網絡安全的矛與盾

劉戰偉

摘 要 計算機處理業務已由單機的數學運算、文件處理，簡單連結的內部網絡及辦公自動化發展為復雜的內部網、外部網乃至全球互聯網的信息共享和業務處理。然而在互通能力提高的同時，網絡的安全問題也日益突出。本文就此作了簡要探討。

關鍵字 網絡安全 防火墻技術 防御體系

中圖分類號：TP393 文獻標識碼：A

Internet的開放性導致了網絡環境下的計算機信息安全問題，各種安全工具也應運而生。然而，矛與盾的交鋒似乎永無止境。例如防火墻是一種有效的安全工具，它可以隱蔽內部網絡結構，限制訪問，但是對于內部網絡之間的訪問，防火墻往往無能為力。因此，對于內外勾結的入侵行為，防火墻是很難發覺和防范的。另外，一個安全工具能不能實現預期目標，很大程度上取決于使用者，包括系統管理者和普通用戶，因為不正確的設置就會產生不安全因素。例如，NT在進行合理的設置后可以達到C2級的安全性，但很少有人能夠對NT本身的安全策略進行合理的設置。雖然在這方面可以通過靜態掃描工具來檢測系統是否進行了合理的設置，但是這些掃描工具基本上也只是基于一種缺省的系統安全策略進行比較，針對具體的應用環境和專門的應用需求就很難判斷設置的正確性。

其次，系統的后門是傳統安全工具難于顧及到的地方。多數情況下，入侵行為可以經過防火墻而很難被察覺；比如ASP源碼問題，它是IIS服務的設計者留下的一個后門，任何人都可以使用瀏覽器從網絡上方便地調出ASP程序的源碼，從而收集系統信息，進而對系統實施攻擊。對于這類入侵行為，防火墻是無法發覺的，因為對于防火墻來說，該入侵行為的訪問過程和正常的WEB訪問是相似的，唯一區別是入侵訪問在請求鏈接中多加了一個后綴。

隨著網絡的發展，黑客的攻擊手段也在不斷更新，幾乎每天都有不同系統安全問題出現。然而安全工具的更新速度似乎跟不上，絕大多數是病毒發現后才能采取對策。甚至當安全工具剛發現并努力更正某方面的不足時，新的安全問題又出現了。這也是矛與盾相互較量永無休止的一個因素。

在網絡環境下，病毒傳播擴散更快，僅用單機防病毒產品已經很難徹底清除網絡病毒，必須有適合于局域網的全方位防病毒產品。例如政府機關內部局域網，就需要一個基于服務器操作系統平臺的防病毒軟件和針對各種桌面操作系統的防病毒軟件。如果與互聯網相連，就需要網關的防病毒軟件，以加強上網計算機的安全。如果在網絡內部使用電子郵件進行信息交換，還需要一套基于郵件服務器平臺的郵件防病毒軟件，識別出隱藏在電子郵件和附件中的病毒。所以最好使用全方位的防病毒產品，針對網絡中所有可能的病毒攻擊點設置對應的防病毒軟件，通過全方位、多層次的防病毒系統的配置，通過定期或不定期的自動升級，使網絡免受病毒的侵襲。

利用防火墻可以在網絡通訊時執行一種訪問控制尺度，允許防火墻同意訪問的人與數據進入自己的內部網絡，同時將不允許的用戶與數據拒之門外，最大限度地阻止網絡中的黑客來訪問自己的網絡，防止他們隨意更改、移動甚至刪除網絡上的重要信息。防火墻是一種行之有效且應用廣泛的網絡安全機制，防止Internet上的不安全因素蔓延到局域網內部，所以，防火墻是網絡安全的重要一環。

入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。在入侵檢測系統中利用審計記錄，入侵檢測系統能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統的安全。在內部網絡中采用入侵檢測技術，最好采用混合入侵檢測，在網絡中同時采用基于網絡和基于主機的入侵檢測系統，構架成一套完整立體的主動防御體系。

此外，在網絡的www服務器、Email服務器等中使用網絡安全監測系統，實時跟蹤、監視網絡， 截獲Internet網上傳輸的內容，并將其還原成完整的www、Email、FTP、Telnet應用的內容 ，建立保存相應記錄的數據庫。

解決網絡層安全問題，首先要清楚網絡中存在哪些安全隱患以及薄弱點。面對大型網絡的復雜性和不斷變化的情況，僅僅依靠網絡管理員的技術和經驗尋找安全漏洞、做出風險評估，顯然是不現實的。解決的方案是，尋找一種能查找網絡安全漏洞、評估并提出修改建議的網絡 安全掃描工具，利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下，可以利用各種黑客工具，對網絡模擬攻擊從而暴露出網絡的漏洞，以便采用相應對策。

對于網絡外部的入侵可以通過安裝防火墻來解決，但是對于網絡內部的侵襲則無能為力。在這種情況下，我們可以采用對各個子網做一個具有一定功能的審計文件，為管理人員分析自己的網絡運作狀態提供依據。也可設計一個子網專用的監聽程序，長期監聽子網絡內計算機間相互聯系的情況，為系統中各個服務器的審計文件提供備份。網絡安全是一個系統的工程，不能僅僅依靠防火墻等單個的系統，而需要仔細考慮業務特點以及系統的安全需求，并將各種安全技術，如密碼技術等結合在一起，才能生成一個高效、通用、安全的網絡系統。只是，網絡的應用已經普及到每一個行業與部門，包括個人用戶，因此，網絡安全技術已經成為必不可少的重要條件，在這方面，要做的努力也將永無止境。