第一篇：IPv6威脅與零日漏洞的分析研究

IPv6威脅與零日漏洞的分析研究

許麗娟

雷渭侶

(廣東工業(yè)大學華立學院,計算機與藝術(shù)設(shè)計學部,廣東,廣州,511325)摘要：本文在簡要介紹對網(wǎng)絡(luò)安全威脅的計算機木馬、計算機蠕蟲、垃圾郵件、僵尸網(wǎng)絡(luò)、網(wǎng)絡(luò)監(jiān)聽等的基本概念的基礎(chǔ)上，重點對IPv6的安全威脅、零日漏洞的產(chǎn)生原因及其防范措施進行分析研究。關(guān)鍵詞：IPv6安全威脅；零日漏洞；網(wǎng)絡(luò)安全威脅；垃圾郵件；僵尸網(wǎng)絡(luò)；網(wǎng)絡(luò)監(jiān)聽

The analysis of IP v6 Threats and Zero-day Vulnerability

XU Li-juan

LEI Wei-lu(Huali College, Guangdong University of Technology, Guangzhou, 511325)[Abstract] This paper covers a brief introduction to network security threats to computer Trojan Horse, Computer Worms, Spam, Botnets, Network Monitoring, etc.Based on the basic concept of the IPv6 Security Threats, Zero-day Vulnerability causes and preventive measures are the focus of this study.[Keywords]

IPv6 Security Threats;Zero-day Vulnerability;Network Security Threats;Spam;Botnets;Network Monitoring

1.引言

網(wǎng)絡(luò)安全威脅是導致網(wǎng)絡(luò)安全問題的根源和表現(xiàn)形式，也是網(wǎng)絡(luò)安全的重要內(nèi)容。這些安全威脅主要包括計算機木馬、計算機蠕蟲、垃圾郵件、僵尸網(wǎng)絡(luò)、網(wǎng)絡(luò)監(jiān)聽，以及來自IPv6的威脅和零日漏洞等。在這里優(yōu)先簡單介紹計算機木馬、計算機蠕蟲、垃圾郵件、僵尸網(wǎng)絡(luò)的基本概念，然后重點討論IPv6威脅和零日漏洞。1.1計算機木馬

計算機木馬，簡稱木馬，名稱源于古希臘神話的特洛伊木馬論。木馬在實質(zhì)上只是一個網(wǎng)絡(luò)客戶服務(wù)程序，是一種基于遠程控制的黑客工具，一般有如下特征：（1）不需要服務(wù)端用戶的允許就能獲得系統(tǒng)的使用；（2）程序體積十分細小，執(zhí)行時不會占太多資源；

（3）執(zhí)行時很難停止它的活動，執(zhí)行時不會在系統(tǒng)中顯示出來；

（4）一次啟動后就會自動登錄在系統(tǒng)的啟動區(qū)，在每次系統(tǒng)的啟動中都能自動運行；（5）一次執(zhí)行后會自動更換文件名，使之難以發(fā)現(xiàn)；（6）一次執(zhí)行后會自動復制到其它文件夾中；（7）實現(xiàn)服務(wù)端用戶無法顯示執(zhí)行的動作。

木馬通常由服務(wù)端和客戶端組成。如圖1所示，描述了木馬對服務(wù)端的侵襲過程。木馬發(fā)展到今天，已經(jīng)無所不用及其，一旦被木馬控制，你的計算機就毫無秘密可言。隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展，木馬技術(shù)也是呈現(xiàn)不斷改進的趨勢。

植入客戶端連續(xù)請求響應(yīng)安裝、隱蔽打開端口監(jiān)聽服務(wù)器客戶端遠程控制服務(wù)器客戶端監(jiān)聽、文件操作系統(tǒng)操縱服務(wù)器圖1 木馬對服務(wù)端的侵襲過程

1.2計算機蠕蟲

計算機蠕蟲，簡稱蠕蟲，是一種通過網(wǎng)絡(luò)惡意傳播的代碼。它具有病毒的一些特點：如傳播性、穩(wěn)定性和破壞性等，同時具有自己的一些特征：例如，不利用文件寄生，可主動傳播等。在產(chǎn)生的破壞性上，蠕蟲也不是普通病毒所能比擬的，網(wǎng)絡(luò)的發(fā)展使蠕蟲可以在很短的時間內(nèi)蔓延整個網(wǎng)絡(luò)，傳播速度往往比傳統(tǒng)病毒迅速的多。

從蠕蟲的組成原理看，它包括三個模塊，分別是掃描模塊、感染模塊和執(zhí)行模塊，如圖2所示。

發(fā)動新一輪的掃描掃描模塊破壞系統(tǒng)開啟后門選取存在漏洞的主機代理攻擊其他功能感染模塊執(zhí)行功能模塊按設(shè)計目標執(zhí)行功能

在蠕蟲傳播的過程中，不同模塊負責完成各自模塊相對應(yīng)的環(huán)節(jié)的功能。

圖2 計算機蠕蟲組成（1）掃描：由蠕蟲的掃描模塊負責探測目標主機。掃描模塊利用對方主機的漏洞郵件或即時傳播方式得到一個可傳播的對象。

（2）感染：感染模塊按照上述步驟（1）中找到的對象，并感染此計算機。

（3）功能執(zhí)行：感染后執(zhí)行蠕蟲設(shè)計者預定義的功能。例如，破壞系統(tǒng)、開啟后門、將此計算機作為代理進一步攻擊等。

之后，蠕蟲再次利用掃描模塊進行更大范圍的傳播。掃描和感染模塊實現(xiàn)的實際上是自動入侵的功能。所以蠕蟲的傳播技術(shù)是蠕蟲的關(guān)鍵，脫離了蠕蟲的傳播，它就成為一個普通的病毒或木馬等惡意的代碼了。

蠕蟲的傳播速度是指數(shù)級的，一旦一臺計算機感染了蠕蟲之后，它就會按照一定的策略傳播其自身。如果是向相鄰計算機進行傳播，那么網(wǎng)絡(luò)中大量的主機很快就會被蠕蟲感染。而這些已經(jīng)被感染的主機往往會不斷的尋找新的感染目標，進而達到大規(guī)模消耗網(wǎng)絡(luò)資源的目的。

1.3 垃圾郵件（1）垃圾郵件的定義

中國互聯(lián)網(wǎng)協(xié)會對垃圾郵件的定義是：

① 收件事先沒有提出要求或者同意接受的廣告、電子刊物、各種形式的宣傳物品等宣傳性的郵件； ② 收件人無法拒收的電子郵件；

③ 隱藏發(fā)件人身份、地址、標題等信息的電子郵件；

④ 含有虛假的信息源、發(fā)件人、路由等信息的電子郵件，具體表現(xiàn)為：商業(yè)廣告、政治言論、蠕蟲病毒郵件和惡意郵件。（2）垃圾郵件產(chǎn)生的原因

最早利用互聯(lián)網(wǎng)賺錢的，既不是網(wǎng)上零售，也不是網(wǎng)上拍賣和網(wǎng)絡(luò)廣告，或是什么著名的網(wǎng)絡(luò)公司，而是兩名律師。1994年4月12日，美國亞利桑那州兩位從事移民簽證咨詢服務(wù)的律師勞倫斯.坎特(Laurence Canter)和瑪撒.西格爾(Martha Siegel)把一封“綠卡抽獎”的廣告信發(fā)到他們可以發(fā)現(xiàn)的每個新聞組，這在當時引起了軒然大波，他們的“郵件炸彈”讓許多服務(wù)商的服務(wù)處于癱瘓狀態(tài)。此后，諸如此類的郵件接踵在互聯(lián)網(wǎng)上出現(xiàn)，成為垃圾郵件。（3）導致垃圾郵件源源不斷地產(chǎn)生的因素

① 技術(shù)缺陷?，F(xiàn)有的郵件傳輸協(xié)議SMTP（Simple Mail Transfer Protocol），由1982年定義的RFC821和2001年提出的RFC2821組成。提出RFC821時，由于互聯(lián)網(wǎng)的用戶還很少，沒有考慮到會有人濫用電子郵件服務(wù)的問題。而SMTP本身是簡化的郵件服務(wù)協(xié)議，缺乏必要的身份認證，這是造成垃圾郵件泛濫的原因之一。

② 缺乏相關(guān)的法律約束。目前僅有幾個國家，例如，美國、澳大利亞等通過立法來制止垃圾郵件，執(zhí)行效果尚不理想。而大多數(shù)國家還未建立相關(guān)法律，發(fā)送垃圾郵件的行為目前不會受到任何的法律追究。

③ 利益誘惑。巨大的商業(yè)利益更刺激了垃圾郵件的泛濫，越來越多的企業(yè)及個人選擇垃圾郵件來獲得高回報率。1.4 僵尸網(wǎng)絡(luò)

（1）什么叫僵尸網(wǎng)絡(luò)。接入互聯(lián)網(wǎng)的計算機被病毒感染后，受控于黑客，可以隨時按照黑客的指令展開拒絕服務(wù)DoS(Denial of Service)攻擊或發(fā)送垃圾信息，而用戶卻毫不知情，就仿佛沒有自主意識的僵尸一樣。這樣的計算機達到一定的數(shù)量后，就形成一個龐大的網(wǎng)絡(luò)，因此被稱為“僵尸網(wǎng)絡(luò)”。

（2）僵尸網(wǎng)絡(luò)的危害。僵尸網(wǎng)絡(luò)(惡意的Botnet)是當前流行的網(wǎng)絡(luò)仿冒、拒絕攻擊、發(fā)送垃圾郵件的平臺，它的危害主要有以下幾個方面：

