論計(jì)算機(jī)系統(tǒng)漏洞及對(duì)策畢業(yè)論文_第1頁(yè)
已閱讀1頁(yè),還剩6頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、<p>  論計(jì)算機(jī)系統(tǒng)漏洞及對(duì)策</p><p><b>  目錄</b></p><p>  一.論文摘要………………………………………………………………(3)</p><p>  二.論文關(guān)鍵詞……………………………………………………………(3)</p><p>  1.什么是漏洞………………………………

2、……………………………(3)</p><p>  2.漏洞對(duì)計(jì)算機(jī)系統(tǒng)的影響……………………………………………(4)</p><p>  3.漏洞如何產(chǎn)生的………………………………………………………(6)</p><p>  4.如何解決漏洞問(wèn)題……………………………………………………(7)</p><p>  三.結(jié)論:…………………………

3、………………………………………(7)</p><p>  四.致謝:…………………………………………………………………(7)</p><p>  五.參考文獻(xiàn):……………………………………………………………(7)</p><p>  論計(jì)算機(jī)系統(tǒng)漏洞及對(duì)策</p><p><b>  【論文摘要】</b></p&g

4、t;<p>  從計(jì)算機(jī)系統(tǒng)安全運(yùn)行方面分析了計(jì)算機(jī)漏洞產(chǎn)生的原因,討論了漏洞對(duì)互聯(lián)網(wǎng)安全產(chǎn)生了多方面嚴(yán)重危害,提出了計(jì)算機(jī)用戶面必須及時(shí)采取措施來(lái)解決和防范系統(tǒng)漏洞。 </p><p><b>  【論文關(guān)鍵詞】</b></p><p>  計(jì)算機(jī)系統(tǒng);漏洞;程序邏輯結(jié)構(gòu)設(shè)計(jì);</p><p><b>  定義:<

5、;/b></p><p>  第三方軟件在科技日益快速發(fā)展的今天,計(jì)算機(jī)作為高科技工具得到廣泛的應(yīng)用。從控制高科技航天器的運(yùn)行到個(gè)人日常辦公事務(wù)處理,從國(guó)家安全機(jī)密信息管理到金融電子商務(wù)辦理,計(jì)算機(jī)系統(tǒng)都在擔(dān)任主要角色發(fā)揮其重要作用。因此,計(jì)算機(jī)系統(tǒng)的安全穩(wěn)定是我們必須提前考慮的問(wèn)題。 </p><p>  目前來(lái)看,對(duì)計(jì)算機(jī)系統(tǒng)安全威脅最大的就是本身的漏洞。只要漏洞存在,黑客才有機(jī)

6、會(huì)入侵我們的計(jì)算機(jī)系統(tǒng),據(jù)統(tǒng)計(jì)證明。99%的黑客攻擊事件都是利用計(jì)算機(jī)未修補(bǔ)的系統(tǒng)漏洞與錯(cuò)誤的系統(tǒng)設(shè)定而引起的,當(dāng)黑客探測(cè)到系統(tǒng)漏洞后,隨之而來(lái)的是病毒傳播,信息泄露,速度緩慢,乃至整個(gè)計(jì)算機(jī)系統(tǒng)癱瘓崩潰,那么到底什么是漏洞呢? </p><p><b>  1.什么是漏洞</b></p><p>  漏洞也叫脆弱性(Vulnerability),是計(jì)算機(jī)系統(tǒng)在硬件、

7、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷和不足。漏洞一旦被發(fā)現(xiàn),就可使用這個(gè)漏洞獲得計(jì)算機(jī)系統(tǒng)的額外權(quán)限,使攻擊者能夠在未授權(quán)的情況下訪問(wèn)或破壞系統(tǒng),從而導(dǎo)致危害計(jì)算機(jī)系統(tǒng)安全。 </p><p>  從概念上理解計(jì)算機(jī)系統(tǒng)漏洞只是文字意義,現(xiàn)在舉個(gè)現(xiàn)實(shí)中的實(shí)例讓你更能透徹理解到底什么是計(jì)算機(jī)系統(tǒng)漏洞。 </p><p>  如今用電子商務(wù)支付是非常方便快捷的交易方式,很多人都開(kāi)通了

