網(wǎng)絡(luò)安全:構(gòu)筑防線黑客與網(wǎng)絡(luò)安全

A.黑客和安全技術(shù)
    新的安全技術(shù)包括honeypots（“密罐”）、decoys（“圈套”）、air gaps（物理隔離）、exit controls（退出控制）、self-healing tools（自我治療工具）和denial-of-service defenses（防范拒絕服務(wù)）。
    黑客與網(wǎng)絡(luò)安全專家之間進(jìn)行的斗爭不再受防火墻限制，已經(jīng)演化成發(fā)生于Web和企業(yè)服務(wù)器上的肉搏。與此同時，各種新的網(wǎng)絡(luò)安全工具也紛紛涌現(xiàn)出來，它們保護Web站點和企業(yè)網(wǎng)絡(luò)不受內(nèi)外的安全威脅。下面介紹幾種最新的安全工具。
    B.安全工具介紹
    有進(jìn)無出
    Gilian的G-Server并不關(guān)心黑客怎樣進(jìn)入你的Web站點或者對你的站點進(jìn)行了什么修改，因為Gilian的Exit Control技術(shù)可以將它們拒之門外。Gilian的G-Server介于Web服務(wù)器和將服務(wù)器連往Internet的路由器或防火墻之間，它監(jiān)視著流出的每一項內(nèi)容。Exit Control G-Server中包含了許多驗證過的Web內(nèi)容發(fā)布過程中產(chǎn)生的數(shù)字簽名。
    每次當(dāng)Web內(nèi)容制作者發(fā)布新的或者修改后的內(nèi)容時，G-Server會為該內(nèi)容對象保存一份數(shù)字化備份和一個與之對應(yīng)的數(shù)字簽名。如果內(nèi)容與簽名不匹配，發(fā)出的信號將觸發(fā)G-Server立即將假的頁面用安全的備份頁面進(jìn)行替換，同時向相應(yīng)人員發(fā)出警報。
    Tripwire公司的Tripwire for Servers是一個與G-Server相似的數(shù)據(jù)和網(wǎng)絡(luò)保護產(chǎn)品。不過它的機制與后者不同，Tripwire for Servers需要裝在被保護的服務(wù)器上。它監(jiān)視所有的文件變化，不管這些文件最初來自公司內(nèi)部還是外部，然后在某些變化違反預(yù)先定制的規(guī)則時發(fā)出警報。
    誘敵深入
    Honeypots用于引誘并將入侵者牽制在網(wǎng)絡(luò)上。據(jù)Recourse技術(shù)公司的副總裁Fred Kost介紹，Honeypots是一種誘騙設(shè)備，可以將攻擊從重要系統(tǒng)上引開同時讓安全專家研究了解在網(wǎng)絡(luò)上發(fā)生了什么。Recourse出品的ManTrap是一個強大的Honeypot型工具，在防范內(nèi)部攻擊時，它被部署在數(shù)據(jù)服務(wù)器的旁邊；在防范外部攻擊時，它被布置在防火墻外。
    Kost透露，大多數(shù)用戶都將Honeypots用于內(nèi)部，以控制一些可疑的活動。在這種情況下，一個ManTrap服務(wù)器會被偽裝成一個存放了商業(yè)計劃或有關(guān)知識產(chǎn)權(quán)文件的文件服務(wù)器。ManTrap服務(wù)器的成功部署牽扯到諸多因素包括數(shù)量、命名方案、布置及安全策略。比如，當(dāng)欺騙服務(wù)器的數(shù)量與主服務(wù)器相等甚至更多時，欺騙效果才更好。因此，Honeypots也是一種昂貴的方案，企業(yè)必須篩選出需要保護的重要服務(wù)器。
    將攻擊者吸引到ManTrap的關(guān)鍵在于使ManTrap服務(wù)器看起來比其它服務(wù)器更有價值。一旦入侵者上當(dāng)，管理員可以記錄其行為并分析其目的。
    拒敵千里