① 分布式拒絕服務(wù)攻擊DDoS(Distributed Denial of Service)。Botnet進行的DDoS攻擊主要針對大型網(wǎng)站，或受雇于某一機構(gòu)，對商業(yè)竟爭對手實施攻擊。

② 垃圾郵件的危害。Bot攻陷主機后，收集主機郵件地址列表，并向郵件列表中的地址發(fā)送欺騙郵件或帶有病毒連接的垃圾郵件，且地址分散，所以很難檢測，造成巨大的危害。

③ 擴散惡意軟件攻擊。Bot被植入受害主機后，可以利用網(wǎng)上指定的位置下載病毒或其他惡意軟件，例如，后門軟件和木馬軟件等，造成進一步感染，同時Bot可以掃描受害主機所在的局域網(wǎng)，發(fā)現(xiàn)漏洞并上傳本身和其他惡意軟件。

④ 竊取敏感信息。被Bot控制的主機完全受控于攻擊者，攻擊者可以通過上傳一些間諜軟件來收集和記錄受害者主機上的敏感信息，例如，銀行密碼、信用卡賬號密碼等。

除了上述危害外，僵尸網(wǎng)絡(luò)還被用來安裝廣告條、攻擊IRC聊天網(wǎng)絡(luò)、在線投票、游戲和存儲非法文件等。

2.IPv6的安全威脅

2.1 概述

IPv4起源于20世紀80年代，由于它使用簡單，并且在Unix系統(tǒng)中內(nèi)置了IPv4協(xié)議，使得互聯(lián)網(wǎng)在很短的時間內(nèi)風靡整個世界，在它獲得巨大成功的同時，沒有考慮到缺陷也凸現(xiàn)出來了。首先，隨著網(wǎng)絡(luò)的繁榮發(fā)展，加上最初設(shè)計地址分類方法的不合理，造成了今天IP地址極度缺乏的情況。其次，由于起初主要面向研究和開發(fā)機構(gòu)，對安全性的考慮不夠充分，而實現(xiàn)商業(yè)化網(wǎng)絡(luò)的今天，不安全的通信信道帶來的網(wǎng)絡(luò)攻擊越來越多，其影響力也越來越大。在這種情況下，因特網(wǎng)工程任務(wù)組IETF(Internet Engineering Task Force)推出了IPv6協(xié)議，并將它作為下一代網(wǎng)絡(luò)的IP協(xié)議，自然是應(yīng)運而生。IPv6采用128位地址長度，其結(jié)構(gòu)由8個4位16進制分組，以冒號“：”分隔構(gòu)成。幾乎可以不受限制地提供IP地址，整個地球每平方米面積上可分配1000多個地址。在IPv6的設(shè)計過程中除了考慮一勞永逸地解決地址短缺的問題外，還考慮了在IPv4中解決不好的其它問題。2.1.1 IPv4的基本安全缺陷

（1）由于最初的IPv4位地址分配的不合理性，導致IP地址分布十分零散。這就使得偽造源IP地址進行網(wǎng)絡(luò)攻擊成為可能，攻擊者可以任意偽造源IP地址對目標地址進行攻擊。

（2）由于網(wǎng)絡(luò)中存在著最大傳輸單元MTU（Maximum Transmission Unit）的限制，因此傳輸大于MTU的資料包要進行分片，但因此也帶來安全上的漏洞。攻擊者只需兩個用戶資料報協(xié)議UDP(User Datagram Prorocol)分片，即可造成一些作業(yè)系統(tǒng)的崩潰。

（3）假冒IP地址。也就是攻擊者利用被攻擊者的IP地址作為特殊數(shù)據(jù)包的源地址，通過發(fā)送大量數(shù)據(jù)包占用被攻擊者的資源，造成被攻擊者的不正常工作。其中DoS和DDoS就是這種攻擊的代表。

（4）初始的IP層的設(shè)置并沒把安全性考慮進去，它并不能防止網(wǎng)絡(luò)層的監(jiān)聽和數(shù)據(jù)篡改。2.1.2 IPv6的主要優(yōu)勢

IPv6的主要優(yōu)勢考慮以下幾個方面：（1）擴大地址空間，提高網(wǎng)絡(luò)整體吞吐量；（2）改善服務(wù)質(zhì)量，安全性有更好的保證；（3）支持即插即用和移動性，更好地實現(xiàn)多插功能。

因此，IPv6代替IPv4已經(jīng)成為網(wǎng)絡(luò)發(fā)展的必然趨勢，而在提出IPv6以擴充IPv4地址的同時，提高安全性能也應(yīng)被考慮進來。2.2 IPv6的安全問題 IPv6本身并不是十全十美的，它是在IPv4的結(jié)構(gòu)基礎(chǔ)上改進而成的，同IPv4有著密切的聯(lián)系，并且在IPv6中仍保留著IPv4的諸多結(jié)構(gòu)特點，例如選項分片和生存時間TTL(Time To Liue)等。這些選項都曾經(jīng)被黑客用來攻擊IPv4節(jié)點，而且，到目前為止，IPv6中并沒有提出新的安全策略，所以使用的安全策略都是在IPv4下已經(jīng)存在的，因此它無法從根本上解決安全性能的問題。此外，對用戶來說，加密解密消耗的CPU時間會使用戶的服務(wù)響應(yīng)速度變慢，可能會產(chǎn)生IPv6反而不如IPv4。以下是IPv6的安全具體問題。[1]

2.2.1 IPv6與防火墻的沖突

在IPv6中TCP/UDP報頭的位置是變化的，即在IP報頭和TCP/UDP報頭之間還會存在其它的擴展報頭，例如AH報頭、SP報頭、路由選項報頭等。防火墻必須逐個查找下一個報頭，直到找到TCP/UDP報頭為止，才能進行過濾，這對防火墻的處理性能有很大的影響。在帶寬很寬的情況下，防火墻的處理能力將成為整個網(wǎng)絡(luò)的瓶頸。如果使用了IPv6的加密選項后，數(shù)據(jù)是加密傳輸?shù)模欢鳬PSec的加密功能是提供端到端的保護，并且加密算法的選擇是任意的，密鑰也是不公開的。這些對于防火墻來說，根本無法解密，因此，防火墻就無從知道消息所使用的TCP/UDP端口號。如果防火墻把所有的加密包都放行的話，其實也就是為黑客穿透防火墻提供了一條通路：自然防火墻也就不能禁止外部用戶訪問本不應(yīng)該對外提供的服務(wù)了。IPv6取消了網(wǎng)絡(luò)地址轉(zhuǎn)換NAT（Network Address Translation）機制，雖然NAT有破壞點對點通信的缺陷，但它有一個附加的增強安全性能的潛在措施，可以把內(nèi)部地址隱藏起來，外部看來的只是一個段地址，而不知道具體主機對應(yīng)哪個地址。IPv6取消了NAT的同時也取消了這個隱藏內(nèi)部地址的措施，只能在邊界路由器上進行簡單的過濾機制，顯然這種機制是不能提供非常嚴密的安全的。

2.2.2 IPv4與IPv6過渡過程中出現(xiàn)的安全問題

由于不可能馬上把現(xiàn)行的IPv4網(wǎng)絡(luò)協(xié)議安全改成IPv6的協(xié)議，因此，IPv4和IPv6將在很長的時間共同使用。其中的隧道模式較為普遍，但是隧道也同樣帶來了安全隱患。隧道的原理就是通過網(wǎng)關(guān)把IPv6數(shù)據(jù)包封裝在IPv4的數(shù)據(jù)包中作為IPv4數(shù)據(jù)包的載荷發(fā)送到對等IPv6網(wǎng)絡(luò)的網(wǎng)關(guān)，通過網(wǎng)關(guān)再轉(zhuǎn)交給內(nèi)部IPv6主機。通常在IPv4—IPv6隧道網(wǎng)關(guān)上會設(shè)置一個包過濾器，對進入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包進行分析過濾，但是如果網(wǎng)關(guān)只對IPv4數(shù)據(jù)包進行分析而忽視了對IPv6數(shù)據(jù)包相應(yīng)的分析，則攻擊者有機可乘。例如，攻擊者用IPv4數(shù)據(jù)包封裝了一個IPv6數(shù)據(jù)包，而且外層的IPv4數(shù)據(jù)包的源地址是攻擊者自己的，可是IPv6數(shù)據(jù)包卻偽造了一個IPv6內(nèi)部網(wǎng)地址，然而網(wǎng)關(guān)的包過濾器是不能發(fā)現(xiàn)此類漏洞的，這時仍將被IPv6數(shù)據(jù)包轉(zhuǎn)發(fā)至內(nèi)部，構(gòu)成了對內(nèi)部的威脅。因此，對于邊界網(wǎng)關(guān)，仍需配置過濾規(guī)則，對轉(zhuǎn)發(fā)內(nèi)網(wǎng)的IPv6數(shù)據(jù)包也要進行包頭檢查。[2] 2.2.3 DDoS的被動防范與基于應(yīng)用的攻擊（1）DDoS的被動防范。分布式拒絕服務(wù)攻擊

