺談計算機網(wǎng)絡(luò)安全漏洞及防范措施-OpenSSL心臟出血漏洞分析

--編號：畢業(yè)論文題目淺談計算機網(wǎng)絡(luò)安全漏洞及防范措施——OpenSSL心臟出血漏洞分析年月日

目錄序言……………………1一、“心臟出血”漏洞…………………1（一）“心臟出血”漏洞的危害…………………11.私鑰……………12.用戶密碼………………………23.服務(wù)器配置……………………34.服務(wù)器癱瘓……………………3(二)“心臟出血”漏洞分析………41.漏洞存在的文件………………42.漏洞測試………………………53.漏洞檢測………………………54.服務(wù)器癱瘓……………………4（三）“心臟出血”漏洞的防范與修復(fù)…………6二、計算機網(wǎng)絡(luò)安全漏洞的防范對策………………8（一）利用防火墻防范…………8（二）漏洞掃描…………………9（三）病毒防范………………9（四）計算機安全設(shè)置………101.入侵檢測系統(tǒng)………………102.加密技術(shù)……………………10結(jié)語…………………10參考文獻……………12淺談計算機網(wǎng)絡(luò)安全漏洞及防范措施——OpenSSL心臟出血漏洞分析摘要：在網(wǎng)絡(luò)技術(shù)迅速發(fā)展的今天，全世界的計算機都通過Internet聯(lián)到了一起。信息安全的內(nèi)涵發(fā)生了根本的變化，它不僅從一般性的防衛(wèi)變成了一種非常普通的防范,而且還從一種專門的領(lǐng)域變成了無處不在。近來來，身邊不斷發(fā)生的各種計算機惡意侵害，嚴重威脅到了個人，企業(yè)甚至是國家的安全。攻擊者利用漏洞對目標計算機的完全控制，竊取機密信息，甚至令目標服務(wù)器癱瘓。2014年4月7日openssL發(fā)布了安全公告,在OpensSLl.0.1版本中存在嚴重漏洞。openssLHea而leed模塊存在一個BuG,問題存在于ssFdibothc文件中的心跳部分,當攻擊者構(gòu)造一個特殊的數(shù)據(jù)包,滿足用戶心跳包中無法提供足夠多的數(shù)據(jù)會導(dǎo)致memCp,函數(shù)把SSLv3記錄之后的數(shù)據(jù)直接輸出,該漏洞導(dǎo)致攻擊者可以遠程讀取存在漏洞版本的oPenssL服務(wù)器內(nèi)存中多達64K的數(shù)據(jù)。因此，計算機安全成為當今信息技術(shù)領(lǐng)域的重要研究課題。關(guān)鍵詞：“心臟出血”；OpenSSL；網(wǎng)絡(luò)安全；措施DiscussiononcomputernetworksecurityvulnerabilityandpreventivemeasuresAbstract：Withtherapiddevelopmentofnetworktechnologytoday,theworld'scomputersarelinkedtogetherbyInternet.Radicallychangedthemeaningofinformationsecurity,itnotonlyfromthegeneral'sdefensehasbecomeaveryordinaryprecautions,butalsofromaspecializedfieldhasbecomeubiquitous.Inrecentyears,avarietyofcomputersideongoingmaliciousinfringement,aseriousthreattotheindividual,enterpriseandevennationalsecurity.Completecontrolofattackersexploitvulnerabilitiesonthetargetcomputer,stealconfidentialinformation,eventothetargetserverparalysis.InApril7,2014,openssLissuedasafetynotice,thereareseriousflawsintheOpensSLl.0.1version.OpenssLHeaandLEEDmoduleinaBuG,theheartbeatispartoftheproblemthatexistsinthessFdibothcfile,whentheattackerconstructsaspecialpacketsthatmeetuserheartbeatpacketcannotprovideenoughdatacanleadtomemCp,functionafterSSLv3recorddatadirectlyoutput,thevulnerabilityleadstoanattackercanupto64KtheremotedatareadingloopholesversionofoPenssLservermemory.Therefore,computersecurityhasbecomeanimportantresearchsubjectinmoderninformationtechnologyfield.Keywords:“Heartbleed”;OpenSSL;Networksecurity;Measures-序言“心臟出血”漏洞，是安全套接層（Secure，Sockets，Layer，SSL）心跳機制實現(xiàn)代碼中的缺陷，利用這一缺陷可以發(fā)動黑客攻擊，獲取服務(wù)器內(nèi)存信息。SSL是由網(wǎng)景Netscape公司提出、用于保證網(wǎng)絡(luò)應(yīng)用通信的保密性和可靠性的協(xié)議。該協(xié)議因其獨立于具體應(yīng)用而受到業(yè)界青睞，成為Internet上保密通訊的事實標準，OpenSSL作為開源SSL套件，具有跨平臺性能，許多知名網(wǎng)絡(luò)服務(wù)用其實現(xiàn)加密功能。例如，Apache使用它加密HTTPS因此得到廣泛應(yīng)用?！靶呐K出血”漏洞是芬蘭主動安全解決方案供應(yīng)商科諾康公司和谷歌安全部門研究人員分別發(fā)現(xiàn)，并提交相關(guān)管理機構(gòu)。OpenSSL官方網(wǎng)站于2014年4月7日發(fā)布漏洞公告，并提供漏洞修復(fù)方案，根據(jù)漏洞公告，CVE-2014-0160，[2]該漏洞位于OpenSSL，對TLS的心跳擴展的實現(xiàn)代碼中，由于忽略了一處邊界檢查，使攻擊者無需任何特權(quán)信息或身份驗證，就可以從客戶機或服務(wù)器的內(nèi)存中每次讀取64KB數(shù)據(jù)，其中可能包含證書密鑰、用戶名與密碼、聊天消息、電子郵件以及重要的商業(yè)文檔和通信等數(shù)據(jù)，回溯OpenSSL版本更新情況，這次發(fā)現(xiàn)的漏洞是2011年12月引入的，并于2012年3月14日整合，至正式版發(fā)布，含有漏洞版本的軟件已被廣泛使用。[1]漏洞的發(fā)現(xiàn)立刻吸引了黑客的目光，僅在漏洞曝光后的24小時內(nèi)，漏洞就被人用以獲得用戶名和密碼，并成為闖入虛擬專用網(wǎng)絡(luò)VPN的切入點，有報道稱，黑客利用其從加拿大稅務(wù)局竊取社保數(shù)據(jù)，在不斷深度利用漏洞進行攻擊的情況下，攻擊模式也進行了轉(zhuǎn)變，從最初的黑客襲擊服務(wù)器模式，即利用“心臟出血”漏洞獲取服務(wù)器內(nèi)存信息轉(zhuǎn)變?yōu)榉?wù)器襲擊用戶模式，即通過偽裝合法網(wǎng)站或免費WiFi熱點，吸引用戶登錄訪問，進而獲取用戶在網(wǎng)絡(luò)上加密傳輸?shù)臄?shù)據(jù)。手機上網(wǎng)用戶面臨更大風(fēng)險，安卓4.1.1系統(tǒng)易于受到反向“心臟出血”攻擊，一些手機由于無法升級操作系統(tǒng)，將長期面臨這種安全挑戰(zhàn)。[2]一、“心臟出血”漏洞（一）“心臟出血”漏洞的危害1.私鑰借助此漏洞的攻擊不會對日志出現(xiàn)的任何異?，F(xiàn)象留下痕跡，所以無法察覺。攻擊者可以讀取的內(nèi)容沒有限制在64K，這個上限僅是針對一個單一的心跳。