淺談網絡服務的安全性與開放性

楊雅莉

（西安歐亞學院信息工程學院，陜西 西安 710065）

在日益龐大的計算機網絡中，支撐用戶業務的網絡元素日益多元化，但直接提供給用戶業務的是各種各樣的網絡服務，所有的網絡用戶都處于形形色色的服務中。

辦公室用戶最常接觸的有DNS、電子郵件、認證服務、聯網以及打印等等。這些服務非常重要，一旦沒有了這些服務，自動化的辦公環境將不存在，整個公司的管理系統也將頃刻崩潰。而對于家庭用戶，由于其接入技術的特點，典型的服務是遠程接入方法、網絡證書服務、游戲服務、連接因特網、DHCP、文件服務等等。這些服務為家庭用戶提供了安全的管理、豐富的網絡內容，極大的促進信息化社會的快速形成。

網絡服務是豐富而全面的，但是這么多的服務開發、組織卻是棘手而令人頭疼的，那么是什么促進了這些網絡服務的發展，答案是明確的：網絡共享、資源共享。特別需要說明的是，網絡資源共享是以結構化的計算機環境為基礎的，結構化計算機環境與孤立計算機組成的計算機環境的最大區別就是服務。典型的結構化計算機環境則是由技術人員操作大量的計算機，通過共享方便的通信、優化的資源等服務來互相聯結在一起。當一臺主機通過ISP 連接到因特網上，他就是使用了ISP 或其他人提供的服務才進入網絡的。

網絡服務必須是可靠的、標準化的、安全的及便于提供支持的。這些都需要人員進行維護，通常提供維護的人員是系統管理員。在整個Internet 中有大量的系統管理員對網絡服務進行監控、維護、技術支持等。這些工作是非常必要的，同時必須是非常細致、持續的。隨著技術的進步和用戶工作的開展，用戶的要求也會越來越高，結果系統管理員就必須花費大量的時間來設計并創建新的服務，創建的新服務的質量決定了以后系統管理員們對它們提供技術支持時所花費時間和精力的多少，同時也決定了用戶的滿意程度。

1 網絡服務的驅動力及存在基礎

網絡服務是如何被驅動的：在結構化的計算機網絡中，計算機網絡的健壯工作、計算機網絡的效用的充分發揮，是網絡服務存在的最根本原因。因此在Internet 誕生的同時，計算機網絡服務的存在是必然和必要的,更確切的說，網絡服務本身就是Internet 中最重要的元素、也是最貼近用戶的元素。甚至可以如此說：Internet 本身就是服務的集合及支撐這些服務的物理元素的合集。恰當的比喻：服務是整個Internet 中的上層建筑，而支撐這些服務的物理元素是Internet 中的基礎建筑。例如在具體的應用中，ISP、DNS、電子郵件、認證服務、游戲服務這些對于用戶來說是最直接的。盡管用戶的計算機直接相連的是光纖、WLAN、銅線及各種Modem，但似乎與用戶更貼近的是網絡服務。當用戶需要Mail的時候，首先關心的是電子郵件服務；當用戶需要網絡游戲的時候，首先關心的是游戲服務；甚至用戶最關心的網絡消費也是與ISP 進行交易。因此可以肯定的說，網絡服務處于Internet 層次結構的最頂層，是與用戶業務息息相關的。

2 網絡服務的創建

與所有的工程項目一樣，網絡服務的創建，最先的考慮的應該是服務的需求定義。對系統管理員來說，就是根據標準服務規范定義進行裁剪，組織服務。同時獲取用戶的需求。在進行這項工作時系統管理員必須考慮許多基本要素，其中最重要的就是在設計和開發的各個階段都要考慮到用戶的需求。要和用戶進行交流，去發現用戶對服務的要求和預期，然后把其它的要求如管理要求等列一個清單，這樣的清單只能讓系統管理員團隊的人看到。在這樣一個過程中“是什么”比“怎么樣”更重要，否則在具體執行時很容易就會陷入泥潭而失去目標。