DDoS是當今廣為使用的一種攻擊方式，其基本原理就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法的用戶無法得到服務(wù)響應(yīng)。由于重要的服務(wù)往往加有動態(tài)負載的均衡器，因此黑客無法從DNS記錄里取得Server的真實數(shù)量，給攻擊規(guī)模的估算帶來一定困難，所以有的DDoS并沒有使服務(wù)完全中止，管理員平時應(yīng)通過入侵檢測系統(tǒng)IDS（Intrusion Detection System）和日志及時發(fā)現(xiàn)攻擊的特征，作為防范。為了解決DDoS的問題，IPv6采取了防范策略，但它并不是通過低檔服務(wù)DDoS攻擊 來主動防御，因此并沒有從根本上真正解決DDoS的安全問題，例如，在密鑰交換過程中根據(jù)已知的Internet交換IKE(Internet Key Exchange)漏洞仍可使服務(wù)中止。例如，在密鑰交換過程中，B向A用真實身份作為密鑰交換，而對C冒充A，等身份認證完成后C給B返回了和A的會話密鑰交換后，B卻將包丟棄而不轉(zhuǎn)發(fā)給A，由此C進入了等待期，并且由于只接受A的會話，而A并不知道C的存在，因此，除非過時，C的等待才會解鎖，重新應(yīng)答新的請求，否則是會拒絕服務(wù)。[3]（2）基于應(yīng)用的攻擊

雖然IPv6在網(wǎng)絡(luò)層提供了安全機制，但黑客仍然可以利用漏洞來實施攻擊，例如，內(nèi)存泄漏，獲得極限提升后，進一步嗅探收集網(wǎng)絡(luò)信息，分析網(wǎng)絡(luò)結(jié)構(gòu)，實施整個網(wǎng)絡(luò)的進一步控制。由于應(yīng)用的多樣性，因此，基于應(yīng)用的漏洞也多種多樣，防護起來非常困難。

3.零日漏洞

所謂“零日漏洞”是指漏洞被發(fā)現(xiàn)后立即變成被惡意利用的安全漏洞，這種攻擊利用廠商缺少防范意識或缺少補丁，從而能夠造成巨大的破壞。

“零日漏洞”常常被在某一產(chǎn)品或協(xié)議中找到安全漏洞的黑客所發(fā)現(xiàn)。一旦它們被發(fā)現(xiàn)，“零日漏洞”攻擊就會迅速傳播，通常，通過Internet的中繼聊天或地下網(wǎng)站傳播。3.1 產(chǎn)生原因

通常系統(tǒng)漏洞的分布往往就像一聲發(fā)令槍，黑客和安全廠商都開始從同一起跑線上奮力奔跑，誰的速度更快，誰就能觸線得分。

然而現(xiàn)在，這場比賽變得越來越不公平，黑客已經(jīng)掌握了更多的攻擊武器和工具，而用戶一方的包袱卻不斷加重：更多的終端，更復雜多樣的系統(tǒng)和接入方式，這一切都使及時進行補丁升級變得更加困難。于是有效地防范“零日”攻擊成為企業(yè)信息安全迫在眉睫的挑戰(zhàn)。

在2005年年終微軟發(fā)布新的安全警報，Windows自身攜帶的一個圖形渲染引擎中存在著漏洞，給惡意漏洞利用程序提供了可乘之機，這一漏洞之前未曾曝光，并且微軟發(fā)布安全警報之時并沒有現(xiàn)成可用的補丁程序。

從理論來看，攻擊者可利用這一漏洞通過引誘用戶訪問包含有惡意圖片的網(wǎng)站，從而遠程控制用戶的計算機。不僅惡意圖片本身會給用戶帶來不安全威脅，而且黑客制造出一個惡意圖片而將其命名為JPG等正常合法的格式，同樣可以對網(wǎng)絡(luò)進行攻擊。

從已發(fā)現(xiàn)的案例來看，黑客對該漏洞的利用主要是安裝廣告軟件，似乎并沒有造成嚴重的后果。但是可以想象，隨著漏洞進一步被利用，很可能會有相應(yīng)的入侵事件出現(xiàn)。尤其是很多業(yè)務(wù)與網(wǎng)絡(luò)聯(lián)系密切的企業(yè)，其負責安全的部門在了解這一情況后，都處于惶惶不安的狀態(tài)。

而對類似的問題，如何在新的或未知的攻擊發(fā)生時，不依賴于補丁的發(fā)布就可以主動保護網(wǎng)絡(luò)免受惡意攻擊的威脅，保障安全的網(wǎng)絡(luò)溝通，成為眾多企業(yè)關(guān)注的話題。3.2 威脅發(fā)布趨勢

雖然還沒有出現(xiàn)大量的“零日漏洞”攻擊，但其威脅日益增長，證據(jù)如下：黑客更加善于在發(fā)現(xiàn)安全漏洞不久后利用它們。過去安全漏洞被利用一般需要幾個月的時間，最近，發(fā)現(xiàn)與利用之間的時間間 隔已經(jīng)縮短到數(shù)天。MS Blast在漏洞被發(fā)現(xiàn)不到25天就被加以利用，Nachi(MS Blast的一種變種)一周后就發(fā)動了攻擊。

利用漏洞的攻擊被設(shè)計為迅速傳播，感染的系統(tǒng)越來越多，攻擊由以前被動式的、傳播緩慢的文件和宏病毒演化為利用幾天或幾小時傳播的更加主動的、自我傳播的電子郵件蠕蟲和混合威脅。目前最新發(fā)現(xiàn)的Warhol和Flash威脅傳播起來只需幾分鐘。人們掌握的安全漏洞知識越來越多，就有越來越多的漏洞被發(fā)現(xiàn)和利用。因此，“零日漏洞”攻擊成為多數(shù)企事業(yè)單位的災(zāi)難。一般企業(yè)使用防火墻、入侵檢測系統(tǒng)和防病毒軟件來保護關(guān)鍵業(yè)務(wù)IT基礎(chǔ)設(shè)施。這些系統(tǒng)提供了良好的第一級保護，但是盡管安全人員作了最大努力，他們?nèi)圆荒鼙Ｗo企業(yè)免遭“零日漏洞”的攻擊。3.3 防御措施

“零日防御”主要是通過協(xié)議異常檢測、模式匹配、命令限制、系統(tǒng)偽裝及報頭過濾/攔截等幾項核心技術(shù)實現(xiàn)的。(1)協(xié)議異常檢測。

在一切正常的情況下，兩個系統(tǒng)之間應(yīng)該如何進行某種數(shù)據(jù)交換，協(xié)議都對其進行了定義。由于某些服務(wù)器不能有效處理異常流量，許多攻擊會通過違反應(yīng)用層協(xié)議，使黑客得以進行拒絕服務(wù)攻擊，或者獲得對服務(wù)器的根本訪問權(quán)限。通過執(zhí)行協(xié)議RFC(Request For Comments)，可以阻止這種攻擊。除處理違反協(xié)議的情況外，這種機制還可以截獲命令中的非法參數(shù)，阻止許多緩沖溢出攻擊的發(fā)生。(2)模式匹配

惡意軟件要進行有效攻擊就必須進入計算機系統(tǒng)。這就意味著，惡意軟件需夾帶在能將其帶入目標計算機的文件類型中。通過阻止通常會攜帶惡意軟件的文件和多用途郵件擴展協(xié)議MIME（Multipurpose Internet Mail Extensions）類型，可阻止惡意文件進入網(wǎng)絡(luò)。例如，對一些病毒或惡意軟件程序，模式匹配技術(shù)可自動攔截通常會攜帶這些攻擊文件類型，有效阻止病毒進入網(wǎng)絡(luò)，從而為企業(yè)和各機構(gòu)避免網(wǎng)絡(luò)安全困擾。（3）命令限制

應(yīng)用協(xié)議可執(zhí)行命令限制功能，通過阻止文件傳輸協(xié)議FTP（File Transfer Protocol）站點命令和簡單郵件傳輸協(xié)議SMTP(Simple Message Transfer Protocol)調(diào)試命令等包含潛在威脅的命令，可以抵御這一類型的所有攻擊。

例如，2005年4月12日，微軟發(fā)布安全公告，稱微軟的交換服務(wù)器Exchange2000和2003存在著嚴重的緩沖溢出漏洞，任何遠程攻擊者都可通過連接到公司的Exchange服務(wù)器，并發(fā)送經(jīng)過特殊處理的請求，造成緩沖器溢出，并完全控制公司的電子郵件服務(wù)器。根據(jù)微軟的公開表示，該緩沖溢出是Exchange對一個微軟增強型SMTP命令處理方式不當造成的。針對這一問題SMTP協(xié)議深度應(yīng)用檢測的命令限制功能，可阻止這種增強型SMTP命令的使用，因此，無需改變或升級任何配置即可抵御攻擊威脅。

(4)系統(tǒng)偽裝及報頭過濾/攔截。

系統(tǒng)偽裝可隱藏重要的服務(wù)器信息，使黑客無跡可循。例如，在SMTP中，它能偽裝域名、隱藏郵件服務(wù)器類型和補丁級別、或去除信息ID和MIME邊界串中的信息。這樣，黑客無法找到特定的服務(wù) 器，無法將它們作為攻擊目標，發(fā)起會破壞服務(wù)器正常運行的攻擊。

報頭過濾/攔截。有一種攻擊類型需要創(chuàng)建畸形報頭，以此，發(fā)現(xiàn)不嚴謹?shù)姆?wù)器配置。預防御保護機制可阻止這種報頭。除可針對各種攻擊類型提供預防御保護外，這一功能是基于經(jīng)過良好定義的標準和政策決定，因此不會造成誤報的問題?；蛘哒f，用預防御達到報頭過濾和攔截。