8、網(wǎng)上銀行坐在家里通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)可以進(jìn)行各項(xiàng)業(yè)務(wù)的辦理。如果一個(gè)人在使用網(wǎng)上銀行交易的過(guò)程中,如果計(jì)算機(jī)本身安全系統(tǒng)不健全,這時(shí)黑客就可以通過(guò)您的計(jì)算機(jī)系統(tǒng)漏洞把病毒植入計(jì)算機(jī)中竊取您銀行卡的賬號(hào)和密碼,那么存款在瞬間就會(huì)被黑客轉(zhuǎn)走,您的存款無(wú)形中已被竊走。發(fā)生的這一切都是黑客通過(guò)網(wǎng)絡(luò)系統(tǒng)遠(yuǎn)程在操作。有了系統(tǒng)漏洞無(wú)疑計(jì)算機(jī)系統(tǒng)安全就得不到保障。 </p><p>  2.漏洞對(duì)計(jì)算機(jī)系統(tǒng)的影響</p>

9、<p>  從計(jì)算機(jī)系統(tǒng)軟件編寫(xiě)完成開(kāi)始運(yùn)行的那刻起,計(jì)算機(jī)系統(tǒng)漏洞也就伴隨著就產(chǎn)生了。計(jì)算機(jī)系統(tǒng)軟件分為操作系統(tǒng)軟件和應(yīng)用系統(tǒng)軟件,因此相對(duì)應(yīng)也就有系統(tǒng)軟件漏洞和應(yīng)用系統(tǒng)軟件漏洞。下面分別對(duì)這兩種漏洞對(duì)計(jì)算機(jī)系統(tǒng)的影響進(jìn)行。首先分析一下系統(tǒng)軟件漏洞對(duì)計(jì)算機(jī)系統(tǒng)的影響。主要是對(duì)windows操作系統(tǒng)常見(jiàn)的若干漏洞分析。 </p><p>  (1)UPNP服務(wù)漏洞。此漏洞允許攻擊者執(zhí)行任意指令。Win

10、dows操作系統(tǒng)默認(rèn)啟動(dòng)的UPNP服務(wù)存在嚴(yán)重漏洞。UPNP(Universal Plug and Play)體系面向無(wú)線設(shè)備、PC機(jī)和智能應(yīng)用,提供普遍的對(duì)等網(wǎng)絡(luò)連接,在家用信息設(shè)備、辦公用間提供TCP/IP連接和Web訪問(wèn)功能,該服務(wù)可用于檢測(cè)和集成UPNP硬件。UPNP存在漏洞,使攻擊者可非法獲取任何XP的系統(tǒng)級(jí)訪問(wèn)、進(jìn)行攻擊,還可通過(guò)控制多臺(tái)XP機(jī)器發(fā)起分布式的攻擊。 </p><p>  (2)幫助和支

11、持中心漏洞。此漏洞可以刪除用戶系統(tǒng)的文件。幫助和支持中心提供集成工具,用戶通過(guò)該工具獲取針對(duì)各種主題的幫助和支持。在目前版本的Windows XP幫助和支持中心存在漏洞,該漏洞使攻擊者可跳過(guò)特殊的網(wǎng)頁(yè)(在打開(kāi)該網(wǎng)頁(yè)時(shí),調(diào)用錯(cuò)誤的函數(shù),并將存在的文件或文件夾的名字作為參數(shù)傳送)來(lái)使上傳文件或文件夾的操作失敗,隨后該網(wǎng)頁(yè)可在網(wǎng)站上公布,以攻擊訪問(wèn)該網(wǎng)站的用戶或被作為郵件傳播來(lái)攻擊。該漏洞除使攻擊者可刪除文件外,不會(huì)賦予其他權(quán)利,攻擊者既無(wú)法

12、獲取系統(tǒng)管理員的權(quán)限,也無(wú)法讀取或修改文件。 </p><p>  (3)RDP信息泄露并拒絕服務(wù)漏洞。Windows操作系統(tǒng)通過(guò)RDP(Remote Data Protocol)為客戶端提供遠(yuǎn)程終端會(huì)話。RDP將終端會(huì)話的相關(guān)硬件信息傳送至遠(yuǎn)程客戶端,其漏洞如下所述:①與某些RDP版本的會(huì)話加密實(shí)現(xiàn)有關(guān)的漏洞。所有RDP實(shí)現(xiàn)均允許對(duì)RDP會(huì)話中的數(shù)據(jù)進(jìn)行加密,然而在Windows 2000和Windows XP

