走出防护黑客的误区

　　网络安全的最高境界便是能预测黑客的下一个动作，让安全防护的机制能永远领先于黑客。不过在真实的世界里，常常事与愿违。黑客攻击事件依然层出不穷，网络系统还是经常受到不知名的电脑病毒的袭击，我们仍然需要依赖网络安全厂商花数天时间研究出来的方法，以此来应付新的威胁。可是，往往等到我们刚知道如何消灭新的病毒时，更新的变种病毒又开始在网络上蔓延了。

　　加尔斯伯电脑经济学者(Computer Economics of Carlsbad, Calif.)研究公司表示，2000年全球信息系统因为电脑病毒肆虐所造成的损失为171亿美元，并呈现逐年增长的趋势，原因无非是我们一直追着黑客跑，而黑客却总是先我们一步。

　　要在与黑客的战争中取得主动权，我们就必须先破除一些对网络安全方面的认识误区。

　　误区一：防火墙万能论

　　直到今日，仍有许多使用者认为，只要安装了防火墙便可以高枕无忧，或至少可以阻挡大部份的攻击行为。

　　防火墙固然是重要且必备的安全机制，而且随着技术的进步，防火墙的功能也越来越强大，但是防火墙仍有其缺陷。无论是那个品牌的防火墙，它主要的工作便是控制存取与过滤封包，所以对DoS攻击、非法存取与篡改封包等攻击模式的防范极为有效，可以提供网络周边安全的防护。可是如果攻击行为不经过防火墙(例如自网络内部发动攻击)，或是将应用层(Application Layer)的攻击程序隐藏于正常的封包内(例如暗藏于URL Unicode中的后门程序)，防火墙便力不从心了。

　　前一阵子重创网络的Nimda病毒攻击事件中，很多受害者的网络都安装有防火墙，可是依然未能幸免，原因不在于防火墙无法发挥作用，而是Nimda同时运用了多种攻击手法，而其中几种攻击方式都属于应用层(Application Layer)的攻击，防火墙无法察觉。不只Nimda病毒，现在的黑客技术日新月异，多半会在一个攻击行动中同时结合多种攻击技术，所以说，防火墙并非无用，但绝非万能。

　　误区二：有需要，再建设

　　这是典型的追着黑客跑的心态，通常持有这类想法的网络管理员都知道网络安全不可能单靠防火墙，而必须有更完备的安全机制来保护网络系统。不过他们并不确切知道自己的网络需要什么样的安全机制，因此也不知如何进一步规划网络安全。就算规划某种安全机制，也未必会被主管及采购人员所接受，所以只好头痛医头，脚痛医脚，等受到黑客攻击了，才根据“需要”建设安全机制。

　　这种情形普遍存在于企业网络环境中，要解决这个问题，就必须建立完整而持续的网络安全稽核机制。黑客攻击手法极多，很难依据特定的攻击模式建立相对应的安全机制，更何况目前的攻击手法都会结合多种攻击模式。但不管攻击手法如何变化，攻击行为能够成功的前提不会改变，那就是网络有漏洞存在，一个被入侵的网络，一定有某个安全漏洞被黑客发现。反过来说，如果网络没有安全漏洞，无论黑客手法如何高明，也无法成功侵入网络。要成功地防堵黑客攻击，基本的工作便是找出网络上的安全漏洞。

　　想要有效率且完整地检查网络上的安全漏洞，就必须利用Scanner工具。黑客也会利用类似Scanner的工具收集攻击目标的网络环境信息，找到安全漏洞，再伺机攻击。而用户亦可利用Scanner收集自己网络环境的信息并检查潜在的漏洞，再根据Scanner所建议采取的方法来移除或保护所发现的漏洞，譬如安装某一特定的补丁(patch)，或是建立其他安全机制。只有在利用Scanner了解自己网络的状态后，才能对症下药，明确知道是否需要建置某一特定的安全机制(例如入侵侦测系统)。

　　任凭黑客如何刁钻，其攻击行动的成功必须依赖其所要攻击的网络中的安全漏洞，以前不久的Code Red与Nimda电脑病毒为例，都是利用了微软IIS服务器的漏洞。但早在Code Red与Nimda分别被发现的前两个月，微软便已公布了补丁来修复安全漏洞，而从这两种病毒所造成的严重损失来看，仅有少数网络管理员及时下载补丁进行了修补漏洞的工作。

　　误区三：花费太大

　　网络安全机制的建立是从审视网络安全漏洞开始的，修补这些漏洞并不需要多少费用。美国联邦调查局与SANS组织会不定期发布二十大网络安全漏洞，这其中有许多漏洞只需下载原厂的补丁便可移除，而这些补丁通常是免费的。

　　另外一些安全漏洞的防止皆是网络管理的老生常谈，比如严格管理密码账户、建立系统备份等，都是平常管理网络就该注意的必要事项，并不需额外的花费。

　　最后，如依照全面检查的报告，确需建置防火墙或入侵侦测系统，其花费与其他系统(如服务器)建置所需的费用相比较，也并不昂贵。若考虑到因遭受攻击而需重建其他系统时会重复产生的费用，建置网络安全系统的成本便非常划算。

　　总之，一个完善的网络安全机制的建立，关键并不在于硬件的费用，而在于管理者的用心。