攻擊者可以不斷重復(fù)連接或在主動的TLS連接中持續(xù)發(fā)送64K內(nèi)存數(shù)據(jù)塊請求包，直到獲取足夠多的敏感信息為止。在沒有使用任何特權(quán)信息或證書的條件下，攻擊者可在以服務(wù)器中成功竊取相關(guān)證書、用戶名和密碼、即時信息、郵件、關(guān)鍵業(yè)務(wù)文檔和通信內(nèi)容等。單獨的軟件和庫中總是存在這樣那樣的漏洞，然后被不斷的修復(fù)?？墒窃撀┒磪s將大量的私鑰及其他密鑰曝露在互聯(lián)網(wǎng)上?？紤]到這些密鑰的長期暴露，它們很可能被用于惡意攻擊，并且不留任何痕跡。因此，我們必須認真對待這次的信息泄露。大部分使用OpenSSL的重要服務(wù)都是開源的Web服務(wù)，如Apache和Nginx。OpenSSL用于保護像郵件服務(wù)器（SMTP、POP和IMAP，協(xié)議）、聊天服務(wù)器（XMPP協(xié)議）、虛擬個人網(wǎng)絡(luò)（SSL，VPN）、手機上基于OpenSSL的APP、網(wǎng)絡(luò)設(shè)備及各類客戶端軟件等。OpenSSL在客戶端軟件的應(yīng)用非常廣，而且在很多習(xí)慣性升級的網(wǎng)絡(luò)設(shè)備中也頗受歡迎。個人用戶可能會受到直接或間接的影響。OpenSSL是最流行的開源加密庫和用于加密網(wǎng)絡(luò)流量的TLS實現(xiàn)。社交網(wǎng)站、公司網(wǎng)站、商業(yè)網(wǎng)站、娛樂網(wǎng)站及下載軟件的網(wǎng)站，甚至是政府運營的網(wǎng)站，都可能應(yīng)用著存在漏洞的OpenSSL。大部分在線服務(wù)均使用TLS，識別身份并保護用戶的隱私和交易。用戶可能通過由OpenSSL的漏洞實現(xiàn)保護的登錄信息將設(shè)備連接到網(wǎng)絡(luò)。[3]此外，如果用戶啟用了被攻陷的服務(wù)，那么用戶的客戶端軟件可能已將用戶的電腦信息暴露在互聯(lián)網(wǎng)上。2.用戶密碼攻擊者通過讀取網(wǎng)絡(luò)服務(wù)器內(nèi)存，然后訪問敏感數(shù)據(jù)，從而危及服務(wù)器和用戶的安全。漏洞還可能導(dǎo)致其他用戶的敏感請求和響應(yīng)的暴露，包括用戶任何形式的POST請求數(shù)據(jù)，會話cookie和密碼，這能使攻擊者可以劫持其他用戶的服務(wù)身份。在其披露時，約有17%或五十萬通過認證機構(gòu)認證的互聯(lián)網(wǎng)安全網(wǎng)絡(luò)服務(wù)器被認為容易受到攻擊。電子前哨基金會和布魯斯·施奈爾都認為“心臟出血”漏洞是“災(zāi)難性的”。[4]根據(jù)已經(jīng)公開的信息，該漏洞影響分布清況如下:(l)openssLl.0.lf(受影響)(2)openssL1.0.2-beta(受影響)(3)openssL1.0.1g(不受影響)(4)openssL1.0.0branch(不受影響)(5)openssL0.9.8branch(不受影響)Heallbleed能讓攻擊者從服務(wù)器內(nèi)存中讀取包括用戶名、密碼和信用卡號等隱私信息在內(nèi)的數(shù)據(jù)。OpenssL“心臟出血”漏洞的嚴重性遠比想象的嚴重，一些用戶沒有考慮到手機上大量應(yīng)用也需要賬號登陸，其登陸服務(wù)也有很多是OpenSSL搭建的，因此如果用戶在這階段用手機登陸過網(wǎng)銀或進行過網(wǎng)購，則需要及時修補漏洞，然后更改自己的交易密碼。3.服務(wù)器配置第一，CGI源代碼泄露。CGI源代碼泄露的原因比較多，例如大小寫，編碼解碼。附加特殊字符或精心構(gòu)造的特殊請求等都可能導(dǎo)致cGI源代碼泄露。第二，執(zhí)行任意命令即執(zhí)行任意操作系統(tǒng)命令。一是通過遍歷開錄，如二次解碼和UNICODE解碼漏洞，來執(zhí)行系統(tǒng)命令。