以信息系统平台的安全为视角浅析“漏洞”的危

摘　要：随着世界信息技术的不断发展和人们的工作生活对网络系统的依赖性的逐渐增强，导致了信息安全威胁的增加、安全事件的频繁出现，所以信息系统平台的建设重点已经转移到安全系统的建设上来，特别是漏洞的危害。四通八达的网络带给人们生活、工作便利的同时也暗藏危害,目前各种各样的网站攻击事件层出不穷。本文首先对信息系统技术进行了研究，并介绍了操作系统的安全漏洞、数据库的安全漏洞、TCP/IP协议的安全漏洞以及网络软件与网络服务的漏洞产生的后果，最后对漏洞这一现象提出了防范的措施。

关键词：网络信息；系统漏洞；危害； 防范
      引言
　　信息系统平台的出现给我们提供了很大的方便的，但同时也带来了许多的网络安全威胁问题，这些问题一直在困扰着我们。其中最主要的问题是系统漏洞。本文以如何保证系统平台信息的安全特方面进行分析，侧重分析漏洞的特点及危害，并且提出了信息系统平台安全的具体策略。
　　1.信息系统平台漏洞的常见形式
　　1.1操作系统的安全漏洞
　　操作系统的安全漏洞涵盖很多，首先是快速用户转换漏洞，视窗系统XP快速用户转换功能存在漏洞，这就会导致信息的泄漏。其次是UPnP服务漏洞，UPnp眼下算是比较先进的技术，已包含在视窗系统XP中，黑客利用这类漏洞能取得其他PC的完全控制权，或发动DOS攻击。如果他知道某一PC的IP地址，就能通过互连网控制该PC。还有建立网络连接时，WinXP远程桌面会把用户名以明文形式发送到连接他的客户端。发送的用户名能是远端主机的用户名，也可能是客户端常用的用户名，网络上的嗅探程式可能会捕捉到这些账户信息。
　　1.2数据库的安全漏洞
　　作为一种大型的系统软件，数据库系统中也存在着各种各样的安全漏洞，其中危害性较大的有缓冲区溢出、堆溢出和 SQL 注入等。SQL注入攻击是发生于应用程序之数据库层的安全漏洞。细致说来，它是一种网页程式码的写作漏洞，此漏洞可允许一般使用者在网页上可供使用者输入内容的栏位，如讨论区、搜索框等当中，输入SQL指令码，并允许其执行，这意味着，一般使用者即可篡改资料库中的资料。未受过良好安全训练的网页应用程式开发人员，可能留下该漏洞，并受到黑客利用。SQL Injection在近年有日趋严重的趋势，因为有许多加壳（Packing）和变形技术，可让系统误以为接收的是正当讯息，而允许其执行。2007年，SQL Injection被开放Web软件安全计划(Open Web Application Security Project)选定为10大Web安全漏洞的第2位，然而SQL Injection的攻击仍旧方兴未艾；2008年，许多SQL Injection攻击搭配Google搜索引擎寻找落点，并利用自动攻击工具进行大规模攻击，造成全球超过60万个网站受害。
　　1.3TCP/IP协议的安全漏洞
　　绝大多数运行Internet的硬件设备并不会因为TCP/IP协议中的这个漏洞而易受攻击，但会导致“IP欺骗”，入侵者可以利用该漏洞进入一个站点并接管它的IP地址。一旦如此,入侵者便可以这个地址的名义散发信息。然后，入侵者便能够将目标转向其它站点,致使网站设备“崩溃、停机或出现不可预知的行为”。这种攻击手段类似于“拒绝服务(denial of service)”攻击：入侵者并不真正进入一个站点，而是通过电子邮件或网络流量轰炸来阻塞对该站点的访问。更糟糕的是，入侵者能够隐藏他的真实位置。CERT同时还提供了对这种入侵的防范办法：重新配置网站的路由器或防火墙并在路由路上安装过滤设备，以防止“IP欺骗”攻击。
　　2.信息系统平台漏洞的危害
　　针对漏洞的攻击越来越多，利用漏洞的病毒、木马技术进行网络盗窃和诈骗的网络犯罪活动呈快速上升趋势。当信息系统平台用户操作不当时，会产生漏洞，从而遭到木马的攻击。漏洞会迫使平台用户的信息泄漏，就会导致用户权限更改，造成不可预计的损失。由系统层扩展到应用层，由服务端扩展到客户端，由少数操作系统扩展到所有操作系统。由此造成的危害也越来越大，尤其是用户不易察觉的隐性攻击所造成的损失是无法衡量的。
　　3.信息系统平台漏洞的防范
　　3.1加强信息系统平台用户的防范能力
　　信息系统平台用户应该在符合国家有关信息与信息系统安全的法律和法规和满足用户及应用环境对信息系统提出的安全性要求的基础上，加强防范能力。平台用户应该增加自己的防范意识，在操作信息系统时不要随意进一些网站或者接受陌生人的邮件等，最重要的就是要保护好自己的IP，让黑客没有可乘之机。信息系统平台用户应该保证数据库的完整性、保密性。另外，为了防止攻击者借助某种手段直接进入系统访问数据而造成数据泄漏，还可对数据库进行加密，针对这些威胁采取的安全措施有存取管理技术、加密技术和防火墙技术等。
　　3.2健全网络运输环境的监管机制
　　计算机信息传输技术在办公自动化中的应用，计算机技术的蓬勃发展，给办公环境带来了一场深刻的革命，信息系统平台在传输信息的过程中应该本着“计算机信息系统，不得与公网、国际互联网直接或间接的连接”，如要相连，“必须采取物理隔离的保密防范措施”。无数信息泄漏的例子告诫我们，想要信息不被泄漏，那么健全网络运输环境的监管机制势在必行。
　　（三）提高软件开发应用的科技水平
　　想要维护信息系统平台安全，那么提高软件开发应用的科技水平也是重要方面。软件（Software）简单的说就是那些在计算机中能看的着，但摸不着的东西，概念性的说软件也称为“软设备”，广义地说软件是指系统中的程序以及开发、使用程序所需要的所有文档的集合。软件分为系统软件和应用软件。软件并不只是包括可以在计算机上运行的程序，与这些程序相关的文件一般也被认为是软件的一部分。软件被应用于世界的各个领域，对人们的生活和工作都产生了深远的影响。要提高我国的软件开发行业的发展水平，首当其冲要解决软件开发队伍的问题，其次是要学习借鉴国外完善的测试软件机制，包括丰富的软件测试经验，强大的开发工以及优秀的测试管理水平。
　　4.结束语
　　如今，我们生活在信息时代，信息系统平台的出现给我们提供了很大的方便的，但同时也带来了许多的网络安全威胁问题。漏洞是系统平台中最重要的因素，它是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。
　　信息系统的不够完善给不法分子带来了可趁之机，本文对过以信息系统平台的安全为视角浅析“漏洞”的危害及防范，，发现并具体的分析了各类漏洞的特点，从而可以有效的防范信息平台的泄漏，对以后系统维护具有参考意义。
参考文献：
[1] 李骁峰：《当前计算机系统面临的安全威胁与对策》，《计算机应用技术》，2007 年。
[2] 王磊：《计算机系统安全漏洞研究》，中国优秀硕士学位论文全文数据库，2004 年。