4.結(jié)束語

4.1 網(wǎng)絡(luò)安全威脅的各種表現(xiàn)

(1)網(wǎng)絡(luò)通信協(xié)議的弱點。TCP/IP協(xié)議設(shè)計是面向封閉專用的網(wǎng)絡(luò)環(huán)境，缺乏類似認證等基本安全特性，這些弱點帶來許多直接的安全威脅。

(2)操作系統(tǒng)的漏洞。操作系統(tǒng)不僅負責網(wǎng)絡(luò)硬件設(shè)備的接口封裝，同時還提供網(wǎng)絡(luò)通信所需要的各種協(xié)議和服務(wù)的程序?qū)崿F(xiàn)。幾乎所有的操作系統(tǒng)的代碼規(guī)模都很大，這就決定其中肯定存在實現(xiàn)的缺陷和漏洞。

(3)應(yīng)用系統(tǒng)設(shè)計的漏洞。與操作系統(tǒng)類似，在應(yīng)用程序的設(shè)計過程中也會帶來很多由于人的局限性所導致的缺陷或漏洞。

(4)網(wǎng)絡(luò)系統(tǒng)設(shè)計的缺陷。合理的網(wǎng)絡(luò)設(shè)計在節(jié)約資源的情況下，還可以提供較好的安全性，不合理的網(wǎng)絡(luò)設(shè)計則成為網(wǎng)絡(luò)的安全威脅。

(5)惡意攻擊。有組織、有特定目的的人為惡意攻擊是網(wǎng)絡(luò)安全的重要表現(xiàn)。這樣的威脅有時來自合法的用戶。[4]

4.2 網(wǎng)絡(luò)安全威脅包括的主要內(nèi)容及起因

(1)網(wǎng)絡(luò)安全威脅所包括的主要內(nèi)容。計算機木馬、計算機蠕蟲、垃圾郵件、僵尸網(wǎng)絡(luò)、網(wǎng)絡(luò)監(jiān)聽、來自IPv6的威脅和零日漏洞等。

(2)網(wǎng)絡(luò)安全威脅的起因。系統(tǒng)的開放性、系統(tǒng)的復雜性和人的因素等。4.3 IPv6帶來的網(wǎng)絡(luò)安全威脅

IPv6的出現(xiàn)，代替IPv4解決Internet網(wǎng)絡(luò)IP地址的不足是顯而易見的。然而對IPv6的網(wǎng)絡(luò)安全威脅不容忽視，不論是現(xiàn)在的IPv4與IPv6的過渡時期或進入IPv6全面使用時期，都應(yīng)引起注意：IPv6與防火墻的沖突、IPv4與IPv6過渡過程中出現(xiàn)的安全問題、DDoS的被動防范都是IPv6的重要安全威脅。4.4 零日漏洞安全威脅

“零日漏洞”是最近幾年發(fā)現(xiàn)并總結(jié)出來的安全威脅，它的攻擊傳播迅速，造成的破壞巨大。它的威脅日益增長，黑客發(fā)現(xiàn)其安全漏洞就馬上利用。

(1)零日漏洞產(chǎn)生的原因。是由于黑客掌握了大量的攻擊武器，而用戶的包袱越背越重，更多終端的復雜性不適應(yīng)，從而造成了零日漏洞的安全威脅問題。

(2)有效防御零日漏洞的措施。協(xié)議異常檢測模式匹配、命令限制、系統(tǒng)偽裝和報頭過濾/攔截，抵御“零日攻擊”成為網(wǎng)絡(luò)安全迫在眉睫的措施。

參考文獻

[1]卞斌.IPv6中的安全協(xié)議及安全問題.信息安全與通信保密,2006年,01期:P51-P52 [2]雷渭侶,王蘭波等.計算機網(wǎng)絡(luò).北京:機械工業(yè)出版社,2008.1,P215-P216 [3]思科系統(tǒng)(中國)網(wǎng)絡(luò)技術(shù)有限公司.下一代網(wǎng)絡(luò)安全.北京：人民郵電出版社,2006.12,P379 [4]班榮瓊.網(wǎng)絡(luò)安全性分析.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2006年,01期：P42

作者簡介：

許麗娟（1979－），女，碩士，講師，廣東工業(yè)大學華立學院，網(wǎng)絡(luò)安全與應(yīng)用，yilanwoxin@163.com。地址：廣州增城廣汕公路三江路段廣東工業(yè)大學華立學院，郵編：511325，電話：***

第二篇：圖書館網(wǎng)絡(luò)安全威脅與對策

圖書館網(wǎng)絡(luò)安全威脅與對策

(河南財政稅務(wù)高等專科學校 孫天翔)

摘要：通過對圖書館網(wǎng)絡(luò)存在的安全問題和安全隱患的分析，結(jié)合實際工作經(jīng)驗，探索圖書館網(wǎng)絡(luò)安全管理的策略。

關(guān)鍵詞：圖書館網(wǎng)絡(luò)安全策略

計算機網(wǎng)絡(luò)的飛速發(fā)展，推動著圖書館的數(shù)字化建設(shè)。圖書館網(wǎng)絡(luò)是圖書館的基礎(chǔ)設(shè)施，它的安全狀況直接影響圖書館工作的開展。目前，隨著網(wǎng)絡(luò)應(yīng)用的深入，圖書館網(wǎng)絡(luò)面臨的攻擊呈正比增加，各種各樣的安全問題使圖書館網(wǎng)絡(luò)時不時呈現(xiàn)“亞健康狀態(tài)”。同時，隨著網(wǎng)絡(luò)規(guī)模的擴大，用戶對網(wǎng)絡(luò)性能要求的不斷提高，圖書館網(wǎng)絡(luò)安全問題倍受關(guān)注。

一、安全威脅的來源

圖書館網(wǎng)絡(luò)具有計算機系統(tǒng)管理復雜、用戶活躍的網(wǎng)絡(luò)環(huán)境和有限的資金及人力投入等特點，這些特點使圖書館網(wǎng)絡(luò)既是大量網(wǎng)絡(luò)攻擊的發(fā)源地，也是網(wǎng)絡(luò)攻擊者最容易攻破的目標。當前，圖書館網(wǎng)絡(luò)常見的安全威脅來源有如下幾種：

1、軟件漏洞。幾乎所有的操作系統(tǒng)和應(yīng)用軟件都存在安全漏洞。UnixLinux、Windows系列等服務(wù)器操作系統(tǒng)安全風險級別不同，都存在一些安全漏洞和安全缺陷，這些不安全因素往往是攻擊者進行有意識攻擊的首選目標。在系統(tǒng)軟件和應(yīng)用軟件開發(fā)過程中的程序后門也是軟件安全漏洞的重要原因。漏洞可以理解為某種形式的脆弱點，目前，有名的安全漏洞或脆弱點就多達150處，隨著時間的推移，將會有更多新安全漏洞被人發(fā)現(xiàn)和利用。

2、網(wǎng)絡(luò)病毒的侵擾。網(wǎng)絡(luò)病毒傳播的途徑多，速度快，范圍廣，危害信息安全。網(wǎng)絡(luò)病毒一般分為蠕蟲和木馬兩類，主要通過電子郵件，網(wǎng)頁代碼，文件下載，漏洞攻擊等方式傳播，危害日益嚴重。如沖擊波殺手病毒曾泛濫網(wǎng)絡(luò)，造成網(wǎng)絡(luò)核心設(shè)備過載死機，嚴重影響網(wǎng)絡(luò)的運行。震蕩波病毒曾大肆傳播，感染病毒機器反復重啟，嚴重影響了用戶的使用。網(wǎng)絡(luò)病毒嚴重危害了網(wǎng)絡(luò)，在用戶的心理上造成了一些恐慌。

3、人為的惡意攻擊。這是網(wǎng)絡(luò)所面臨的最大威脅，多數(shù)計算機犯罪屬于這一類。人為的惡意攻擊的來源主要有：(1)來自網(wǎng)絡(luò)外部的入侵、攻擊等惡意破壞行為。目前在互聯(lián)網(wǎng)上，人們可以自由下載很多攻擊工具，這類攻擊工具設(shè)置簡單、使用方便。因此，普通攻擊者可能不需要很高的技術(shù)水平便會對系統(tǒng)造成危害。(2)內(nèi)部用戶的攻擊行為。圖書館網(wǎng)絡(luò)內(nèi)部有許多服務(wù)站對外開放，讓用戶很方便地使用，但是用戶加入的同時，也給圖書館網(wǎng)絡(luò)安全帶來了威脅。許多惡意用戶利用網(wǎng)絡(luò)的內(nèi)部站點，對圖書館的網(wǎng)絡(luò)進行攻擊，給網(wǎng)絡(luò)資源帶來很大危害。例如，授權(quán)訪問嘗試，它指的是攻擊者對被保護文件進行讀、寫或執(zhí)行的嘗試，也包括為獲得被保護訪問權(quán)限所做的嘗試。

4、網(wǎng)絡(luò)管理員與網(wǎng)絡(luò)用戶的錯誤操作。網(wǎng)絡(luò)管理員的失誤主要表現(xiàn)在對服務(wù)器系統(tǒng)、應(yīng)用軟件服務(wù)器端和網(wǎng)絡(luò)設(shè)備設(shè)置不當造成的安全漏洞，如服務(wù)器端口開放錯誤、普通用戶權(quán)限設(shè)置失誤、網(wǎng)絡(luò)設(shè)備安全設(shè)置不完整等。網(wǎng)絡(luò)用戶或低權(quán)限用戶通常有一些無意識的錯誤操作，如口令設(shè)置不慎、將自己帳號隨意借用他人、任意共享本地資源等行為。