再就是Web服務(wù)器把用戶提交的請求作為SSI指令解析，從而導(dǎo)斂執(zhí)行任意命令第三，緩沖溢出漏洞是Web服務(wù)器塒用戶提交的趟長請求沒有進行合適的處理，這種請求可能包括超長URL，超長HTTPHeader域，或者是其它超長的數(shù)據(jù)。這種漏洞可能導(dǎo)致執(zhí)行任意命令或者是拒絕服務(wù)，這一般取決于構(gòu)造的數(shù)據(jù)。第四，條件競爭。主要針對一些管理服務(wù)器而言，這類服務(wù)器一般以system或root身份運行。當它們需要使用一些臨時文件，而在塒這些文件進行操作之前，卻沒有對文件的屬性進行檢查，一般可能導(dǎo)致重要系統(tǒng)文件被暈，甚至獲得系統(tǒng)控制權(quán)。第五，跨站腳本執(zhí)行漏洞。在IE6中發(fā)現(xiàn)可能造成跨站腳本執(zhí)行攻擊。如果訪問做過手腳的網(wǎng)頁，地址欄可以被偽裝。Cookie也可能被竊取。4.“服務(wù)器”癱瘓賽門鐵克發(fā)布的安全報告顯示，“心臟出血”不僅會對網(wǎng)頁服務(wù)器造成威脅，同時還會威脅到其他很多類型的服務(wù)器安全，其中包括代理服務(wù)器、介質(zhì)服務(wù)器、游戲服務(wù)器、數(shù)據(jù)庫服務(wù)器、聊天服務(wù)器和FTP服務(wù)器等?？傊?，該漏洞可以對幾乎所有硬件設(shè)備帶來安全威脅，例如路由器、程控交換機（商務(wù)電話系統(tǒng)）和通過物聯(lián)網(wǎng)連接的各類設(shè)備。（二）“心臟出血”漏洞分析1.漏洞存在的文件“心臟出血”漏洞是一個出現(xiàn)在開源加密庫OpenSSL的程序錯誤，可允許攻擊者讀取服務(wù)器或客戶端的內(nèi)存信息，從而獲得如服務(wù)器SSL私鑰之類的信息。當用戶使用類似于Facebook或Gmail等用戶認為安全的網(wǎng)站發(fā)送信息時，對端計算機需要了解另一端的計算機是否仍然在線，所以他們會發(fā)出一個被稱為“心臟跳動”（Heartbeat）的小型數(shù)據(jù)包，請求對方響應(yīng)，如果另一端計算機也在線，他們就會使用內(nèi)存中儲存的信息做出響應(yīng)。通過向存在漏洞的目標發(fā)送畸形的Heartbeat，請求攻擊者能夠誘使對方使用內(nèi)存中的敏感數(shù)據(jù)作出回應(yīng)，從而獲得信用卡密碼、私人郵件等有價值的信息。[5]（1）漏洞函數(shù)導(dǎo)致此漏洞的函數(shù)存在于，ssl/dl_both.c文件中的心跳部分，具體函數(shù)為:intdtls1_process_heartbeat(SSL*s)（2）漏洞代碼解析SSLv3包括類型、長度、數(shù)據(jù)三部分。P指向SSLv3的指針。hbtype=*p++;n2s(p,payload);pl=p;Hbtype：類型，payload：長度，pl：數(shù)據(jù)。buffer=OPENSSL_malloc(1+2+payload+padding);bp=buffer;buffer：分配內(nèi)存，內(nèi)存最大為：[1+2+65535+16]字節(jié)。*bp++=TLS1_HB_RESPONSE;s2n(payload,bp);memcpy(bp,pl,payload);將類型、長度、數(shù)據(jù)存入bp指向的buffer中。[6]漏洞發(fā)生條件，：惡意構(gòu)造心跳包提供的數(shù)據(jù)長度比payload小時，memcpy會把SSLv3記錄后數(shù)據(jù)復(fù)制出來，最大可復(fù)制64KB。如下圖所示：圖1?Heartbleed漏洞原理圖2.漏洞測試如果不方便安裝heartbleeder或者進行自動檢測，也可以手動檢測。首先判斷服務(wù)器上的Openssl版本是否是有漏洞的版本。如前所述，現(xiàn)階段，“心臟出血”漏洞的版本包括1.0.1-1.0.1f（包含1.0.1f）以及1.0.2-beta?？梢允褂萌缦碌拿畈榭捶?wù)器上的當前版本。