计算机软件漏洞与有效防范措施探讨
开篇:润墨网以专业的文秘视角,为您筛选了一篇计算机软件漏洞与有效防范措施探讨范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:软件漏洞对计算机内部的系统安全造成了严重威胁,尤其是人为利用潜在计算机内部的安全漏洞进对系统展开攻击,对系统内部造成实质性的结构功能严重影响,甚至是系统瘫痪。而本文就此,阐述了计算机软件漏洞的现状,分析了软件漏洞防范的重要作用,并提出了相关的安全防范性策略分析。
关键词:软件漏洞;安全;防范措施;信息
中图分类号:TP311.53 文献标识码:A文章编号:1007-9599 (2011) 13-0000-02
Computer Software Vulnerabilities and to Explore Effective Preventive Measures
Qian Haicheng
(Longwan Wenzhou Vocational and Technical School,Wenzhou325000,China)
Abstract:Software vulnerabilities within the computer system of a serious threat to security,especially the use of human potential into the computer's internal security system vulnerabilities to attack,within the system caused a serious impact on a substantial structure and function,or even system failures.And this article,describes the status of computer software vulnerabilities,analysis of the important role of preventing software vulnerabilities,and proposed a strategy related to security analysis.
Keywords:Software vulnerability;Security;Preventive measures;Information
一直以来,计算机软件都有它的脆弱性。由于软件开发者的一时大意或者设计不周,以及编程语言自身的约束性与其他原因等客观性因素而产生了安全漏洞,这就是软件漏洞形成过程的主要原因。正由于这样,安全补丁也就应运而生,软件安全漏洞被检测出来,软件开发者或相关技术人员通常会做些修补、修正工作,就是不断升级软件、就是人们常说的“打补丁”,来修复其存在的bug。通常情况下,黑客或者攻击者就能利用这些软件存在的缺陷,在没有授权的情形下,利用漏洞,对主机执行任意恶性代码,进行非法操作,从而对电脑造成了巨大威胁。因此,在这种形势下,人们或用户自身需要加强和提高安全防护意识、以及清楚认知漏洞的攻击原理等,才能逐步减少人为性利用漏洞攻击计算机主机系统的频次,降低恶性攻击的发生率。
一、软件漏洞的现状
多年以来,国外的知名安全公司机构厂商,如微软、CVE以及Fortify Software等组织针对于计算机软件漏洞的客观性存在了诸多公告。其中,软件开发的先导,即微软公司,其作为全球最主要的软件导向引路者、最大软件提供商,曾对用户自身经常使用的Windows操作系统了相应的安全公告,提供自身维护Windows操作系统的漏洞信息、以及相关安全补丁的下载应用程序等。同样,CVE安全组织,也曾由美国国土自身的国家网络安全机构的赞助与资助,在企业界与学术界精选一批专业人才,组成了许多科研小组,专门针对于目前的最为常见的安全漏洞与缺陷进行质量化的整理,同时根据漏洞特点进行命名,这样在CVE组织研发机构人员的努力下,我们就能利用计算机行业的先进有关技术对目前常见已知的安全漏洞与缺陷进行安全鉴别、以及实时修复等。CVE的所的常见漏洞特征,以及当前所有的三十多个漏洞库与CVE的服务条目的应用,在很大程度提升了用户或者企业、机关等机构组织使用计算机的安全能力。
