信息安全的趋势和策略（下）

　　　　　　　　　　　　　　　　－胡司令－



　　前两年，微软的万维网服务器ＩＩＳ因其联合码的缺陷，安全漏洞层出不穷，
到了瞻前不顾后的地步，成就了多少骇客的梦想，以及一批半路出道、急赚ＩＴ大
钱的“咨询公司”的淘金时代。特别是２００１年因海南撞机事件引起的五月“中
美黑客大战”，使用微软服务器的网站成了典型的“肉包子”，阿猫阿狗都可以随
便去黑。

　　其实，这不能太怪比尔·盖兹的员工们编程时缺乏安全意识，ＵＮＩＸ的发明
者也承认当初开发系统时主要考虑的是方便而不是安全（因而才有“莫里斯蠕虫”
的得逞）。笔者认为造成上述现象的主因，在于微软的市场销售搞得太好太猛，超
前其产品的技术发展水平，使得他们不成熟的产品拥有太多的“Ｂｅｔａ试验用户
”。此外，他们还有个规划上的失误——把服务器这种技术性的东西也变成大众化
、ＧＵＩ（图形用户界面）化的玩具。谁都可以匆匆培训一下拿个证书充当技术管
理员。笔者个人认为，ＧＵＩ化应该只属于大众用户和企业管理阶层，而不应该扩
展成为专业技术人员的工具。当然这些是题外话。

　　近一两年，微软大抓产品的安全性和员工这方面的意识，推出了新一代的服务
器、工作站以及应接不暇的众多安全补丁。其服务器不再是五分钟就能被一般小毛
孩（ｓｃｒｉｐｔ　ｋｉｄｄｉｅｓ）轻易搞定了。于是，现在的“淘金者”们把
主要注意力从服务器转到了用户终端，客户端这个“软肋”成为攻击焦点，并且由
于人（用户）的参与互动，使得变数更大。

　　这种侧重于客户端和应用层的趋势和焦点，对安全防范策略提出了新的要求。
我们将看到，建立主动性的网络安全体系，变得越来越有必要。

（二）安全防范的体系和策略

　　让我们看看现今主要的安全防范措施：防火墙、虚拟专网、反病毒软件和入侵
探测系统。

　　防火墙可以检查数据包的标头，并拦截有问题的数据，但它无法识别更复杂的
入侵行为。打个简单的比方，防火墙只检查信封和来回邮寄程序，而不管信里面的
内容。

　　网络防火墙，通常是服务器或者重要网段不可缺少的安全部分，如今它也正在
普及到个人电脑上。微软的ＸＰ就自带了一套防火墙。个人防火墙、反病毒软件、
系统升级打补丁，成为保护客户端个人电脑不染毒、避免成为“肉鸡”的三大措施
。在“防火”和“救火”上，对付源源不断的网络病毒、蠕虫和骇客行为，三者各
有长短。

　　客户端除了自我防护，其对外通讯也有安全措施，如大家都熟悉的万维网加密
传输（ｈｔｔｐｓ）和虚拟专网（ＶＰＮ）。尤其使用家用个人电脑，远程移动设
备，或无线网络接入，通过公共的互联网连入一个机构内部的企业网时，ＶＰＮ基
本成为必需的。

　　虚拟专网是建立在公共网络（如因特网）上的专用通道，里面传输的数据受到
保护，公共网上其他人无法偷窥。但它无法保证该通道里的数据是否早已“含毒”
。

　　反病毒软件在用户终端检查解包后的特定数据内容，但那是靠软件商发布的检
查规则进行的，比病毒或攻击的出现慢一拍甚至几拍，而且是在数据流到达末端目
的地（客户终端或邮件服务器）时进行检查，属于比较被动的“灭火”行为。所以
它面对多样化的骇客攻击，没有太多反抗能力。

