网络安全的矛与盾
2014-10-21刘战伟
刘战伟
摘 要 计算机处理业务已由单机的数学运算、文件处理,简单连结的内部网络及办公自动化发展为复杂的内部网、外部网乃至全球互联网的信息共享和业务处理。然而在互通能力提高的同时,网络的安全问题也日益突出。本文就此作了简要探讨。
关键字 网络安全 防火墙技术 防御体系
中图分类号:TP393 文献标识码:A
Internet的开放性导致了网络环境下的计算机信息安全问题,各种安全工具也应运而生。然而,矛与盾的交锋似乎永无止境。例如防火墙是一种有效的安全工具,它可以隐蔽内部网络结构,限制访问,但是对于内部网络之间的访问,防火墙往往无能为力。因此,对于内外勾结的入侵行为,防火墙是很难发觉和防范的。另外,一个安全工具能不能实现预期目标,很大程度上取决于使用者,包括系统管理者和普通用户,因为不正确的设置就会产生不安全因素。例如,NT在进行合理的设置后可以达到C2级的安全性,但很少有人能够对NT本身的安全策略进行合理的设置。虽然在这方面可以通过静态扫描工具来检测系统是否进行了合理的设置,但是这些扫描工具基本上也只是基于一种缺省的系统安全策略进行比较,针对具体的应用环境和专门的应用需求就很难判断设置的正确性。
其次,系统的后门是传统安全工具难于顾及到的地方。多数情况下,入侵行为可以经过防火墙而很难被察觉;比如ASP源码问题,它是IIS服务的设计者留下的一个后门,任何人都可以使用浏览器从网络上方便地调出ASP程序的源码,从而收集系统信息,进而对系统实施攻击。对于这类入侵行为,防火墙是无法发觉的,因为对于防火墙来说,该入侵行为的访问过程和正常的WEB访问是相似的,唯一区别是入侵访问在请求链接中多加了一个后缀。
随着网络的发展,黑客的攻击手段也在不断更新,几乎每天都有不同系统安全问题出现。然而安全工具的更新速度似乎跟不上,绝大多数是病毒发现后才能采取对策。甚至当安全工具剛发现并努力更正某方面的不足时,新的安全问题又出现了。这也是矛与盾相互较量永无休止的一个因素。
在网络环境下,病毒传播扩散更快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。例如政府机关内部局域网,就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,以加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使网络免受病毒的侵袭。
利用防火墙可以在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在内部网络中采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,构架成一套完整立体的主动防御体系。
此外,在网络的www服务器、Email服务器等中使用网络安全监测系统,实时跟踪、监视网络, 截获Internet网上传输的内容,并将其还原成完整的www、Email、FTP、Telnet应用的内容 ,建立保存相应记录的数据库。
解决网络层安全问题,首先要清楚网络中存在哪些安全隐患以及薄弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络 安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞,以便采用相应对策。
对于网络外部的入侵可以通过安装防火墙来解决,但是对于网络内部的侵袭则无能为力。在这种情况下,我们可以采用对各个子网做一个具有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。也可设计一个子网专用的监听程序,长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。网络安全是一个系统的工程,不能仅仅依靠防火墙等单个的系统,而需要仔细考虑业务特点以及系统的安全需求,并将各种安全技术,如密码技术等结合在一起,才能生成一个高效、通用、安全的网络系统。只是,网络的应用已经普及到每一个行业与部门,包括个人用户,因此,网络安全技术已经成为必不可少的重要条件,在这方面,要做的努力也将永无止境。