13、版本中,純文本會(huì)話數(shù)據(jù)的校驗(yàn)在發(fā)送前并未經(jīng)過(guò)加密,竊聽(tīng)并記錄RDP會(huì)話的攻擊者可對(duì)該校驗(yàn)密碼分析攻擊并覆蓋該會(huì)話傳輸。②與Windwos XP中的RDP實(shí)現(xiàn)對(duì)某些不正確的數(shù)據(jù)包處理方法有關(guān)的漏洞。當(dāng)接收這些數(shù)據(jù)包時(shí),遠(yuǎn)程桌面服務(wù)將會(huì)失效,同時(shí)也會(huì)導(dǎo)致操作系統(tǒng)失效。攻擊者只需向一個(gè)已受影響的系統(tǒng)發(fā)送這類數(shù)據(jù)包時(shí),并不需經(jīng)過(guò)系統(tǒng)驗(yàn)證。 </p><p>  (4)VM漏洞。此漏洞可能造成信息泄露,并執(zhí)行攻擊者的代碼。

14、攻擊者可通過(guò)向JDBC類傳送無(wú)效的參數(shù)使宿主應(yīng)用程序崩潰,攻擊者需在網(wǎng)站上擁有惡意的applet并引誘用戶訪問(wèn)該站點(diǎn)。惡意用戶可在用戶機(jī)器上安裝任意DLL,并執(zhí)行任意的本機(jī)代碼,潛在地破壞或讀取內(nèi)存數(shù)據(jù)。 </p><p>  (5)帳號(hào)快速切換漏洞。Windows操作系統(tǒng)快速帳號(hào)切換功能存在問(wèn)題,可被造成帳號(hào)鎖定,使所有非管理員帳號(hào)均無(wú)法登錄。Windows操作系統(tǒng)設(shè)計(jì)了帳號(hào)快速切換功能,使用戶可快速地在不同的

15、帳號(hào)間切換,但其設(shè)計(jì)存在問(wèn)題,可被用于造成帳號(hào)鎖定,使所有非管理員帳號(hào)均無(wú)法登錄。配合帳號(hào)鎖定功能,用戶可利用帳號(hào)快速切換功能,快速重試登錄另一個(gè)用戶名,系統(tǒng)則會(huì)認(rèn)為判別為暴力破解,從而導(dǎo)致非管理員帳號(hào)鎖定。 </p><p>  其次分析應(yīng)用軟件漏洞對(duì)計(jì)算機(jī)系統(tǒng)的影響。除了操作系統(tǒng)軟件外所有運(yùn)行在計(jì)算機(jī)上的軟件都是應(yīng)用軟件,如Microsoft Office word,excel辦公軟件,Windows Med

16、ia Player,Adobe flash,Acrobat,瑞星和金山殺毒軟件等等,這些軟件上也存在軟件漏洞。 </p><p> ?、賅indows Word智能標(biāo)簽無(wú)效長(zhǎng)度處理內(nèi)存破壞漏洞。Word沒(méi)有正確地處理文檔中的無(wú)效智能標(biāo)簽長(zhǎng)度值,如果用戶打開(kāi)了帶有畸形記錄值的特制Word文件,就可能觸發(fā)內(nèi)存破壞。成功利用此漏洞的攻擊者可以完全控制受影響的系統(tǒng)。攻擊者可隨后安裝程序;查看、更改或刪除數(shù)據(jù)I或者創(chuàng)建擁有

17、完全用戶權(quán)限的新帳戶。 </p><p>  ②Windows Messenger是Windows操作系統(tǒng)中默認(rèn)捆綁的即時(shí)聊天工具。在安裝Windows XP的時(shí)候會(huì)自動(dòng)安裝舊版本的MSN Messenger,這個(gè)版本打開(kāi)MSN API運(yùn)行ActiveX控件Messenger。UIAutomation。1并標(biāo)記為safe。對(duì)這個(gè)控件執(zhí)行腳本操作可能導(dǎo)致以登錄用戶的環(huán)境泄露信息。攻擊者可以在登錄用戶不知情的情況下更