　　防火墙、反病毒软件等，都是必要但却被动的防范。如果要想有效地对付新时
期的安全问题，防范未知的攻击，提高整个网络体系的安全级别，就需要考虑更具
主动性（或曰反侵略性）的网络安全防卫措施。

　　入侵探测系统（ＩＤＳ）按照指定规则监测网络信息流，不但包括数据包标头
，还有数据报文（内容），并在发现情况时通知管理人员或警报系统。ＩＤＳ也属
于纯粹的受激反应系统，在入侵发生后才会有所行动。但ＩＤＳ系统可以被置于比
较重要的网络“咽喉要道”，因而能比较实时和全面地监测潜在的入侵动作。使用
以上同样的比方，入侵探测系统不但检查信封，还扫描其内容。

　　近年来现身的还有一种入侵防护系统（ＩＰＳ）。这种系统同样监测网络信息
流，但它采用的是先发制人的方法，不光识别潜在威胁，还进一步快速作出现场反
应。由于攻击者一旦得手后可能发动非常迅速的攻击，所以入侵防护系统的能力在
于根据预先制订的规则采取立即而直接的行动。例如，ＩＰＳ会把它确定为恶意的
数据包拦下，并封堵来自那个ＩＰ地址或端口的所有后续数据流，同时不耽搁合法
数据的传送，使服务没有延迟。简单地说，入侵防护系统就是入侵探测系统和防火
墙的有机结合。

　　一个主动性的网络安全模式，应该是对上述多种安全措施的综合管理和协调（
尽管这在现实中很难做到，尤其网络较大的企业）。它不光是攻击防卫系统，也是
一个漏洞管理系统。使得终端用户和企业从中获得最大的安全保障。这种系统最重
要的部分，是使用漏洞管理系统来防止所谓“通用漏洞披露”（ＣＶＥ）导致的攻
击和入侵。

　　如何实现主动性模式的网络安全？说起来并不复杂，关键在于提高安全意识，
知己知彼，每天勤奋一些，留意最新的威胁。对于一个企业，首先要有一套良好实
用的安全策略开路，并使之成为规章制度让所有人员遵守。同时，对整个企业网络
的内外各个大小通道进行审计核查，有没有不知道的无线网入口？无线网络是否加
密？内部有没有拨号调制解调器？有无网管方便之用的后门？远程虚拟专网如何管
理的？防火墙规则是否恰当？……

　　网络安全策略和守则应包括如何设置可靠的密码，建立安全意识，特别是信息
备份计划、业务持续计划（ＢＣＰ）和灾难恢复措施（ＤＲＰ）等。它必须贯彻到
企业各个级别和所有角落，毫无例外地被遵守。哪里出现破坏安全策略和守则的情
况，例如一个系统没有装反病毒软件或桌面防火墙，或是装了短信聊天软件或点对
点文件共享软件，那里就可能成为网络安全的祸源。必须强制所有用户终端（公开
或半公开的服务器更不必提）安装安全软件并及时更新，否则将如俗话所言，“一
粒老鼠屎，坏掉一锅汤”。

　　联网终端设备越来越趋于小型化或无线化，使得其移动性越来越强。研究表明
，移动终端的数量在今后五年将从几千万猛增到一、两百亿，因此企业网络安全将
面临巨大的考验！随处可移动的笔记本电脑和其它移动终端，极易随着员工迁移到
某些不安全或“有毒”的网络环境，并暴露在骇客攻击之下。当这些具有企业网络
接入权限的电脑再次接回公司网络环境时，便成了最大的安全隐患，任何内部系统
都可能由于未经验证的用户访问而被感染或入侵。通过设定安全策略，可以让企业
网络入口对无线或移动终端进行即时审核，如快速探测到无线终端的接入，并验证
这些终端是否符合企业安全策略，用户是否经过认证，有无明显系统漏洞，等等。