二、圖書館網(wǎng)絡(luò)安全策略及實現(xiàn)

針對圖書館網(wǎng)絡(luò)安全所面臨的各種問題，需要制定一套有針對性的完整的安全策略，該安全策略及其實現(xiàn)方式應(yīng)包括以下內(nèi)容：

1、網(wǎng)絡(luò)管理策略：嚴格控制內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的聯(lián)系，阻止黑客攻擊，防止網(wǎng)絡(luò)病毒的傳播，同時要合理利用網(wǎng)絡(luò)帶寬并對網(wǎng)絡(luò)信息進行安全過濾。圖書館網(wǎng)絡(luò)安全和科學管理密不可分，一旦發(fā)現(xiàn)安全隱患的苗頭及時補救可以避免更大的損失。制定一套行之有效的管理制度并嚴格執(zhí)行是保障圖書館網(wǎng)絡(luò)安全的重要舉措。管理制度要確保開展以下工作：①定期檢查服務(wù)器日志，發(fā)現(xiàn)異常情況及時處理。②利用網(wǎng)絡(luò)檢測工具定期對網(wǎng)絡(luò)運行情況 1

進行檢測分析，防止網(wǎng)絡(luò)攻擊。③對服務(wù)器及終端設(shè)備定期檢測。④用戶使用網(wǎng)絡(luò)設(shè)備和終端必須認真登記。⑤所有的工作記錄要保留在案，以便事后分析和總結(jié)，為將來可能出現(xiàn)的安全隱患提供判斷依據(jù)。

2、用戶和終端的安全策略：預防用戶惡意或非惡意的非法操作和誤操作，防止用戶端的病毒傳入同時要保證用戶數(shù)據(jù)的正確恢復。對用戶和終端采取足夠的安全措施可以使內(nèi)部網(wǎng)絡(luò)從源頭堵住不安全因素，做法主要有以下幾點：①終端操作系統(tǒng)安裝網(wǎng)絡(luò)查毒、殺毒軟件，病毒庫應(yīng)及時更新，終端操作系統(tǒng)還應(yīng)具備還原功能以防用戶修改。②所有終端上的數(shù)據(jù)和程序均應(yīng)嚴格分開保存，對于數(shù)據(jù)共享應(yīng)嚴格設(shè)置共享權(quán)限。③用戶使用終端要有授權(quán)，并且可以對用戶的操作進行監(jiān)控并記錄用戶的操作過程。

3、服務(wù)器端安全策略：首先，服務(wù)器端提供有授權(quán)的服務(wù)，這些服務(wù)的對象應(yīng)是有授權(quán)的用戶和有授權(quán)的終端。其次，服務(wù)器端應(yīng)提供數(shù)據(jù)的正確發(fā)布和維護。

（1）網(wǎng)絡(luò)服務(wù)器的安全設(shè)置：網(wǎng)絡(luò)服務(wù)器向因特網(wǎng)和內(nèi)部網(wǎng)提供網(wǎng)絡(luò)應(yīng)用服務(wù)，如圖書館網(wǎng)站web服務(wù)等，網(wǎng)絡(luò)服務(wù)器是最容易受到攻擊和破壞的對象。根據(jù)實際經(jīng)驗通常以下工作是必要的：①網(wǎng)絡(luò)服務(wù)器操作系統(tǒng)和應(yīng)用程序一定要及時升級，補齊漏洞補丁。②與網(wǎng)絡(luò)服務(wù)無關(guān)的任何應(yīng)用軟件程序不要安裝在服務(wù)器上。③網(wǎng)絡(luò)服務(wù)器應(yīng)安裝網(wǎng)絡(luò)查毒、殺毒軟件，及時更新病毒庫。④屏蔽不使用的網(wǎng)絡(luò)端口和協(xié)議，利用操作系統(tǒng)自身的安全策略管理器認真進行必要的安全策略設(shè)置。⑤安裝防火墻對內(nèi)部網(wǎng)絡(luò)和因特網(wǎng)進行隔離，對防火墻規(guī)則進行合理設(shè)置，并根據(jù)實際網(wǎng)絡(luò)使用情況進行定期調(diào)整。

（2）數(shù)據(jù)服務(wù)器的安全設(shè)置：數(shù)據(jù)服務(wù)器向因特網(wǎng)和內(nèi)部網(wǎng)提供網(wǎng)絡(luò)數(shù)據(jù)服務(wù)，如學術(shù)期刊電子資源服務(wù)、館藏圖書文獻電子資料服務(wù)等，它是數(shù)字圖書館的核心。用戶使用圖書館的最終目的就是獲取數(shù)據(jù)即信息，因此，數(shù)據(jù)服務(wù)器的安全狀況關(guān)系到圖書館各項目服務(wù)的正常開展。數(shù)據(jù)服務(wù)器的安全設(shè)置除應(yīng)具備網(wǎng)絡(luò)服務(wù)器的安全設(shè)置外，還應(yīng)具備以下內(nèi)容：①數(shù)據(jù)服務(wù)器對于用戶來說應(yīng)是隱藏的，用戶無法通過內(nèi)部網(wǎng)絡(luò)或因特網(wǎng)直接訪問。用戶要獲取數(shù)據(jù)服務(wù)器中的信息，只能通過網(wǎng)絡(luò)服務(wù)器向數(shù)據(jù)服務(wù)器提出申請，再由網(wǎng)絡(luò)服務(wù)器將信息傳輸至用戶。②數(shù)據(jù)服務(wù)的對象要有嚴格的授權(quán)，包括用戶身份的驗證、使用終端的驗證、用戶可以訪問的數(shù)據(jù)范圍限制、用戶訪問的時間限制等。③數(shù)據(jù)服務(wù)器應(yīng)具備防惡意下載功能，可以定義適當?shù)南螺d規(guī)則來保證數(shù)據(jù)的合理利用。④數(shù)據(jù)的更新和維護要有嚴格的授權(quán)。⑤關(guān)鍵、機密數(shù)據(jù)的一定要定期檢查和備份。

三、結(jié)語

圖書館網(wǎng)絡(luò)安全問題本身具有動態(tài)性，任何時候都不能認為自己的網(wǎng)絡(luò)是安全的。網(wǎng)絡(luò)安全防范是一種持續(xù)不斷的工作，防范不僅是被動的，更要主動進行而取得主動權(quán)。主動分析圖書館網(wǎng)絡(luò)存在的安全問題和可能受到的安全威脅，跟蹤最新的網(wǎng)絡(luò)安全技術(shù)，實時調(diào)整網(wǎng)絡(luò)安全策略，是圖書館網(wǎng)絡(luò)安全的保障。

參考文獻

[1]胡道元,閔京華.網(wǎng)絡(luò)安全[M].北京:清華大學出版社,2004.[2]馬輝.分析計算機網(wǎng)絡(luò)的安全隱患,闡述防御對策[J].現(xiàn)代情報,2005,(6):31-34.2

第三篇：網(wǎng)絡(luò)安全與威脅論文

華北電力大學

網(wǎng)絡(luò)安全的威脅與防范

網(wǎng)絡(luò)信息安全

徐一洲

2014/4/2

4計算機網(wǎng)絡(luò)存在的威脅，現(xiàn)代社會在技術(shù)上應(yīng)該采取的應(yīng)對措施

目錄

引言........................2正文........................2

網(wǎng)絡(luò)信息安全的含義及特征..............2

網(wǎng)絡(luò)威脅表現(xiàn)形式...............3網(wǎng)絡(luò)安全研究現(xiàn)狀...............3

網(wǎng)絡(luò)安全解決方案...............4

總結(jié)........................4

【摘要】：隨著計算機網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)安全日益成為人們關(guān)注的焦點。本文分析了影響網(wǎng)絡(luò)安全的主要因素及攻擊的主要方式，從技術(shù)上分析現(xiàn)代社會針對網(wǎng)絡(luò)上的安全威脅所采取的加強計算機網(wǎng)絡(luò)安全措施。

【關(guān)鍵詞】：網(wǎng)絡(luò)信息安全威脅防范

Abstract: With the rapid development of computer network technology, network security is increasingly becoming the focus of attention.This paper analyzes the main way of the main

factors affecting network security and attacks, both from a management and technical analysis of modern society against security threats on the network have taken measures to strengthen the security of computer networks.1.引言

計算機網(wǎng)絡(luò)是一個開放和自由的空間，它在大大增強信息服務(wù)靈活性的同時，也帶來了眾多安全隱患。計算機網(wǎng)絡(luò)的安全問題是伴隨人類社會進步和發(fā)展而日顯其重要性的。信息技術(shù)革命不僅給人們帶來工作和生活上的方便，同時也使人們處于一個更易受到侵犯和攻擊的境地。黑客和反黑客、破壞和反破壞的斗爭愈演愈烈，不僅影響了網(wǎng)絡(luò)穩(wěn)定運行和用戶的正常使用，造成重大經(jīng)濟損失，而且還可能威脅到國家安全。如何更有效地保護重要的信息數(shù)據(jù)、提高計算機網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為影響一個國家的政治、經(jīng)濟、軍事和人民生活的重大關(guān)鍵問題。

本文通過深入分析網(wǎng)絡(luò)安全面臨的挑戰(zhàn)及攻擊的主要方式，從管理和技術(shù)兩方面就加強計算機網(wǎng)絡(luò)安全提出針對性建議。