18、改狀態(tài)、獲取聯(lián)系人信息以及啟動(dòng)音頻和視頻聊天會(huì)話,還可以捕獲用戶的登錄ID并以該用戶的身份遠(yuǎn)程登錄用戶的Mes-senger客戶端。 </p><p> ?、跰icrosoft Excel COUNTRY記錄內(nèi)存破壞漏洞Excel是Microsoft Office辦公軟件套件中的電子表格工具。Excel沒(méi)有正確地處理BIFF文件格式,在處理文件中的畸形Country(Ox8c)記錄時(shí)可能會(huì)觸發(fā)內(nèi)存破壞,導(dǎo)致以當(dāng)前

19、登錄用戶的權(quán)限執(zhí)行任意指令。 </p><p> ?、躓indows Media Player漏洞。此漏洞可能導(dǎo)致用戶信息的泄漏;腳本調(diào)用;緩存路徑泄漏。Windows Media Player漏洞主要產(chǎn)生兩個(gè)問(wèn)題:一是信息泄漏漏洞,它給攻擊者提供了一種可在用戶系統(tǒng)上運(yùn)行代碼的方法,微軟對(duì)其定義的嚴(yán)重級(jí)別為“嚴(yán)重”。二是腳本執(zhí)行漏洞,當(dāng)用戶選擇播放一個(gè)特殊的媒體文件,接著又瀏覽一個(gè)特殊建造的網(wǎng)頁(yè)后。攻擊者就可利用

20、該漏洞運(yùn)行腳本。由于該漏洞有特別的時(shí)序要求,因此利用該漏洞進(jìn)行攻擊相對(duì)就比較困難,它的嚴(yán)重級(jí)別也就比較低。 </p><p> ?、莅踩浖灿新┒?。我們不要認(rèn)為殺毒軟件是最安全的應(yīng)用軟件,它在防護(hù)計(jì)算機(jī)系統(tǒng)免遭病毒侵害的同時(shí),由于軟件自身不可避免的缺陷同樣也會(huì)它自身也有漏洞存在。當(dāng)殺毒軟件被病毒控制后,對(duì)計(jì)算機(jī)系統(tǒng)的安全是最大的危害。 </p><p><b>  3.漏洞如何

21、產(chǎn)生的</b></p><p>  計(jì)算機(jī)系統(tǒng)漏洞的產(chǎn)生大致有三個(gè)原因,具體如下所述: </p><p>  (1)程序邏輯結(jié)構(gòu)設(shè)計(jì)不合理,不嚴(yán)謹(jǐn)。編程人員在設(shè)計(jì)程序時(shí)程序,對(duì)程序邏輯結(jié)構(gòu)設(shè)計(jì)不合理,不嚴(yán)謹(jǐn),因此產(chǎn)生一處或多處漏洞,這些漏洞為病毒的入侵提供了人口。次漏洞最典型的要數(shù)微軟的Windows 2000用戶登錄的中文輸入法漏洞。非授權(quán)人員可以通過(guò)登錄界面的輸入法的幫助文

22、件繞過(guò)Windows的用戶名和密碼驗(yàn)證而取的計(jì)算機(jī)的最高權(quán)限。還有Winrar的自解壓功能,程序設(shè)計(jì)者的本意是為了方便用戶的使用,使得沒(méi)有安裝Winrar的用戶也可以解壓經(jīng)過(guò)這種方式壓縮的文件。但是這種功能被黑客用到了不正當(dāng)?shù)挠猛旧稀?</p><p>  (2)除了程序邏輯結(jié)構(gòu)設(shè)計(jì)漏洞之外,程序設(shè)計(jì)錯(cuò)誤漏洞也是一個(gè)重要因素。受編程人員的能力、經(jīng)驗(yàn)和當(dāng)時(shí)安全技術(shù)所限,在程序中難免會(huì)有不足之處,輕則影響程序效率,重

23、則導(dǎo)致非授權(quán)用戶的權(quán)限提升。這種類型的漏洞最典型的是緩沖區(qū)溢出漏洞,它也是被黑客利用得最多的一種類型的漏洞。緩沖區(qū)是內(nèi)存中存放數(shù)據(jù)的地方。在程序試圖將數(shù)據(jù)放到及其內(nèi)存中的某一個(gè)未知的時(shí)候,因?yàn)闆](méi)有足夠的空間就會(huì)發(fā)生緩沖區(qū)溢出。緩沖區(qū)溢出可以分為人為溢出和非人為溢出。人為的溢出是有一定企圖的,攻擊者寫(xiě)一個(gè)超過(guò)緩沖區(qū)長(zhǎng)度的字符串,植入到緩沖區(qū)這時(shí)可能會(huì)出現(xiàn)兩種結(jié)果:一是過(guò)長(zhǎng)的字符串覆蓋了相鄰的存儲(chǔ)單元,引起程序運(yùn)行失敗,嚴(yán)重的可導(dǎo)致系統(tǒng)崩潰