opensslversion接著需要判斷是否開啟了心跳擴展：openssls_client-connect相關(guān)網(wǎng)站如果同時滿足以上兩個條件,則表明服務(wù)器已經(jīng)受到漏洞影響，必須盡快修復(fù)。3.漏洞檢測(1)OpenSSL已驗證受影響版本為OpenSSL1.0.1f與OpenSSL1.0.2-beta兩版本，其他版本不受影響。OpenSSL1.0.1g是目前最新的漏洞修補后版本。(2)該漏洞的利用和驗證腳本已經(jīng)可以被廣泛獲取，舉例如下：[7]web測試頁面：http://fi****o.io/Heartbleed/python腳本：http://s3.****/ssltest.pypython腳本：http://**.*/s/1nt3BnVB(3)國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心黑龍江分中心在4月9日針對OpenSSL的“心臟出血”漏洞進行了互聯(lián)網(wǎng)安全普查，在普查中監(jiān)測到中國互聯(lián)網(wǎng)普遍存在此漏洞，同時也進行了少量網(wǎng)站的抽查驗證工作。下面針對抽查驗證工作做簡要的介紹，給出在抽查中存在此漏洞的網(wǎng)站舉例：站點1：Ap***.*****.（測試時間為2014-04-0901:00）站點2：my-****.in（測試時間為2014-04-0901:10）站點3：www.shu****.cn（測試時間為2014-04-0901:15）站點4：git****.com（測試時間為2014-04-0901:20）下圖是站點1內(nèi)存泄漏后返回的內(nèi)網(wǎng)IP地址和路徑信息：圖2?站點1內(nèi)存泄漏內(nèi)網(wǎng)IP地址和路徑信息通過以上分析不言而喻，OpenSSL“心臟出血”漏洞確實可以獲取到帶有敏感信息的內(nèi)存泄漏數(shù)據(jù)，數(shù)據(jù)包括但不限于用戶的cookie信息、內(nèi)網(wǎng)IP地址、用戶名、密碼、手機號、信箱等。攻擊者如果利用此漏洞對網(wǎng)絡(luò)交易、證券、銀行等網(wǎng)絡(luò)進行攻擊，那么將會獲取到網(wǎng)行賬號、密碼、證券信息，甚至私鑰等敏感數(shù)據(jù)。（三）“心臟出血”漏洞的防范與修復(fù)OpenSSL官方網(wǎng)站發(fā)布的公告中指明僅在OpenSSL1.0.1和1.0.2-beta版本中存在安全漏洞(編號為CVE-2014-0160)。修補該漏洞可按如下方法進行：(1)確認網(wǎng)站服務(wù)器上的OpenSSL版本信息。首先，進入openssl安裝目錄下的bin目錄，運行命令opensslversion，系統(tǒng)將返回OpenSSL版本信息，如OpenSSL0.9.8d28Sep2006。根據(jù)現(xiàn)階段的信息統(tǒng)計，受影響比較大的OpenSSl版本包括下列內(nèi)容，從OpenSSL1.0.1到1.0.1f(包含)、OpenSSL1.0.1g和OpenSSL1.0.2-Beta1。[8](2)及時升級服務(wù)器版本，同時更新程序源代碼。如果發(fā)現(xiàn)網(wǎng)站服務(wù)器上的，OpenSSL版本可能存在此漏洞，要在第一時間下載不受該漏洞影響的OpenSSL，版本并安裝。具體應(yīng)對措施如下：第一，使用的Windows版本Apache或OpenSSL受到此漏洞影響，請盡快登陸Apache、Nginx官方網(wǎng)站，更新WebServer版本到未受影響版本。第二，如果使用Linux/Unix操作系統(tǒng)，在更新OpenSSL版本后，還需要重新編譯WebServer(Apache、Nginx、Squid等)程序中的SSL模塊，在更新SSL模塊之后重啟服務(wù)。第四，如果使用的是IBMHttpServer，且在IBMHttpServer上使用了SSL證書，則需要使用mod_ibm_ssl的SSL模塊。但該模塊是IBMGlobalSecurityToolkit提供的，IHS不允許使用OpenSSL的mod_ssl模塊，因此，IBMHttpServer不受此漏洞影響。