2.正文

2.1網(wǎng)絡(luò)信息安全的含義及特征

網(wǎng)絡(luò)上信息安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及數(shù)據(jù)受到保護。不遭受破壞、更改、泄露，系統(tǒng)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。從用戶的角度，他們希望涉及到個人和商業(yè)的信息在網(wǎng)絡(luò)上傳輸時受到機密性、完整性和真實性的保護，避免其他人或?qū)κ掷酶`聽、冒充、篡改、抵賴等手段對自己的利益和隱私造成損害和侵犯。從網(wǎng)絡(luò)運營商和管理者的角度來說，他們希望對本地網(wǎng)絡(luò)信息的訪問、讀寫等操作受到保護和控制，避免出現(xiàn)病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源的非法占用和非法控制等威脅，制止和防御網(wǎng)絡(luò)“黑客”的攻擊。

網(wǎng)絡(luò)安全根據(jù)其本質(zhì)的界定，應(yīng)具有以下基本特征：（1）機密性。是指信息不泄露給非授權(quán)的個人、實體和過程，或供其使用的特性。在網(wǎng)絡(luò)系統(tǒng)的各個層次上都有不同的機密性及相應(yīng)的防范措施。在物理層，要保證系統(tǒng)實體不以電磁的方式向外泄露信息，在運行層面，要保障系統(tǒng)依據(jù)授權(quán)提供服務(wù)，使系統(tǒng)任何時候都不被非授權(quán)人使用，對黑客入侵、口令攻擊、用戶權(quán)限非法提升、資源非法使用等；（2）完整性。是指信息未經(jīng)授權(quán)不能被修改、不被破壞、不被插入、不延遲、不亂序和不丟失的特性；（3）可用性。是指合法用戶訪問并能按要求順序使用信息的特性，即保證合法用戶在需要時可以訪問到信息及相關(guān)資料。在物理層，要保證信息系統(tǒng)在惡劣的工作環(huán)境下能正常進行。在運行層面，要保證系統(tǒng)時刻能為授權(quán)人提供服務(wù)，保證系統(tǒng)的可用性，使得發(fā)布者無法否認所發(fā)布的信息內(nèi)容。接受者無法否認所接收的信息內(nèi)容，對數(shù)據(jù)抵賴采取數(shù)字簽名；（4）可控性。是指對網(wǎng)絡(luò)上的信息及信息

系統(tǒng)實施安全監(jiān)控，做到能夠控制授權(quán)范圍內(nèi)的信息流向、傳播及行為方式，控制網(wǎng)絡(luò)資源的使用及使用網(wǎng)絡(luò)資源的人或?qū)嶓w的使用方式；（5）可審查性。是為了對出現(xiàn)的安全問題提供調(diào)查的依據(jù)和手段，使系統(tǒng)內(nèi)所有發(fā)生的與安全有關(guān)的動作均有說明性記錄可查。

2.2網(wǎng)絡(luò)威脅表現(xiàn)形式

（1）竊聽：攻擊者通過監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)獲得敏感信息,從而導致信息泄密。主要表現(xiàn)為網(wǎng)絡(luò)上的信息被竊聽,這種僅竊聽而不破壞網(wǎng)絡(luò)中傳輸信息的網(wǎng)絡(luò)侵犯者被稱為消極侵犯者。惡意攻擊者往往以此為基礎(chǔ),再利用其它工具進行更具破壞性的攻擊。

（2）重傳：攻擊者事先獲得部分或全部信息,以后將此信息發(fā)送給接收者。

（3）篡改：攻擊者對合法用戶之間的通訊信息進行修改、刪除、插入，再將偽造的信息發(fā)送給接收者，這就是純粹的信息破壞，這樣的網(wǎng)絡(luò)侵犯者被稱為積極侵犯者。積極侵犯者截取網(wǎng)上的信息包，并對之進行更改使之失效，或者故意添加一些有利于自己的信息,起到信息誤導的作用。

（4）拒絕服務(wù)攻擊：攻擊者通過某種方法使系統(tǒng)響應(yīng)減慢甚至癱瘓，阻止用戶獲得服務(wù)。

（5）行為否認：通訊實體否認已經(jīng)發(fā)生的行為。

（6）電子欺騙：通過假冒合法用戶的身份來進行網(wǎng)絡(luò)攻擊,從而達到掩蓋攻擊者真實身份，嫁禍他人的目的。

（7）非授權(quán)訪問：沒有預先經(jīng)過同意,就使用網(wǎng)絡(luò)或計算機資源被看作非授權(quán)訪問。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網(wǎng)絡(luò)系統(tǒng)進行違法操作、合法用戶以未授權(quán)方式進行操作等。

（8）傳播病毒：通過網(wǎng)絡(luò)傳播計算機病毒，其破壞性非常高，而且用戶很難防范。如眾所周知的CIH病毒、愛蟲病毒、紅色代碼、尼姆達病毒、求職信、歡樂時光病毒等都具有極大的破壞性，嚴重的可使整個網(wǎng)絡(luò)陷入癱瘓。

2.3網(wǎng)絡(luò)安全研究現(xiàn)狀

隨著計算機和通信技術(shù)的發(fā)展，網(wǎng)絡(luò)信息的安全和保密已成為一個至關(guān)重要且急需解決的問題。計算機網(wǎng)絡(luò)所具有的開放性、互連性和共享性等特征使網(wǎng)上信息安全存在著先天不足，再加上系統(tǒng)軟件中的安全漏洞以及所欠缺的嚴格管理，致使網(wǎng)絡(luò)易受攻擊，因此網(wǎng)絡(luò)安全所采取的措施應(yīng)能全方位地針對各種不同的威脅，保障網(wǎng)絡(luò)信息的保密性、完整性和可用性?，F(xiàn)有網(wǎng)絡(luò)系統(tǒng)和協(xié)議還是不健全、不完善、不安全的。

網(wǎng)絡(luò)安全是研究與計算機科學相關(guān)的安全問題，具體地說，網(wǎng)絡(luò)安全研究了安全的存儲、處理或傳輸信息資源的技術(shù)、體制和服務(wù)的發(fā)展、實現(xiàn)和應(yīng)用。每個計算機離不開人，網(wǎng)絡(luò)安全不僅依賴于技術(shù)上的措施，也離不開組織和法律上的措施?？蛻舴?wù)器計算模式下的網(wǎng)絡(luò)安全研究領(lǐng)域，一是OSI安全結(jié)構(gòu)定義的安全服務(wù)：鑒別服務(wù)、數(shù)據(jù)機密性服務(wù)、數(shù)據(jù)完整性服務(wù)、訪問控制服務(wù)等；二是OSI安全結(jié)構(gòu)定義的安全機制：加密、數(shù)字簽名、訪問控制、數(shù)據(jù)完整性、鑒別交換、通信填充等機制以及事件檢測、安全審查跟蹤、安全恢復；三是訪問控制服務(wù)：訪問控制服務(wù)中的安全技術(shù)有靜態(tài)分組過濾、動態(tài)分組過濾、鏈路層網(wǎng)關(guān)、應(yīng)用層網(wǎng)關(guān)；四是通信安全服務(wù)：OSI結(jié)構(gòu)通信安全服務(wù)包括鑒別、數(shù)據(jù)機密性和完整性和不可抵賴服務(wù)；五是網(wǎng)絡(luò)存活性：目前對Internet存活性的研究目的是開發(fā)一種能保護網(wǎng)絡(luò)和分布式系統(tǒng)免遭拒絕服務(wù)攻擊的技術(shù)和機制。

2.4網(wǎng)絡(luò)安全解決方案

網(wǎng)絡(luò)信息安全是一項動態(tài)、整體的系統(tǒng)工程。網(wǎng)絡(luò)信息安全有安全的操作系統(tǒng)、應(yīng)用系統(tǒng)、防病毒、防火墻、入侵檢測、網(wǎng)絡(luò)監(jiān)控、信息審計、通信加密、災(zāi)難恢復、安全掃描等多個安全組件組成，一個單獨的組件是無法確保信息網(wǎng)絡(luò)的安全性。

（1）防病毒技術(shù)。網(wǎng)絡(luò)中的系統(tǒng)可能會受到多種病毒威脅，對于此可以采用多層的病毒防衛(wèi)體系。即在每臺計算機，每臺服務(wù)器以及網(wǎng)關(guān)上安裝相關(guān)的防病毒軟件。由于病毒在網(wǎng)絡(luò)中存儲、傳播、感染的方式各異且途徑多種多樣，故相應(yīng)地在構(gòu)建網(wǎng)絡(luò)防病毒系統(tǒng)時，應(yīng)用全方位的企業(yè)防毒產(chǎn)品，實施層層設(shè)防、集中控制、以防為主、防殺結(jié)合的策略。

（2）防火墻技術(shù)。采用防火墻技術(shù)是解決網(wǎng)絡(luò)安全問題的主要手段。防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中。防火墻是在網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的系統(tǒng)，通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況。具備檢查、阻止信息流通過和允許信息流通過兩種管理機制，并且本身具有較強的抗攻擊能力。在邏輯上，防火墻是一個分離器、限制器和分析器，可以有效地監(jiān)控內(nèi)部網(wǎng)和Internet 之間的任何活動，保證內(nèi)部網(wǎng)絡(luò)的安全。防火墻的應(yīng)用可最大限度地保障網(wǎng)絡(luò)的正常運行，它可以起著提高內(nèi)部網(wǎng)絡(luò)的安全性、強化網(wǎng)絡(luò)安全策略、防止內(nèi)部信息泄漏、網(wǎng)絡(luò)防毒、信息加密、存儲通信、授權(quán)、認證等重要作用。

