網(wǎng)絡(luò)安全的矛與盾

劉戰(zhàn)偉

摘 要 計(jì)算機(jī)處理業(yè)務(wù)已由單機(jī)的數(shù)學(xué)運(yùn)算、文件處理，簡單連結(jié)的內(nèi)部網(wǎng)絡(luò)及辦公自動(dòng)化發(fā)展為復(fù)雜的內(nèi)部網(wǎng)、外部網(wǎng)乃至全球互聯(lián)網(wǎng)的信息共享和業(yè)務(wù)處理。然而在互通能力提高的同時(shí)，網(wǎng)絡(luò)的安全問題也日益突出。本文就此作了簡要探討。

關(guān)鍵字 網(wǎng)絡(luò)安全 防火墻技術(shù) 防御體系

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

Internet的開放性導(dǎo)致了網(wǎng)絡(luò)環(huán)境下的計(jì)算機(jī)信息安全問題，各種安全工具也應(yīng)運(yùn)而生。然而，矛與盾的交鋒似乎永無止境。例如防火墻是一種有效的安全工具，它可以隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，限制訪問，但是對(duì)于內(nèi)部網(wǎng)絡(luò)之間的訪問，防火墻往往無能為力。因此，對(duì)于內(nèi)外勾結(jié)的入侵行為，防火墻是很難發(fā)覺和防范的。另外，一個(gè)安全工具能不能實(shí)現(xiàn)預(yù)期目標(biāo)，很大程度上取決于使用者，包括系統(tǒng)管理者和普通用戶，因?yàn)椴徽_的設(shè)置就會(huì)產(chǎn)生不安全因素。例如，NT在進(jìn)行合理的設(shè)置后可以達(dá)到C2級(jí)的安全性，但很少有人能夠?qū)T本身的安全策略進(jìn)行合理的設(shè)置。雖然在這方面可以通過靜態(tài)掃描工具來檢測系統(tǒng)是否進(jìn)行了合理的設(shè)置，但是這些掃描工具基本上也只是基于一種缺省的系統(tǒng)安全策略進(jìn)行比較，針對(duì)具體的應(yīng)用環(huán)境和專門的應(yīng)用需求就很難判斷設(shè)置的正確性。

其次，系統(tǒng)的后門是傳統(tǒng)安全工具難于顧及到的地方。多數(shù)情況下，入侵行為可以經(jīng)過防火墻而很難被察覺；比如ASP源碼問題，它是IIS服務(wù)的設(shè)計(jì)者留下的一個(gè)后門，任何人都可以使用瀏覽器從網(wǎng)絡(luò)上方便地調(diào)出ASP程序的源碼，從而收集系統(tǒng)信息，進(jìn)而對(duì)系統(tǒng)實(shí)施攻擊。對(duì)于這類入侵行為，防火墻是無法發(fā)覺的，因?yàn)閷?duì)于防火墻來說，該入侵行為的訪問過程和正常的WEB訪問是相似的，唯一區(qū)別是入侵訪問在請(qǐng)求鏈接中多加了一個(gè)后綴。

隨著網(wǎng)絡(luò)的發(fā)展，黑客的攻擊手段也在不斷更新，幾乎每天都有不同系統(tǒng)安全問題出現(xiàn)。然而安全工具的更新速度似乎跟不上，絕大多數(shù)是病毒發(fā)現(xiàn)后才能采取對(duì)策。甚至當(dāng)安全工具剛發(fā)現(xiàn)并努力更正某方面的不足時(shí)，新的安全問題又出現(xiàn)了。這也是矛與盾相互較量永無休止的一個(gè)因素。

