网络安全管理为先(1)

正如没有绝对富有或者绝对贫穷，网络安全供应商指出:没有绝对的网络安全。然而，某些网络安全专家们可能会说，唯一绝对安全的计算机必须切断电源，用“混凝土”来填充，并投放到海底。既然如此，企业的IT经理们怎样才能开发出一套行之有效的安全战略，既能保持网络安全性和系统性能，又不必耗费巨资呢?

前阵子，一个名为“MDropper”，专门利用PowerPoint的特洛伊木马病毒，被发现“粉墨登场”，它已经感染了一些电脑，但是该病毒并没有波及所有领域，即通报中网络安全问题通常所涉及的领域。而几个星期之前，Fortinet公司已公开发表有关Microsoft Office重大漏洞的新发现，其中该漏洞是由PNG过滤器导致的，微软并对此作了相关修正。而Symantec发表了一个关于Window Vista的报告，该报告针对微软发布的下一主要操作系统中重新编写的“网络协议栈(network protocol stack)”提出了批评意见，指出:“尽管微软公司确实发现并修正了联网代码这些问题，但我们仍希望在今后仍能不断找出漏洞。通常作为复杂软件体系的联网栈要历经数年才能真正成熟”。

计算机和网络威胁的演变史

从表面上看，病毒、特洛伊木马、间谍程序以及其他形式的恶意代码软件将一直存在，网络普遍受到的安全威胁无法在短时间内有所好转。目前面临的挑战，并非仅仅让企业主和高层管理人员坚信他们确实需要一个可行的网络安全策略，而是需要找到一种解决方案，既能够充分节约成本和利用有限的资源，又能有效地解决网络安全问题。

就在几年前，大部分公司所使用的安全策略，主要是由网关处设立的防火墙以及每个台式电脑、手提电脑上安装的防病毒程序组成。而今，网络管理员还需兼任网络安全指挥官，通过在防火墙上设置一系列有效规则来实施安全策略，以有效阻止大多数电脑黑客的入侵。然而从那时开始，计算机和网络威胁的实质开始迅速转变。当今的网络威胁充分利用了常用服务(如电子邮件)，作为恶意软件的传输载体。网络蠕虫和病毒目前还有其他一些特性:如Melissa 蠕虫病毒本身带有一个邮件引擎，该引擎可以复制邮件本身并将其发送给感染此类病毒的计算机通讯录中的所有用户。诸如之前提到的MDropper最新病毒目标更加明确，这表示黑客以及攻击者开始集中于一系列目标，而不再毫无选择的攻击更多的机器。

随着各种攻击方式的涌现，单纯的防火墙已无法满足防御需求。目前的企业通常会在邮件服务器上部署防垃圾邮件(anti-spam)软件，进行入侵探测，以及阻止非法用户登录网络等。如今的防火墙已集成更多先进技术，如信息包深入检测技术(deep packet inspection)，可通过查看网络流的内容来纠出恶意软件;现在台式电脑和手提电脑上安装的防间谍软件以及私人防火墙主要是增大防病毒软件的防护功能。安全软件以及系统的多样化和宽泛性带来了一个新挑战，那就是“易管理性”。

对多样化的有效管理

为了具体说明提升“易管理性”所面临的挑战，我们可以假定某公司有10台计算机，每台机器都安装了防病毒软件以及单独的防火清;如果目前只有一个网络管理员，如果要为每台机器都下载更新该月最新的病毒库(尽管事实上不可能)，则需要花费很长一段时间。设想一下，如果该公司有50台计算机，甚至100台计算机，那工作量将不可思议!如此工作很快就会变得行不通。而如果将下载更新病毒库的任务转交给其用户，任何经验丰富的系统管理员都会告诉你，这更不现实，因为大多数非专业用户会感觉很麻烦。

另一个问题便是技术方面的要求。目前，大多数网络管理员对TCP/IP以及基本的防火墙或者信息包过滤技术至少有一个基本的了解。然而，我们必须保护企业免受来自邮件或者短消息客户端、甚至内部人士访问非法网站所导致的病毒和恶意软件攻击;管理员需要懂得如何配置信息过滤，如何通过关闭不使用的或是易受攻击的端口来保护服务器，安装并配置防垃圾邮件软件以及防范垃圾邮件引擎等。大型企业或许有资源、人力以及内部技术来实现以上需求，但是中小型企业就可能无法实现，而黑客侵入只需找到安全策略中某些被忽略的局部漏洞就够了。

如此说来，中小型企业就无计可施，只能坐以待毙、等待黑客攻击么?相反的，大型企业只要有巨额预算和充足人力就能轻松应对黑客、高枕无忧么?

如果安全策略只是简单的安装更多的防火墙和防病毒软件之类的问题，那么中小型企业势必始终处于劣势，而大型企业将无与匹敌。这显然很荒谬，因为这是把安全看成了一门学问，而实际上它更是一门艺术。

无论网络安全供应商如何推崇其产品，绝对安全可靠的网络并不存在 — 只是网络容易受到攻击或者很难受到攻击。如果黑客技术足够过硬，时间足够充足，再好的防火墙、再优秀的软件都有可能发挥不到作用。另一方面，一个经过周密考虑和部署的安全系统，完全可以为大多数公司提供充足防护，一旦发现非法侵入，即可做出适当响应，从而可以长期有效地阻止黑客攻击。