而在国内,一些常见、家喻户晓的知名网络、信息公司机构组织也积极吸收丰富经验与技术,陆续创建了自身的漏洞数据库,诸如中国安全信息论坛、中国教育与计算机网(CERNET)、国家计算机应急处理中心机构等。由此可见,计算机的软件安全漏洞所引发的一系列问题,已经越来越受大家重视,各界专业人士都积极地研究,努力地对其展开相关科研工作。
近几年来,对漏洞所产生的安全技术不断持续增多,目前已经使其技术的运用方向发展为更为专业的自动化和智能化的方向去开拓,使得潜在于表象的漏洞已逐渐浮出水面,漏洞的潜在特征,不仅是针对于操作系统平台与服务器,如,多数集中在网络中常使用的Web浏览器、防范病毒的使用软件、网络游戏客户端、播放器软件以及其他信息产业产品的服务器、客户端等。另外,计算机常见漏洞的研究热点主要有:文件自身格式漏洞、Web漏洞、ActiveX控件执行漏洞、虚拟程序漏洞、驱动程序漏洞、防毒安全防护软件漏洞等。
二、计算机软件漏洞的产生
由于软件开发自身的技术水平与编程程序的执行代码等过于粗糙,引发的安全漏洞就尤为常见。目前,很多软件开发人员往往在软件编辑开发时,都相应的考虑软件的功能与普及使用程度,进而忽略了软件的安全性能,以致使后期的软件漏洞安全升级现象与使用后果都尤为严重。
伴随用户自身对计算机使用操作系统的逐步重视,使得系统结构内部的系统漏洞的升级也相应得到了一个均衡的控制。但随着计算机的网络恶意攻击行为的存在,特别是他们针对一些软件的漏洞就能逐步展开瘫痪性的恶意攻击,诸如网络浏览器、下载的文娱软件、电子档类软件、影音播放器软件等,这都能会给他们充分的利用机会。打个比方,2008年上半旬,Adobe Flash Player v9.0.115.0当期版本就存在高危漏洞,没过多久,就有攻击者利用相关技术安全漏洞,在网络上就传播了大量病毒,据有关数据统计显示,访问当期网站页面,出现大批中毒现象,其网站均被先后植入过恶意木马的中标率高达60%,而且这还是不完全统计,其可怕后果可想而知。
软件安全漏洞被人为利用实施内部系统攻击,绝对会相应系统的软件与硬件设施,这也相应包含系统安全支撑软件,如防火墙、网关、路由等。也就是说,针对于不同的软件或者使用工具,其所表现的漏洞形式也不一样,这就是大多数防毒软件进行安全漏洞升级时,所强调的漏洞安全漏洞数据库,库里有很多病毒结构特征,用以方便软件进行后台操作,隔离病毒文件、消灭等;另外,对于不同的操作平台、设备、系统结构设置、软件版本等的不同,都会存在不尽相同的安全漏洞特征,因此,这就需要研究从事人员务必加以重视。
三、基于安全需求分析的软件漏洞防范
随着越来越多的应用型软件的大量产生,其漏洞危害性也就日益加剧。目前,从事软件研究人员,其研究角度都是从漏洞的分类特征来考虑软件漏洞的实质产生原因的,但往往这样的发展形势过程都相对滞后,对于新的漏洞形式的发生,就缺乏相应实践性。也就是说,只有软件与计算机内部系统结构的兼容契合度,达到一定程度,能够隔离软件的漏洞的攻击渠道,才能针对于此,进行防范。而这时软件系统安全分析就尤为重要。
软件安全性分析是指针对于软件漏洞数据库错存在的漏洞特征、结构等进行无差别分析,它能使软件漏洞对系统功能造成的影响起到很好的调整、改进和防护作用。其具体表现主要为:第一,多数的软件漏洞在系统内部兼容表现出的形式相对来说比较隐藏,而凭借简单的扫描检测并不能一定起到效用。就如,常见的编译错误,像缓冲区出现的溢出漏洞。第二,近些年来,出现了很多新型样式的软件漏洞,只有通过全面性的特征分析,才能有效鉴别。尤其是一些客户端样式的软件,如,internet explorer上存在的某些漏洞。
