Internet的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题,这些安全隐患可以归结为以下几个方面。
一是只要有程序,就可能存在漏洞。几乎每天都有新的漏洞被发现和公布,程序设计者在修改已知漏洞的同时又可能使它产生新的漏洞。此外,系统的漏洞经常被黑客攻击,而且这种攻击通常不会产生日志,几乎无据可查。
二是黑客的攻击手段在不断更新。安全工具的更新速度太慢,绝大多数情况需要人为参与才能发现以前未知的安全问题,这就使得他们对新出现的安全问题总是反应太慢。因此,黑客总是可以找到漏洞进行攻击。
三是传统安全工具难于保护系统的后门。防火墙很难考虑到这类安全问题,大多数情况下,这类入侵行为可以堂而皇之地绕过防火墙而很难被察觉。
四是安全工具的使用受到人为因素的影响。一个安全工具能不能实现期望的效果,在很大程度上取决于使用者,包括系统管理者和普通用户。
五是每一种安全机制都有一定的应用范围和环境。防火墙是一种有效的安全工具,它可以隐蔽内部网络结构,限制外部网络到内部网络的访问,但对于内部网络之间的访问往往是无能为力的。
2.增强网络安全的防护力。
首先是网络内部,即个人电脑。我们不能保证电脑用户每一次操作都是正确与安全的。由于如今流行的操作系统或多或少地存在漏洞和缺陷,并且新的漏洞与利用各种漏洞的蠕虫变种层出不穷,一般情况下,可以通过安装防病毒软件来防御病毒的威胁。但是,面对蠕虫、木马程序、后门程序等,防病毒软件并不能起到很显着的作用,因此,一旦个人电脑遭到攻击,就很可能威胁到整个内部网络和核心区域。
其次是网络结构的安全性。通过部署多层交换机,实现多个VLAN和快速收敛的路由,是保证网络结构可靠性的最佳方法。在划分了多个逻辑网络和建立符合应用的ACL的同时,我们更希望能收集和归纳出整个网络的更多安全信息,包括流量的管理、入侵行为和用户访问信息。仅通过网络设备提供的日志、SNMP 管理是远远不够的,现今的方法是通过部署IDS/IPS来实现更有效的管理。在核心的节点部署IDS/IPS探点,采集和汇总数据包的完整信息,然后提供给网络管-理人员分析,是一个正确的方法。