第五，對基于存在漏洞的OpenSSL版本的SSLLib開發(fā)的Server程序應(yīng)盡快更新代碼，以防受到漏洞攻擊。(3)在OpenSSL漏洞未得到徹底修復(fù)前，暫不登錄“可疑”網(wǎng)站。根據(jù)專業(yè)安全網(wǎng)站安全檢測統(tǒng)計，現(xiàn)在仍有一部分商務(wù)和政務(wù)網(wǎng)站攜帶著漏洞運行，用戶可以通過使用帶有風(fēng)險提示功能的瀏覽器來保護計算機不受漏洞侵害。網(wǎng)站的安全性對于使用重要服務(wù)項目的網(wǎng)絡(luò)用戶，一是必須開通手機驗證或動態(tài)密碼，比如支付寶、郵箱等。登錄重要服務(wù)不僅僅需要驗證用戶名、密碼，最好綁定手機、加手機驗證碼登錄。這樣就算用戶的賬號密碼被黑客竊取，黑客也無法登陸。建議用戶要養(yǎng)成經(jīng)常修改各種重要交易密碼的習(xí)慣，并且盡量不要讓同一密碼的使用時間超過3個月。為防范可能的攻擊，建議采取如下措施:第一，網(wǎng)站服務(wù)提供商在未提供升級前，可以采用第三方網(wǎng)站安全防護平臺或?qū)Ｓ梅雷o設(shè)備保護服務(wù)器的安全。第二，網(wǎng)站服務(wù)提供商及時下載升級。如無法及時升級，可參考OpenSSL官方建議重新編譯，勾選DOPENSSL_NO_HEARTBEATS選項以禁止心跳部分的功能。第三，用戶應(yīng)當對重要登陸信息引起高度的重視。如發(fā)現(xiàn)網(wǎng)上銀行、電子郵箱等重要個人賬戶被非法登陸、篡改的情況，一定要第一時間修改密碼和個人安全信息并通知服務(wù)商。第四，加強自我防護意識?！靶呐K出血”漏洞的波及范圍非常廣泛，漏洞不僅僅存在于網(wǎng)站服務(wù)器中，部分網(wǎng)絡(luò)設(shè)備中也有潛藏的危險。用戶千萬不要瀏覽甚至登陸受漏洞影響的網(wǎng)站。當必須要登錄一些網(wǎng)站時，可以把網(wǎng)站先放到網(wǎng)絡(luò)安全服務(wù)商提供的“心臟出血”漏洞檢查，確認安全后再登錄。[9]截止目前為止，“心臟出血”漏洞是安全協(xié)議OpenSSL最嚴重的安全漏洞，很多網(wǎng)站的和服務(wù)器都受到影響，所以并不是不輸入賬號密碼就不會存在風(fēng)險，Heartbleed甚至能影響追蹤網(wǎng)站用戶活動的瀏覽器Cookie，所以在瀏覽可能有安全隱患的網(wǎng)站時，一定要十分謹慎。一些大的互聯(lián)網(wǎng)公司，如百度和360都已經(jīng)推出了相應(yīng)的預(yù)防、檢測和修復(fù)對策。二、計算機網(wǎng)絡(luò)安全漏洞的防范對策（一）利用防火墻防范防火墻能夠有效地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾可能存在危險的服務(wù)而降低風(fēng)險，所以說防火墻是目前使用最廣泛的一種保護網(wǎng)絡(luò)安全的隔離技術(shù)。它通過在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)之間制造一個保護層，將兩者分開。它能允許你“同意”的數(shù)據(jù)進入你的網(wǎng)絡(luò)，而將你“不同意”的數(shù)據(jù)擋在保護層之外，從而達到阻止攻擊者進入的目的。這種技術(shù)強制所有出入內(nèi)外網(wǎng)的數(shù)據(jù)流都必須經(jīng)過此安全系統(tǒng)。它通過監(jiān)測、限制或更改跨越防火墻的數(shù)據(jù)流，對外部網(wǎng)絡(luò)屏蔽有關(guān)受保護網(wǎng)絡(luò)的信息、結(jié)構(gòu)和運行狀況以此來對網(wǎng)絡(luò)的進行安全保護。因而防火墻實際上是一種訪問控制機制，用來保護在公共網(wǎng)絡(luò)環(huán)境下局部網(wǎng)絡(luò)的安全。