（3）入侵檢測技術(shù)。入侵檢測系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，目的是提供實時的入侵檢測及采取相應(yīng)的防護手段。實時入侵檢測能力之所以重要，是因為它能夠同時對付來自內(nèi)外網(wǎng)絡(luò)的攻擊。

（4）安全掃描技術(shù)。這是又一類重要的網(wǎng)絡(luò)安全技術(shù)。安全掃描技術(shù)與防火墻、入侵檢測系統(tǒng)互相配合，能夠有效提高網(wǎng)絡(luò)的安全性。通過對網(wǎng)絡(luò)的掃描，可以了解網(wǎng)絡(luò)的安全配置和運行的應(yīng)用服務(wù)，及時發(fā)現(xiàn)安全漏洞，客觀評估網(wǎng)絡(luò)風險等級。如果說放火墻和網(wǎng)絡(luò)監(jiān)控系統(tǒng)是被動的防御手段，那么安全掃描就是一種主動的防范措施，做到防患于未然。

（5）網(wǎng)絡(luò)安全緊急響應(yīng)體系。網(wǎng)絡(luò)安全作為一項動態(tài)工程，意味著它的安全程度會隨著時間的變化而發(fā)生變化。隨著時間和網(wǎng)絡(luò)環(huán)境的變化或技術(shù)的發(fā)展而不斷調(diào)整自身的安全策略，并及時組建網(wǎng)絡(luò)安全緊急響應(yīng)體系，專人負責，防范安全突發(fā)事件。

3.總結(jié)

總之，計算機技術(shù)和網(wǎng)絡(luò)技術(shù)已深入到社會的各個領(lǐng)域，人類社會各種活動對計算機網(wǎng)絡(luò)的依賴程度已經(jīng)越來越大。增強社會安全意識教育，普及計算機網(wǎng)絡(luò)安全教育，提高計算機網(wǎng)絡(luò)安全技術(shù)水平，改善計算機網(wǎng)絡(luò)的安全現(xiàn)狀，成為當務(wù)之急。

參考文獻

【1】張世永．網(wǎng)絡(luò)安全原理與應(yīng)用[M]．科學出版社

【2】張仕斌．網(wǎng)絡(luò)安全技術(shù)[M]．清華大學出版社

【3】陳愛民．計算機的安全與保密［Ｍ］．電子工業(yè)出版社

第四篇：2013年半年工作檢查漏洞與不足

2014年上半年工作檢查自查報告

半年來我院公共衛(wèi)生工作完成基本良好，所有的資料工作完成較好，但是在一些細節(jié)上未能符合國家管理要求，在此，現(xiàn)將2014年上半年工作的不足要點作出要求和補充?，F(xiàn)就不足之處作一下提示，希望在下半年的工作中做到更完美，迎接全年年終檢查。

一、慢性病工作。

1、高血壓管理

（1）高血壓隨訪表的完善，對外出的高血壓患者要加以說明，是否隨訪到位；

（2）對轉(zhuǎn)診到上級醫(yī)院的患者要在兩周之內(nèi)再隨訪一次，目的是了解患者的血壓控制情況；

（3）血壓控制要求，對于血壓控制不滿意的患者，一定要使其血壓控制在安全范圍內(nèi)，如：舒張壓在160以上，收縮壓在大于100的患者要加以控制調(diào)理，建議換藥、加劑量、轉(zhuǎn)診就醫(yī)等；（4）隨訪的填寫時間不能太一致；（5）藥物的劑量填寫要規(guī)律；

（6）對隨訪表上的填寫體重一年中不能一個數(shù)字，心率也不能一個數(shù)字。

2、糖尿病

（1）糖尿病的填寫規(guī)律；(2）藥物劑量的要求要規(guī)律；（3）空腹和餐后血糖的填寫要真實；（4）隨訪表的完善，對外出的糖尿病患者要加以說明，是否隨訪到位；

（5）對轉(zhuǎn)診到上級醫(yī)院的患者要在兩周之內(nèi)再隨訪一次，目的是了解患者的血糖控制情況。

（6）對隨訪表上的填寫體重一年中不能一個數(shù)字，心率也不能一個數(shù)字。

3、重性精神病

（1）時常了解精神病患者的生活情況和動向情況。

（2）對經(jīng)常肇事的精神病患者要及時和監(jiān)護人配合加以管制，如不能管制的應(yīng)以書面形式即時報告當?shù)嘏沙鏊?/p>

二、健康教育

1、健康教育宣傳欄

（1）對上級部門發(fā)放的健康教育宣傳欄要即時領(lǐng)取并張貼到位，并取下圖片以作備份取證。（2）健康教育的更新要即時。

（3）健康教育宣傳欄的張貼位置要明顯。

2、健康教育知識講座

（1）健康教育知識講座的內(nèi)容要真實，對健康教育的內(nèi)容要符合講座對象的實際情況；

（2）每兩月一期的健康教育講座要即時更新。

三、老年人管理

1、對轄區(qū)的老年人每年一次的體檢。

2、要對老年人進行每年一次的生活能力評估。

3、時常詢問老年人的生活情況。

四、系統(tǒng)錄入

對每一季度的慢病隨訪要即時的錄入，錄入的內(nèi)容要和實際資料相實，對所在轄區(qū)的實際情況要即時了解，需要上報衛(wèi)生院的即時上報。

鎮(zhèn)衛(wèi)生院

2014年7月5日

第五篇：法律解釋與法律漏洞的填補

中國政法大學2002級法理學專業(yè)碩士研究生 姬曉紅

前 言

法律規(guī)則是以高度抽象、概括的規(guī)范和概念的形式出現(xiàn)的，而規(guī)范和概念又是以文字的形式表達的。因此許多法學家認為自從有了成文法，就有了對法律的理解和解釋活動。然對成文法的解釋絕非一件易事。欲使成文法能夠最大限度的釋放其光芒，解釋者不僅要解讀法律規(guī)范和法律體系的各個層面，亦需要以犀利的目光直視和剖析紛繁復雜的社會現(xiàn)實以及自身的價值體系和理論框架，因此法律解釋學以其實用性、技術(shù)性和知識性的特點作為法學的一個分支學科榮登歷史的舞臺，改變了以往將法律解釋僅僅局限在簡單的文本解釋的情況，而將視野投向以司法適用中的規(guī)則和事實的互動關(guān)系為內(nèi)容的深度闡釋。本文作者通過閱讀數(shù)本專家名作，對法律解釋、法律漏洞以及法律漏洞的補充有了一個粗淺的認識，遂作此文。

一、法律解釋

“法學之目的，實不應(yīng)僅以研究成文法為己足，而應(yīng)研究探尋居于指導地位之活生生的法律，據(jù)以論斷成文法之善惡臧否”。故法律解釋的目的“并不在于單純地理解既存的法律文本、解釋法律規(guī)則，而在于在此基礎(chǔ)上結(jié)合具體的個案事實，由法官得出有說服力的判決”。也就是說法律解釋的目光應(yīng)駐足于現(xiàn)實中的成文法，同時應(yīng)該兼顧法律的穩(wěn)定性和法律的理想即公平、正義，最終使成文法的功能在司法中得到最大的發(fā)揮。我認為法律解釋有廣義和狹義之分。

（一）、狹義的法律解釋

傳統(tǒng)的法律解釋亦即狹義的法律解釋，是指當法律規(guī)定不明確的時候,以文義、體系、法意、比較、目的、合憲等解釋方法，澄清法律疑義，使法律含義明確化、具體化、正確化。狹義的法律解釋重在在文義的限度內(nèi)探究立法者的意圖，分為文義解釋、體系解釋、法意解釋、比較解釋、目的解釋及合憲解釋。文義解釋是指依照法律條文的表面意思以及通常的使用方法所作的解釋。其依據(jù)是法律規(guī)范屬于社會規(guī)范，由于其針對的對象是社會的全體社會成員，因此除了個別的專業(yè)用語有其特有意義作解釋外，應(yīng)當以文句所具有的通常意義作解釋。文義解釋在法律解釋上有其不可磨滅的意義，因為無視于法律條文就會使法律有名無實，法律也將失去其安定性。但是拘泥于文義解釋，固步自封，奉法律文字為金科玉律，就會導致法律僵化，使法律成為“死法”。體系解釋是指以法律條文在法律體系中的地位，即依其編章條款目的前后關(guān)聯(lián)位置或相關(guān)法條的意思闡明規(guī)范意旨的解釋方法。體系解釋可以分為擴張解釋、限縮解釋、反對解釋、當然解釋四種。體系解釋能夠維護法律體系之一貫及概念用語的一致，在法律解釋上確具價值。但是如果利用解釋過于機械，拘泥于形式，就會忽略法律的實質(zhì)目的。法意解釋又稱歷史解釋或沿革解釋，是指通過探求立法者制定法律時的價值判斷以及其作此價值判斷所希望實踐的目的來作解釋。法意解釋要參考立法過程中的一系列記錄、文件、備忘錄等，對立法者意思的理解不應(yīng)為立法者當時之意思，而應(yīng)為立法者處于今日所應(yīng)有的意思。該解釋具有“范疇性功能”，可劃定文義解釋的活動范圍，使文義解釋不至于離經(jīng)叛道。比較解釋是指參酌外國立法及判例學說，作為詮釋本土法律的參考資料，以實踐其規(guī)范目的的解釋方法。比較解釋并非僅比較多國的法律條文，且更多的是比較各國相關(guān)的判例學說，從而窺探法律的本意，進而適應(yīng)時代的潮流。目的解釋是以法律規(guī)范目的闡釋法律疑義的方法。法律規(guī)范的目的在于維護整個法律秩序的體系性，個別規(guī)定和多數(shù)規(guī)定都受規(guī)范目的的支配。通過目的解釋，各個法律條文間的不完整性、不完全性均能完整順暢而且沒有沖突。目的解釋與法意解釋的不同在于，前者從法律目的著眼，重在闡釋法律的整體意旨，法意解釋則從歷史沿革的角度出發(fā)，重在探求個別規(guī)范的法律意旨。合憲解釋是指以較高級別或憲法的意旨對位階較低的法律規(guī)范意義解釋的方法。這種解釋方法意圖通過實踐位階較高的法律規(guī)范的目的，使法律秩序井然有秩。