    Air gap技術(shù)在被信任網(wǎng)絡(luò)和非被信任網(wǎng)絡(luò)之間構(gòu)建了一道物理上的鴻溝，它為在外部服務(wù)器和企業(yè)內(nèi)部網(wǎng)絡(luò)間傳送文件建立了孤立的通路。RVT技術(shù)公司、Spearhead技術(shù)公司和Whale通信公司都提供類似的產(chǎn)品。Whale公司的e-Gap Web Shuttle是一個介于兩臺主機之間管理數(shù)據(jù)交換的不可編程設(shè)備。它在Internet與公司內(nèi)部服務(wù)器間建立鴻溝。企業(yè)可以將e-Gap部署在運行諸如在線銀行等電子商務(wù)應(yīng)用的外部服務(wù)器與內(nèi)部數(shù)據(jù)庫服務(wù)器之間。
    據(jù)Whale公司技術(shù)服務(wù)總監(jiān)Joseph Steinberg介紹，e-Gap系統(tǒng)由安裝在兩臺PC主機上的應(yīng)用組成，一臺負(fù)責(zé)內(nèi)部一臺負(fù)責(zé)外部。內(nèi)部主機與內(nèi)部網(wǎng)絡(luò)連接，外部主機則放于防火墻之前。所有連向Web頁面的URL都被定向到位于外部主機上的對應(yīng)的仿造網(wǎng)址，真實頁面并不在外部主機上。外部主機會剝離傳進(jìn)來的協(xié)議頭，只留下SSL層的內(nèi)容并將其傳給e-Gap Web Shuttle；e-Gap Web Shuttle再將加密數(shù)據(jù)傳給使用e-disk的內(nèi)部主機；內(nèi)部主機將SSL信息解密，對用戶進(jìn)行識別并過濾URL內(nèi)容；然后將URL請求發(fā)給企業(yè)內(nèi)部網(wǎng)中的Web服務(wù)器。
    攘外必先安內(nèi)
    用于內(nèi)部的安全與薄弱環(huán)節(jié)評估的工具，可以在問題發(fā)生前檢測到企業(yè)系統(tǒng)的弱點所在并修補漏洞。eEye公司出品的Retina 3.0可以掃描、監(jiān)視并自動修復(fù)企業(yè)網(wǎng)絡(luò)的不安全之處。該產(chǎn)品運行于Windows NT 4.0 SP3或者Windows 2000系統(tǒng)上。
    eEye的工程師Mark Maiffret稱，該軟件可以安裝在網(wǎng)絡(luò)中的任何機器上。網(wǎng)絡(luò)管理員輸入一個IP地址的掃描范圍，即可進(jìn)行網(wǎng)絡(luò)的掃描。該軟件可以檢查到網(wǎng)絡(luò)漏洞、軟件漏洞及管理策略問題并隨時報告。該產(chǎn)品的修復(fù)功能為管理員提供漏洞的描述及修復(fù)漏洞的方法，或者直接給出“修復(fù)”按鈕自動完成修復(fù)。
    拒絕“拒絕服務(wù)”
    針對“拒絕服務(wù)”（DoS）攻擊的產(chǎn)品應(yīng)該說是新一類的安全工具。顧名思義，DoS攻擊就是利用軟件漏洞或系統(tǒng)負(fù)荷過度從而使計算機系統(tǒng)無法被正常訪問。這類攻擊是最近才出現(xiàn)的，因此其防范工具也問世未久，有些甚至還處于測試階段。目前Arbor網(wǎng)絡(luò)公司、Mazu網(wǎng)絡(luò)公司和Asta網(wǎng)絡(luò)公司可以提供此類防范工具。
    Mazu公司首席執(zhí)行官Phil London表示，該公司針對分布式DoS攻擊的解決方案是對網(wǎng)絡(luò)進(jìn)行智能流量分析并過濾整個網(wǎng)絡(luò)。它提供一個類似包探測器或分析器的監(jiān)測設(shè)備，以1Gbps的速度評估網(wǎng)絡(luò)數(shù)據(jù)包；然后另一個設(shè)備決定哪種數(shù)據(jù)包將被過濾。
    C.再談安全
    總結(jié)
    所有這些新的安全技術(shù)從理論上說為企業(yè)提供了更多層的安全保護、更好的整體安全性。對企業(yè)來說，額外的安全機制會使自己處于不敗之地。然而，任何技術(shù)都不是十全十美的，需要以辨證的觀點來對待他們。事實上，實施這些新的安全產(chǎn)品也存在一些不利影響。比如：
    它們會增加系統(tǒng)負(fù)擔(dān)
    它們需要相當(dāng)?shù)膶I(yè)技術(shù)背景
    許多廠商是新起步的企業(yè)，不知道他們會存活多久
    很多IT企業(yè)不愿意為預(yù)防性措施投入過多經(jīng)費
    總而言之，安全問題從來不是一勞永逸的。它是一個持久的“事業(yè)”，會吸引更多有創(chuàng)意的企業(yè)人士的關(guān)注。