[10]用戶可以按照下列原則來配置防火墻來提高網(wǎng)絡(luò)的安全性：第一，遵循簡單實用的原則。其實越是簡單的方式，越容易被人們理解和使用，其出錯率也會大大降低。第二，根據(jù)具體的應(yīng)用環(huán)境進行配置。每種計算機都會使用多種技術(shù)來保護系統(tǒng)安全，每種技術(shù)都履行著不同的職責。在配置時，應(yīng)根據(jù)實際需求，合理利用防火墻的功能，避免引起資源浪費，甚至引發(fā)新的安全問題，得不償失。第三，重視來自計算機內(nèi)部的威脅，比如可以經(jīng)常進行主機防護和漏洞掃描，樹立全面防護的觀念。（二）漏洞掃描漏洞掃描是基于漏洞數(shù)據(jù)庫，自動檢測本地或遠程計算機安全脆弱性，從而發(fā)現(xiàn)可利用漏洞的技術(shù)。它查詢TCP/IP端口，并記錄目標的響應(yīng)、收集關(guān)于某些特定項目的有用信息，如正在進行的服務(wù)，擁有這些服務(wù)的用戶是否支持匿名登錄、是否有某些網(wǎng)絡(luò)服務(wù)需要鑒別等。這項技術(shù)的具體實現(xiàn)就是安全掃描程序，在短時間內(nèi)尋找系統(tǒng)安全弱點，即使做出處理，避免攻擊行為，做到防患于未然。漏洞掃描技術(shù)的原理為：模擬實際的漏洞攻擊記錄在計算機網(wǎng)絡(luò)系統(tǒng)內(nèi)，利用探測的方式，分析計算機系統(tǒng)內(nèi)是否存在不合理的信息，以錯誤的注冊方式實行漏洞檢測。例如：在主機端口處構(gòu)建掃描路徑，發(fā)出掃描漏洞的請求，根據(jù)計算機主機的信息反饋分析安全漏洞的實質(zhì)，然后模擬漏洞攻擊對計算機網(wǎng)絡(luò)的安全漏洞進行細化檢查，有效發(fā)現(xiàn)安全漏洞。[11]目前，漏洞掃描的主要技術(shù)為DOS達到掃描緩沖的目的。漏洞掃描具有全面性的特點。既可以掃描本地計算機網(wǎng)絡(luò)系統(tǒng)內(nèi)的漏洞，也可以通過遠程控制實現(xiàn)遠程掃描。針對漏洞掃描技術(shù)，實行定期維護，以計算機網(wǎng)絡(luò)系統(tǒng)的服務(wù)器端，運行軟件為維護對象，因為此類維護對象與網(wǎng)絡(luò)環(huán)境的接觸率比較高，較容易隱含漏洞信息，部分病毒木馬或黑客攻擊，會以此類維護對象為依附路徑，引發(fā)惡意攻擊，造成文件丟失。此類維護對象位于漏洞掃描的關(guān)鍵位置，需著重掃描。（三）病毒防范眾所周知，計算機漏洞安全防范的主要對象就是病毒。病毒對安全漏洞的攻擊力非常強，計算機病毒具有依附性、多變性、隱蔽性和突發(fā)性等特點，一旦計算機網(wǎng)絡(luò)中出現(xiàn)病毒，可迅速發(fā)現(xiàn)系統(tǒng)漏洞，借助安全漏洞薄弱的防御能力，進入到系統(tǒng)內(nèi)完成系統(tǒng)干擾和破壞。[12]

我國利用多層防衛(wèi)作為病毒防范的措施：首先，在計算機上安裝病毒查殺軟件，常用病毒軟件包括金山殺毒、瑞星殺毒和360安全衛(wèi)士等，利用查殺軟件抵御病毒的入侵。同時，定期分析計算機網(wǎng)絡(luò)環(huán)境、及時修復(fù)安全漏洞、掃描網(wǎng)絡(luò)內(nèi)殘余或隱藏的病毒、保持良好的網(wǎng)絡(luò)環(huán)境。其次，構(gòu)建病毒升級庫。因為病毒并不是處于一成不變的狀態(tài)，一種病毒可以衍生出大量病毒分體，只有做好病毒庫升級工作，才能夠最大程度地發(fā)揮病毒庫的作用，從而有效防止變化病毒入侵。最后，切斷病毒入侵途徑。使用沒有病毒風(fēng)險的軟件，避免惡意插件進入計算機系統(tǒng)，為病毒筑巢，優(yōu)化網(wǎng)絡(luò)使用的安全環(huán)境，體現(xiàn)病毒防范的作用。（四）計算機安全設(shè)置1.入侵檢測系統(tǒng)入侵檢測系統(tǒng)（IDS）是一種對網(wǎng)絡(luò)安全進行實時監(jiān)視，對收集到的各種信息通過內(nèi)置的專家系統(tǒng)和入侵分析引擎進行分析，從而發(fā)現(xiàn)