摘要:計算機網絡拓撲結構:網絡的鏈路和節點在地理上所形成的幾何結構,并用以表示網絡的整體結構外貌,同時也反映各個模塊之間的結構關系。按照通信系統的傳輸方式,計算機網絡的拓撲結構可分為點對點傳輸結構和廣播傳輸結構兩大類。計算機網絡根據通信距離可分為局域網和廣域網兩種。由管理的層次性可將經理信息系統、營銷信息系統、制造信息系統、財務信息系統、人力資源信息系統、信息資源信息系統分為兩個層次。這是一種邏輯的MIS而不是物理的MIS,也叫組織信息系統。論文發表:《計算機與網絡》雜志是學術性通信刊物。介紹國內外無線與有線通信領域和廣播電視專業等方面最新科研成果、新技術、新產品和新動態,交流國內生產、科研和使用部門的經驗。《計算機與網絡》力圖從應用層次談專業,從人文角度談技術,以客觀的態度,獨特的視角,生動的方式,將重要實用的知識、信息、技能、經驗及時奉獻給讀者。
關鍵詞:網絡信息系統,網絡安全,計算機與網絡
網絡信息系統它是一門新興的科學,其主要任務是最大限度的利用現代計算機及網絡通訊技術加強企業的信息管理,通過對企業擁有的人力、物力、財力、設備、技術等資源的調查了解,建立正確的數據,加工處理并編制成各種信息資料及時提供給管理人員,以便進行正確的決策,不斷提高企業的管理水平和經濟效益。企業的計算機網絡已成為企業進行技術改造及提高企業管理水平的重要手段。
信息與網絡涉及到國家的政治、軍事、文化等諸多領域,其中有很多是國家敏感信息和國家機密,所以難免會吸引來自世界各地的各種網絡黑客的人為攻擊(例如,信息竊取、信息泄漏、數據刪除和篡改、計算機病毒等)。本文圍繞著網絡信息系統的漏洞進行初步的研究和討論。
1.網絡信息系統
管理信息系統,就是我們常說的MIS(Management Information System),在強調管理、強調信息的現代社會中越來越普及[1]。所謂網絡信息系統,是在網絡環境下利用網絡操作系統和網絡應用軟件將各種硬件設備連在一起,具有信息采集,儲存,傳輸,處理,輸出等功能的計算機信息系統。
2.各類漏洞的研究與分析
2.1 網絡信息系統軟件安全漏洞
一個計算機網絡軟件安全漏洞有它多方面的屬性,我認為可以大致分成以下幾類,事實上一個系統漏洞對安全造成的威脅遠不限于它的直接可能性,如果攻擊者獲得了對系統的一般用戶訪問權限,他就極有可能再通過利用本地漏洞把自己升級為管理員權限:
2.1.1遠程管理員權限
攻擊者無須一個賬號登錄到本地直接獲得遠程系統的管理員權限,通常通過攻擊以root身份執行的有缺陷的系統守護進程來完成。漏洞的絕大部分來源于緩沖區溢出,少部分來自守護進程本身的邏輯缺陷。
2.1.2本地管理員權限
攻擊者在已有一個本地賬號能夠登錄到系統的情況下,通過攻擊本地某些有缺陷的sued程序,競爭條件等手段,得到系統的管理員權限。如:在windows2000下,攻擊者就有機會讓網絡DDE(一種在不同的Windows機器上的應用程序之間動態共享數據的技術)代理在本地系統用戶的安全上下文中執行其指定的代碼,從而提升權限并完全控制本地機器。
2.1.3普通用戶訪問權限
攻擊者利用服務器的漏洞,取得系統的普通用戶存取權限,對UNIX類系統通常是shell訪問權限,對Windows系統通常是cmd.exe的訪問權限,能夠以一般用戶的身份執行程序,存取文件。攻擊者通常攻擊以非root身份運行的守護進程,有缺陷的chi程序等手段獲得這種訪問權限。
2.1.4權限提升
攻擊者在本地通過攻擊某些有缺陷的sgid程序,把自己的權限提升到某個非root用戶的水平。獲得管理員權限可以看作是一種特殊的權限提升,只是因為威脅的大小不同而把它獨立出來。
2.1.5讀取受限文件
攻擊者通過利用某些漏洞,讀取系統中他應該沒有權限的文件,這些文件通常是安全相關的。這些漏洞的存在可能是文件設置權限不正確,或者是特權進程對文件的不正確處理和意外dump core使受限文件的一部份dump到了core文件中。
2.1.6遠程拒絕服務
攻擊者利用這類漏洞,無須登錄即可對系統發起拒絕服務攻擊,使系統或相關的應用程序崩潰或失去響應能力。這類漏洞通常是系統本身或其守護進程有缺陷或設置不正確造成的。如Windows2000帶的Net meeting3.01存在缺陷,通過向它發送二進制數據流,可以使服務器的CPU占用達到100%。
2.1.7本地拒絕服務
在攻擊者登錄到系統后,利用這類漏洞,可以使系統本身或應用程序崩潰。這種漏洞主要因為是程序對意外情況的處理失誤,如寫臨時文件之前不檢查文件是否存在,盲目跟隨鏈接等。 論文
2.1.8遠程非授權文件存取
利用這類漏洞,攻擊可以不經授權地從遠程存取系統的某些文件。這類漏洞主要是由一些有缺陷的cgi程序引起的,它們對用戶輸入沒有做適當的合法性檢查,使攻擊者通過構造特別的輸入獲得對文件存取。如Windows IE存在諸多漏洞允許惡意的web頁面讀取瀏覽用戶的本地的文件。
2.1.9口令恢復
因為采用了很弱的口令加密方式,使攻擊者可以很容易的分析出口令的加密方法,從而使攻擊者通過某種方法得到密碼后還原出明文來。
2.1.10欺騙
利用這類漏洞,攻擊者可以對目標系統實施某種形式的欺騙。這通常是由于系統的實現上存在某些缺陷。
2.2硬件的缺陷和漏洞
上一節是網絡系統軟件方面的漏洞分類與部分示例,然而硬件設施的存在也引出了硬件方面的缺陷。
內存空間之間沒有保護機制,即使簡單的界限寄存器也沒有,也沒有只可供操作系統使用的監控程序或特權指令,任何人都可以編制程序訪問內存的任何區域,甚至連系統工作區(如系統的中斷向量區)也可以修改,用戶的數據區得不到硬件提供的安全保障。
計算機的外部設備是不受操作系統安全控制的,任何人都可以利用系統提供的輸出命令打印文件內容,輸出設備是最容易造成信息泄漏或被竊取的地方。計算機電磁泄漏是一種很嚴重的信息泄漏途徑。
計算機的中央處理器中常常還包括許多未公布的指令代碼,這些指令常常被廠家用于系統的內部診斷或可能被作為探視系統內部的信息的“陷門”,有的甚至可能被作為破壞整個系統運轉的“炸彈”。
計算機硬件故障也會對計算機中的信息造成威脅,硬件故障常常會使正常的信息流中斷,這將造成歷史信息的永久丟失。
3.結論
認清網絡的脆弱性和潛在威脅,采取強有力的安全策略,對于保障網絡的安全性將變得十分重要。同時,計算機網絡技術目前正處于蓬勃發展的階段,新技術層出不窮,其中也不可避免的存在一些漏洞,因此,進行網絡防范要不斷追蹤新技術的應用情況,及時升級、完善自身的防御措施。