在網(wǎng)絡(luò)環(huán)境下，病毒傳播擴(kuò)散更快，僅用單機(jī)防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒，必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。例如政府機(jī)關(guān)內(nèi)部局域網(wǎng)，就需要一個(gè)基于服務(wù)器操作系統(tǒng)平臺(tái)的防病毒軟件和針對(duì)各種桌面操作系統(tǒng)的防病毒軟件。如果與互聯(lián)網(wǎng)相連，就需要網(wǎng)關(guān)的防病毒軟件，以加強(qiáng)上網(wǎng)計(jì)算機(jī)的安全。如果在網(wǎng)絡(luò)內(nèi)部使用電子郵件進(jìn)行信息交換，還需要一套基于郵件服務(wù)器平臺(tái)的郵件防病毒軟件，識(shí)別出隱藏在電子郵件和附件中的病毒。所以最好使用全方位的防病毒產(chǎn)品，針對(duì)網(wǎng)絡(luò)中所有可能的病毒攻擊點(diǎn)設(shè)置對(duì)應(yīng)的防病毒軟件，通過全方位、多層次的防病毒系統(tǒng)的配置，通過定期或不定期的自動(dòng)升級(jí)，使網(wǎng)絡(luò)免受病毒的侵襲。

利用防火墻可以在網(wǎng)絡(luò)通訊時(shí)執(zhí)行一種訪問控制尺度，允許防火墻同意訪問的人與數(shù)據(jù)進(jìn)入自己的內(nèi)部網(wǎng)絡(luò)，同時(shí)將不允許的用戶與數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問自己的網(wǎng)絡(luò)，防止他們隨意更改、移動(dòng)甚至刪除網(wǎng)絡(luò)上的重要信息。防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機(jī)制，防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部，所以，防火墻是網(wǎng)絡(luò)安全的重要一環(huán)。

入侵檢測技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。在入侵檢測系統(tǒng)中利用審計(jì)記錄，入侵檢測系統(tǒng)能夠識(shí)別出任何不希望有的活動(dòng)，從而達(dá)到限制這些活動(dòng)，以保護(hù)系統(tǒng)的安全。在內(nèi)部網(wǎng)絡(luò)中采用入侵檢測技術(shù)，最好采用混合入侵檢測，在網(wǎng)絡(luò)中同時(shí)采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測系統(tǒng)，構(gòu)架成一套完整立體的主動(dòng)防御體系。

此外，在網(wǎng)絡(luò)的www服務(wù)器、Email服務(wù)器等中使用網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)，實(shí)時(shí)跟蹤、監(jiān)視網(wǎng)絡(luò)， 截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容，并將其還原成完整的www、Email、FTP、Telnet應(yīng)用的內(nèi)容 ，建立保存相應(yīng)記錄的數(shù)據(jù)庫。

解決網(wǎng)絡(luò)層安全問題，首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患以及薄弱點(diǎn)。面對(duì)大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況，僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞、做出風(fēng)險(xiǎn)評(píng)估，顯然是不現(xiàn)實(shí)的。解決的方案是，尋找一種能查找網(wǎng)絡(luò)安全漏洞、評(píng)估并提出修改建議的網(wǎng)絡(luò) 安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下，可以利用各種黑客工具，對(duì)網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞，以便采用相應(yīng)對(duì)策。

對(duì)于網(wǎng)絡(luò)外部的入侵可以通過安裝防火墻來解決，但是對(duì)于網(wǎng)絡(luò)內(nèi)部的侵襲則無能為力。在這種情況下，我們可以采用對(duì)各個(gè)子網(wǎng)做一個(gè)具有一定功能的審計(jì)文件，為管理人員分析自己的網(wǎng)絡(luò)運(yùn)作狀態(tài)提供依據(jù)。也可設(shè)計(jì)一個(gè)子網(wǎng)專用的監(jiān)聽程序，長期監(jiān)聽子網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)間相互聯(lián)系的情況，為系統(tǒng)中各個(gè)服務(wù)器的審計(jì)文件提供備份。網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的工程，不能僅僅依靠防火墻等單個(gè)的系統(tǒng)，而需要仔細(xì)考慮業(yè)務(wù)特點(diǎn)以及系統(tǒng)的安全需求，并將各種安全技術(shù)，如密碼技術(shù)等結(jié)合在一起，才能生成一個(gè)高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。只是，網(wǎng)絡(luò)的應(yīng)用已經(jīng)普及到每一個(gè)行業(yè)與部門，包括個(gè)人用戶，因此，網(wǎng)絡(luò)安全技術(shù)已經(jīng)成為必不可少的重要條件，在這方面，要做的努力也將永無止境。