24、;另一個(gè)結(jié)果就是利用這種漏洞可以執(zhí)行任意指令,甚至可以取得系統(tǒng)root特級(jí)權(quán)限。 </p><p>  (3)由于目前硬件無(wú)法解決特定的問(wèn)題,使編程人員只得通過(guò)軟件設(shè)計(jì)來(lái)表現(xiàn)出硬件功能而產(chǎn)生的漏洞。 </p><p>  4.如何解決漏洞問(wèn)題</p><p>  一種系統(tǒng)從發(fā)布到用戶的使用,系統(tǒng)中的設(shè)計(jì)缺陷會(huì)逐漸浮現(xiàn)出來(lái)軟件開(kāi)發(fā)者為了讓計(jì)算機(jī)系統(tǒng)運(yùn)行更穩(wěn)定、更安全,

25、必須及時(shí)的對(duì)計(jì)算機(jī)系統(tǒng)的漏洞做出補(bǔ)救措施。 </p><p>  一旦發(fā)現(xiàn)新的系統(tǒng)漏洞,一些系統(tǒng)官方網(wǎng)站會(huì)及時(shí)發(fā)布新的補(bǔ)丁程序,但是有的補(bǔ)丁程序要求正版認(rèn)證(例如微軟的Windows操作系統(tǒng)),這讓許多非版權(quán)用戶很是苦惱,這時(shí)可以通過(guò)第三方軟件(所謂第三方軟件,通俗講既非系統(tǒng)本身自帶的軟件(含操作系統(tǒng)本身和自帶的應(yīng)用程序),其他包含應(yīng)用類軟件均可稱為第三方軟件)如:系統(tǒng)優(yōu)化大師(Windows優(yōu)化大師),360度

26、安全衛(wèi)士,瑞星殺毒軟件,金山殺毒軟件,迅雷軟件助手等軟件掃描系統(tǒng)漏洞并自動(dòng)安裝補(bǔ)丁程序。 </p><p><b>  結(jié)論:</b></p><p>  總之,在互聯(lián)網(wǎng)信息發(fā)達(dá)的年代,每一臺(tái)運(yùn)行的計(jì)算機(jī)背后總有計(jì)算機(jī)系統(tǒng)漏洞時(shí)時(shí)刻刻在威脅著計(jì)算機(jī)系統(tǒng)的安全運(yùn)行。作為一名網(wǎng)絡(luò)用戶,當(dāng)在你瀏覽網(wǎng)頁(yè),觀看視頻、圖片及傳送文件資料的同時(shí)一定要把計(jì)算機(jī)系統(tǒng)的安全因素提前考慮:

27、安裝殺毒軟件,更新病毒庫(kù),系統(tǒng)漏洞掃描,及時(shí)安裝補(bǔ)丁軟件等等,查漏補(bǔ)缺,防患未然。</p><p><b>  致謝:</b></p><p>  在此論文撰寫(xiě)過(guò)程中,要特別感謝我的導(dǎo)師老師的指導(dǎo)與督促,同時(shí)感謝她的諒解與包容。沒(méi)有老師的幫助也就沒(méi)有今天的這篇論文。求學(xué)歷程是艱苦的,但又是快樂(lè)的。感謝我的班主任老師,謝謝他在這四年中為我們?nèi)嗨龅囊磺?,他不求回?bào),無(wú)

28、私奉獻(xiàn)的精神很讓我感動(dòng),再次向他表示由衷的感謝。在這四年的學(xué)期中結(jié)識(shí)的各位生活和學(xué)習(xí)上的摯友讓我得到了人生最大的一筆財(cái)富。在此,也對(duì)他們表示衷心感謝。</p><p><b>  參考文獻(xiàn):</b></p><p>  [1]袁鵬飛.Intranet網(wǎng)絡(luò)建設(shè)與應(yīng)用開(kāi)發(fā)[M].北京:人民郵電出版社. </p><p>  [2]黃光奇.CGI編程

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論