此外還有論理解釋?！暗湫偷姆山忉屖窍纫牢牧x解釋，而后再繼以論理解釋。非如此解釋，為非典型的解釋方法”。論理解釋又稱社會學的解釋，與體系解釋相同，是以文義解釋為基礎(chǔ)的，當文義解釋有多種結(jié)果時，為使法律條文明確化而使用的一種操作方法。論理解釋與體系解釋的區(qū)別在于“乃體系解釋在確定文義的涵義時，需考慮法律條文間的各種關(guān)聯(lián)關(guān)系，使條文的體系完整，不勝矛盾或沖突情事；而社會學的解釋則偏重于社會效果的預測及其目的之考量”。論理解釋的這種社會效果的預測屬于經(jīng)驗事實的探求，它以社會事實的調(diào)查為依據(jù)，具有科學性，符合時代潮流的需要。

（二）廣義的法律解釋

廣義的法律解釋不僅包括狹義的法律解釋還包括法律補充。法律補充分為價值補充和法律漏洞補充兩個部分。

1、價值補充

價值補充是指對不確定的法律概念及概括條款而言的一種解釋方法。價值補充作為廣義的法律解釋存在的前提是法律是有價值目的取向的。也就是說“人類在這里利用規(guī)范追求某些目的，而這些目的又是基于某些（基本的）價值決定所選定。這些目的即（基本的）價值決定便是法律意旨所在。是故，法律解釋應(yīng)取向價值乃自明的道理。” 人類并非為有規(guī)范而作規(guī)范，而是為了以規(guī)范實現(xiàn)公平正義的要求。不確定的概念和概括條款在民法和刑法等實體法律中均有所體現(xiàn)?！胺ㄔ壕筒淮_定的規(guī)范或概括條款予以價值補充，須適用社會上可以探知認識之客觀倫理秩序、價值、規(guī)范及公平正義之原則，不能動用個人主觀的法律感情?！?法官運用價值補充解釋法律時，應(yīng)對具體案件依照法律的精神、立法目的和實質(zhì)的公平與以具體化，不可僵化。

2、法律漏洞補充

法律對于應(yīng)規(guī)定的事項由于立法者的疏忽或情勢變更，致就某一法律事實未規(guī)定

認為法律規(guī)定不正確時，法院通常不能直接予以修正。綜上所述，法院所作的法律補充只是造法的嘗試而非直接的造法?！坝煞ㄔ褐旆ǖ膰L試所表現(xiàn)出來的‘判決先例中之法律見解’將來可能通過慣行的形成，即一般的法律確信的產(chǎn)生而轉(zhuǎn)化為習慣法，但也可能或早或遲地被拋棄”。

（二）法律補充對法律漏洞的填補方法主要有四種，即類推適用、目的性限縮、目的性擴張以及創(chuàng)造性的補充。具體言之：

1、類推適用

類推適用系基于平等原則，以“相類似之案件，應(yīng)為相同之處理” 為法理依據(jù)，亦即將法律的明文規(guī)定適用到雖沒有法律直接規(guī)定，但其法律的重要特征與該法律明文相同的類型。

依據(jù)德國學者庫德格在《法律上邏輯》一書，類推適用的運用具有三個特點。日本學者碧海純一另外加了一個特點，共計四個特點。茲詳述如下：（1）類推適用是間接推論的一種，用一般三段論理論表示為：M是p(大前提)，S類似M（小前提），故S是p(結(jié)論)。在此推論中，必須經(jīng)由“S類似M”這一命題穿針引線才能成功地完成S是p的結(jié)論。（2）類推適用是“特殊到特殊”和“個別到個別”的推論。它不同與演繹和歸納推理，其前提必須是“個別”或“特殊”的命題，不能是一般的命題。因此其大前提不能為“凡M都是p”，因為M只是一個特殊的命題。（3）類推適用所獲得的結(jié)論并非是絕對可靠的，一般的三段論推理中如果前提為真，則結(jié)論莫不為真，但是由于類推適用中的三段論推理中的大前提只是一個“個別”或“特殊”的命題，且類推適用的基礎(chǔ)又涉及人的價值判斷，因此其所得到的只是一個不太確實的結(jié)論而已，有時甚至會導出錯誤的結(jié)論。（4）類推適用是基于“類似性質(zhì)”或“類似關(guān)系”所得出的推論。依“類似關(guān)系”所為經(jīng)驗科學上的類推恒要求結(jié)論具有“真實性”，而根據(jù)“類似性質(zhì)”所為法學上的類推適用，則重在結(jié)論的“妥當性”，至于推理結(jié)論的真或假則在所不問。

2、目的性限縮

目的性限縮仍然是基于平等的原則，所不同的是其以“不同之案型應(yīng)為不同之處理”為法理依據(jù)。意即法律文義所涵蓋的案型相較于立法意旨而言過于寬廣，為了消除這種缺失，則對該文義所涵蓋的案型類型化，然后將與該立法意旨不符的部分排除于其所適用的范圍之外。目的性限縮與限制解釋的區(qū)別在于限縮的程度是否損及文義的核心。如果已經(jīng)損及文義的核心則為目的性限縮，如果沒有損及文義的核心，則為限制解釋。關(guān)于目的性限縮在邏輯上應(yīng)當注意以下幾點：（1）目的性限縮屬于間接推理的一種，其邏輯命題的形式為：凡M都是p（大前提），M1非M（小前提），故M1非p（結(jié)論）。（2）目的性限縮的推論是演繹式推理而非歸納推理，也就是說其推理的過程是從一般到特殊。（3）目的性限縮是以規(guī)范的意旨為考量的，也就是說其視法律目的將案型分類，將不符合規(guī)范意旨的予以剔除。（4）目的性限縮作為法律漏洞的補充方法有利于被告，在刑法中亦可使用。

3、目的性擴張

目的性擴張是指法律文義所涵蓋的類型相較于立法意旨而言，顯然過于狹窄，以至于立法意旨不能完全的貫徹。因此通過越過法律規(guī)定的文義，將法律適用的范圍擴張到原法律規(guī)定文義不包括的案型。目的性限縮和目的性擴張都是以立法意旨作為其調(diào)整系爭法律規(guī)定適用范圍的依據(jù)。目的性擴張所要處理的案型與法律的明文規(guī)定并非相同，它是由于立法者立法時思慮不周而對其所欲規(guī)范的案型太過具體以至對符合立法意旨的部分未予規(guī)定的案型。因此為貫徹立法意旨，應(yīng)放松法律規(guī)定的類型化，以兼容其他適當類型。目的性擴張在邏輯上應(yīng)注意以下幾點：（1）目的性擴張也是間接推理的一種，其邏輯命題的形式為凡M都是p（大前提），M1為M（小前提），故M1為p（結(jié)論）。（2）目的性擴張也是從一般到特殊的演繹推理。（3）目的性擴張以法律意旨為考量，將原文義未涵蓋的而合于規(guī)范意旨的案型包括其中。

4、創(chuàng)造性的補充

創(chuàng)造性的補充是指擬處理的案型依據(jù)法理應(yīng)當加以規(guī)范，但是實證法上縱使經(jīng)由類推適用、目的性限縮、目的性擴張都不能找到規(guī)范的依據(jù)時，則可以根據(jù)法理和事理，試擬規(guī)范。這一補充方法隨著社會結(jié)構(gòu)的變遷，其適用已經(jīng)越來越重要。例如各國民法上有關(guān)“法律有規(guī)定的適用法律規(guī)定；法律沒有規(guī)定的，依據(jù)習慣法；沒有習慣法的，法院依法理斷案”的規(guī)定就是這一方法適用的體現(xiàn)。這里所說的法理是就法律的原理而言的，是從法律規(guī)定的根本精神演繹出來的經(jīng)學說和判例長期經(jīng)營，并利用社會學、歷史學、分析比較等方法業(yè)已成型的存在狀態(tài)。由于社會現(xiàn)象變化萬千，法律不可能面面俱到，因此當其他法律解釋和補充方法不足以彌補法律的漏洞時，授權(quán)法官運用法理貫徹法律意旨是至為重要的。

結(jié)束語

由于成文法的滯后性和不完善性，法律漏洞的存在在所難免，如何通過法律的解釋來填補法律漏洞實是一項任重而道遠的工作。筆者但求在漫漫的求學途中，在老師和同學的幫助指導下，能對此一問題有更加深刻地認識。

法律解釋與法律漏洞的填補(第3頁)一文由004km.cn搜集整理，版權(quán)歸作者所有,轉(zhuǎn)載請注明出處!