构筑防线-黑客与网络安全

    A.黑客和安全技术

    新的安全技术包括honeypots（“密罐”）、decoys（“圈套”）、air gaps（物理隔离）、exit controls（退出控制）、self-healing tools（自我治疗工具）和denial-of-service defenses（防范拒绝服务）。

    黑客与网络安全专家之间进行的斗争不再受防火墙限制，已经演化成发生于Web和企业服务器上的肉搏。与此同时，各种新的网络安全工具也纷纷涌现出来，它们保护Web站点和企业网络不受内外的安全威胁。下面介绍几种最新的安全工具。

    B.安全工具介绍

    有进无出

    Gilian的G-Server并不关心黑客怎样进入你的Web站点或者对你的站点进行了什么修改，因为Gilian的Exit Control技术可以将它们拒之门外。Gilian的G-Server介于Web服务器和将服务器连往Internet的路由器或防火墙之间，它监视着流出的每一项内容。Exit Control G-Server中包含了许多验证过的Web内容发布过程中产生的数字签名。

    每次当Web内容制作者发布新的或者修改后的内容时，G-Server会为该内容对象保存一份数字化备份和一个与之对应的数字签名。如果内容与签名不匹配，发出的信号将触发G-Server立即将假的页面用安全的备份页面进行替换，同时向相应人员发出警报。

    Tripwire公司的Tripwire for Servers是一个与G-Server相似的数据和网络保护产品。不过它的机制与后者不同，Tripwire for Servers需要装在被保护的服务器上。它监视所有的文件变化，不管这些文件最初来自公司内部还是外部，然后在某些变化违反预先定制的规则时发出警报。

    诱敌深入

    Honeypots用于引诱并将入侵者牵制在网络上。据Recourse技术公司的副总裁Fred Kost介绍，Honeypots是一种诱骗设备，可以将攻击从重要系统上引开同时让安全专家研究了解在网络上发生了什么。Recourse出品的ManTrap是一个强大的Honeypot型工具，在防范内部攻击时，它被部署在数据服务器的旁边；在防范外部攻击时，它被布置在防火墙外。

    Kost透露，大多数用户都将Honeypots用于内部，以控制一些可疑的活动。在这种情况下，一个ManTrap服务器会被伪装成一个存放了商业计划或有关知识产权文件的文件服务器。ManTrap服务器的成功部署牵扯到诸多因素包括数量、命名方案、布置及安全策略。比如，当欺骗服务器的数量与主服务器相等甚至更多时，欺骗效果才更好。因此，Honeypots也是一种昂贵的方案，企业必须筛选出需要保护的重要服务器。

    将攻击者吸引到ManTrap的关键在于使ManTrap服务器看起来比其它服务器更有价值。一旦入侵者上当，管理员可以记录其行为并分析其目的。

    拒敌千里 

    Air gap技术在被信任网络和非被信任网络之间构建了一道物理上的鸿沟，它为在外部服务器和企业内部网络间传送文件建立了孤立的通路。RVT技术公司、Spearhead技术公司和Whale通信公司都提供类似的产品。Whale公司的e-Gap Web Shuttle是一个介于两台主机之间管理数据交换的不可编程设备。它在Internet与公司内部服务器间建立鸿沟。企业可以将e-Gap部署在运行诸如在线银行等电子商务应用的外部服务器与内部数据库服务器之间。

    据Whale公司技术服务总监Joseph Steinberg介绍，e-Gap系统由安装在两台PC主机上的应用组成，一台负责内部一台负责外部。内部主机与内部网络连接，外部主机则放于防火墙之前。所有连向Web页面的URL都被定向到位于外部主机上的对应的仿造网址，真实页面并不在外部主机上。外部主机会剥离传进来的协议头，只留下SSL层的内容并将其传给e-Gap Web Shuttle；e-Gap Web Shuttle再将加密数据传给使用e-disk的内部主机；内部主机将SSL信息解密，对用户进行识别并过滤URL内容；然后将URL请求发给企业内部网中的Web服务器。

    攘外必先安内

    用于内部的安全与薄弱环节评估的工具，可以在问题发生前检测到企业系统的弱点所在并修补漏洞。eEye公司出品的Retina 3.0可以扫描、监视并自动修复企业网络的不安全之处。该产品运行于Windows NT 4.0 SP3或者Windows 2000系统上。

    eEye的工程师Mark Maiffret称，该软件可以安装在网络中的任何机器上。网络管理员输入一个IP地址的扫描范围，即可进行网络的扫描。该软件可以检查到网络漏洞、软件漏洞及管理策略问题并随时报告。该产品的修复功能为管理员提供漏洞的描述及修复漏洞的方法，或者直接给出“修复”按钮自动完成修复。 

    拒绝“拒绝服务” 

针对“拒绝服务”（DoS）攻击的产品应该说是新一类的安全工具。顾名思义，DoS攻击就是利用软件漏洞或系统负荷过度从而使计算机系统无法被正常访问。这类攻击是最近才出现的，因此其防范工具也问世未久，有些甚至还处于测试阶段。目前Arbor网络公司、Mazu网络公司和Asta网络公司可以提供此类防范工具。

Mazu公司首席执行官Phil London表示，该公司针对分布式DoS攻击的解决方案是对网络进行智能流量分析并过滤整个网络。它提供一个类似包探测器或分析器的监测设备，以最高1Gbps的速度评估网络数据包；然后另一个设备决定哪种数据包将被过滤。

    C.再谈安全

    总结

    所有这些新的安全技术从理论上说为企业提供了更多层的安全保护、更好的整体安全性。对企业来说，额外的安全机制会使自己处于不败之地。然而，任何技术都不是十全十美的，需要以辨证的观点来对待他们。事实上，实施这些新的安全产品也存在一些不利影响。比如：

    它们会增加系统负担 
    它们需要相当的专业技术背景 
    许多厂商是新起步的企业，不知道他们会存活多久 
    很多IT企业不愿意为预防性措施投入过多经费

    总而言之，安全问题从来不是一劳永逸的。它是一个持久的“事业”，会吸引更多有创意的企业人士的关注。