然后，系統管理員應該考慮具體的技術方案，這是最具挑戰性的工作。但幸運的是，大多的技術實現方案都已經被規范化的定義，例如已經存在大量的網絡服務的技術規范，例如POP3 服務協議已經作為電子郵件服務進行規范定義，DNS 已經作為域名解析服務進行規范定義，諸如此類不勝其數。因此技術實現方案是容易解決的。留給系統管理員做的工作就是服務應該建立在什么樣的硬件網絡基礎之上、如何增加服務所依賴平臺的可靠性和其它性能。服務和服務所依賴的物理平臺應該受到監控，一旦發生故障就發出警報或產生故障記錄清單。

應該理解的是，網絡中的服務是相關關聯、依存的，或者是有層次的。例如，幾乎所有的服務都依靠域名服務（DNS）。要給一個服務配置機器名或域名，要靠DNS；要想在日志文件中包含所使用服務或服務訪問過的主機名，要用到DNS；如果你進入一臺主機通過它的服務聯系別的機器，也要用到DNS。DNS 是依靠網絡的，所有依賴DNS的服務也依靠網絡。有一些服務是依靠email的，還有別的服務依靠訪問其它計算機上的共享文件，也有許多服務也依靠身份認證和授權服務來對人們進行區分，特別是在那些基于認證機制而又具有不同級別服務權限的環境中。

3 網絡服務的性能及安全

值的注意的是，作為服務所依賴的平臺，具體的機器和軟件應當依賴那些建立在相同或更高標準上的主機和軟件，一個服務的可靠性和它所依賴的服務鏈中最薄弱環節的可靠性是相當的。一個服務不應該無故的去依賴那些不是服務一部分的主機。

為了可靠性和安全性，對服務器的訪問權限應當進行限制，只有系統管理員才能具有訪問權限。使用機器的人和機器上運行的程序越多，發生內存溢出或突然出現其它故障、服務中斷的機會就越大。用戶使用計算機時總喜歡多裝點東西，這樣他們就能方便的存取自己需要的數據和使用其它的服務。但是服務器應該是盡可能的簡單，簡單化可以讓機器更加可靠，發生問題時更容易調試。服務器在滿足服務運轉正常的前提下應當安裝最少的東西，只有系統管理員們具有安裝權限，而且系統管理員們登錄服務器時應該也只是為了維護。從安全的角度來看，服務器比普通的臺式機更敏感。入侵者一旦獲得了服務器的管理員權限，他所能做的破壞比獲得孤立計算機管理員權限所能做的破壞大的多！越少的人具有管理員權限，服務器運行的東西就越少，入侵者獲得權限的機會就越小，入侵者被發現的機會就越大。

同時對于日益的網絡入侵事件，是網絡管理員在目前階段更應該重視的安全問題。可以通過增加硬件上的安全設備或者軟件防御體系來避免遭受網絡襲擊。必要的時候，網絡管理員需要配置冗余的系統來增加網絡服務的安全。

4 網絡服務的開放性

Internet的魅力所在便是開放式的系統，在這個開放的環境中網絡用戶可以實現資源共享。那么網絡服務作為Internet的上層建筑，更需要一個開放的體系結構。

對于網絡服務的開放性，有必要從兩個方面領會：

首先式開放的標準體系，作為網絡服務技術的規范性定義文件，RFC 及許多互連網的民間組織制定了大量的服務類規范，這些規范作為“建議”出現，但在具體的應用中，這些建議被網絡建設者及系統管理員自覺的、徹底的執行。因此在Internet 上出現的大多網絡服務，都有標準的接口、標準的技術體系、標準的操作規則。

另外，網絡服務的開放體現在對用戶開放上，用戶可以通過認證等手段加入服務和退出服務，用戶的服務盡管有時候需要預訂，但在使用服務的過程中用戶可以隨時停止、開始業務。

[1]劉文慶.淺談計算機網絡服務[J].內蒙古林業調查設計，2005-09-30.