软件开发过程中,由于编程程序间的内部相互作用以及漏洞安全升级产生诸多冲突等客观性原因导致的安全漏洞溢出,都使系统结构安全存在一定隐患。因此,我们对系统环境、内部对象以及系统所受影响等方面做了下对照分析:
(一)系统环境分析
对于系统环境分析,应当考虑以下几个系统结构因素:程序目录与文件、临时目录、存储空间与地质、对象属性、编程数据等。这些环境实体因素在系统环境的交互作用中,很可能导致形成系统安全隐患,漏洞溢出的引发。
(二)内部对象分析
计算机源程序代码与存储空间中的每一个元素都可当作一个内部对象。这些内部对象包括:目录文件、命令提示、系统文件、公共文件、系统逻辑盘分区、堆中的数据与可操作代码、栈中的数据与可操作代码、系统信息、系统应用程序、系统注册表、系统服务、函数、网络链接、用户名、系统设备、端口号、网络数据包、网关、地址映像等。这些任意的系统内部对象都存在着自身的安全性质需求。比如,缓冲区溢出。
(三)系统影响效果分析
系统源程序内部的相互作用导致内部对象发生改变,这些改变包括:覆盖、可读写、可追加、可创建、可显示、所有权改变、权限变更、可预测、能够动态加载和链接、被毁坏、被耗尽、被锁定、被导出、被调试、被关闭、被终止等。对于这些改变时机及其对象的反应,对系统安全都有可能造成极大的影响。
(四)环境对对象的影响方式上去分析
未授权非法攻击的相关攻击者,其通过恶意技术行为来改变系统结构环境,以达到对系统内部攻击对象的影响。鉴于此,软件开发小组科研人员,应当把研究方向重心放在攻击者对系统造成的伤害的方向去设计、考虑。比如向堆栈缓冲区拷贝数据、篡改结构变量数据、修改编码、继承或授意不必要特权、权限使用、遗漏出敏感信息、访问路径限制、读写保护机制、循环消耗信息资源等方面去具体细化考虑。
结合以上几个主要方面对软件系统进行总结性安全讨论,相关研究人员可明确出解决策略,并且此次分析,作为软件开发人员在设计上的不足与缺陷要明确认知道以下几点错误认识:第一,接口应当按照定义去实现,由于软件开发研究人员在实现接口的时候,可能会理解、了解用户的功能需求与目的,但是却相应的忽略了接口问题的有效实现,这很可能被攻击者利用到,进行恶意攻击;第二,竞争条件的处理错误;第三,开发系统和操作系统编程的方式理解不同。
四、结语
简而言之,软件漏洞的形成是软件设计与应用过程存在的缺陷所逐步形成的,而漏洞的发现往往带有滞后性,因此才给计算机内部带来了严重的安全隐患。因此,为了有效阻隔、避免这种设计性缺陷,作为相关设计实施人员,就应当掌握分析漏洞产生的先进技术。而作为用户自身,应当深刻认知软件漏洞的产生与重要性,毕竟软件的职能效用还是利大于弊的,只要我们合理使用,规范网络安全行为,是可以有效提高计算机网络安全的质量的,从而降低软件漏洞的危害性,提高系统的稳定性。
参考文献:
[1]张达聪.邹议计算机网络安全漏洞及防范措施[J].硅谷,2011,7
[2]张永铮.计算机安全弱点及其对应关键技术研究[D].哈尔滨工业大学,2006
[3]张乐君.网络信息系统可生存性技术研究[D].哈尔滨工程大学,2008
[4]淮甲刚,黄曙光,唐和平.网络化条件下漏洞信息的获取及处理方法研究[J].微型机与应用,2010,5
[5]陈文捷,姚红星.网络环境下计算机病毒新特征及其防范[J].河南科技学院学报(自然科学版),2010,1
[6]黄飞娟.计算机网络安全漏洞及防范措施研究[J].信息与电脑(理论版),2011,3
[7]王颖,李祥和.软件漏洞的分类研究[J].计算机系统应用,2008,11
[作者简介]钱海成(1976.10-),男,洞头人,职称:中学二级,计算机专业,从事计算机教学工作。