　　当前的无线网络，虽然有一套ＷＥＰ加密系统可供使用（很多无线产品出厂时
的缺省设置为不加密），但即使其最高安全级别也还是漏洞重重，难以修补，无法
有效防止骇客通过无线网络入侵企业内部网。所以，在新的、比ＷＥＰ更强的无线
加密标准ＷＰＡ实用化之前，企业网应尽量减少使用无线网络设备接入！实在有业
务需要，也最好同主要企业网尽量分离，自我孤立；而且不光要为无线设备数据加
密，勤打补丁更新固件，启动自身防火墙功能，还要改变所有的缺省设置，并勤于
更换用户名、口令或密匙等。

　　防火墙的安全主动性虽不强，但它对于分配的具体工作能完成得很好。现代防
火墙倾向于规则动态化、智能化，随时屏蔽可成为骇客入侵途径的端口、或移动终
端接入的危险端口。具有一定规模的企业，应该拥有内部的电脑安全快速反应小组
，以便尽快批准和实施应急情况下的防火墙规则。未来的趋势，是应用层上的入侵
防护系统，并且是第一时间拦截。如前所述，这正是防火墙和入侵探测系统的有机
结合。

　　更进一步的主动措施，是定期检查并及时弥补已知的网络和系统漏洞。“通用
漏洞披露”（ＣＶＥ）是由ＭＩＴＲＥ整理和公布的漏洞集，是内容不断更新的信
息安全漏洞标准。目前有许多商用和免费的漏洞审计工具（扫描器），利用ＣＶＥ
提供的数据来快速检测网络系统的通用漏洞，并提供修补方案和建议。

　　调查显示，９５％被入侵的系统是由于系统存在通用漏洞或系统的配置有错误
。未雨绸缪，抢在前头，跟踪不断更新的ＣＶＥ或产家安全信息，对企业网络进行
系统的扫描，并补上漏洞或施行其它补救措施，越来越显得有必要。

　　一个全方位、主动性的整体网络安全模式，除了良好的安全策略作起点，还应
分成如下层次：物理层安全、网络层安全、主机系统层安全、应用层安全以及安全
管理制度。在每个层面上，又应设立安全级别，做到有层次的防御，从信息保密级
，用户操作权限，到防火墙分级。本文侧重于信息安全的技术和逻辑层面，因此挑
网络层、系统层和应用层的安全简单谈谈。

　　网络层的安全问题，包括网络资源的访问控制、数据传输的保密性与完整性、
网络层用户身份认证、远程和移动接入的安全、网站、邮件、域名等公共服务器的
服务端口和路由系统的安全，入侵检测或防护的手段，等等。

　　系统层的安全问题，指网络上主机操作系统局部的安全，如ＵＮＩＸ和Ｗｉｎ
ｄｏｗｓ等。主要表现在操作系统下的缺陷，如系统漏洞、用户权限等，以及操作
系统配置的安全问题。

　　应用层的安全，主要指系统所采用的应用软件以及数据生成的安全，包括运行
在网站上的软件、内部数据库软件等，还有病毒对系统的威胁。

　　全面充份地对网络的安全漏洞和安全威胁进行分析、评估和检测（包括模拟性
攻击），是设计信息网络安全系统的必要前提。其首要目的是防止常见的攻击手段
和模式，根本目的在于提高整个网络系统的“最薄弱环节”的安全性。在时间、环
境和人力允许的条件下，对重点目标进行模拟渗透攻击检验。即使一个不成功的渗
透攻击，也能提供更加准确、更有深度的评估检验结果。笔者曾经针对前两年纷纷
淘金的“ＩＴ咨询公司”，将一个个失败的渗透攻击检验掖揄地称为“漏洞评估”
，是颇切中要害的。

　　笔者相信，入侵探测、漏洞评估和防火墙的协同作战，应该是主动性安全模式
的趋势和核心。

　　鲜活的网络不存在绝对的安全。对网络本身的工作原理了解得越深，网络基本
知识掌握得越好，你的网络就越有安全保障。

ＢＧＫ＠ｈｏｔｕｎｉｘ．ｃｏｍ