走出防护黑客的误区

ZDNet软件频道 时间:2009-11-04 作者: | 比特网 我要评论()
本文关键词:黑客攻击 攻击防范 黑客 Windows
 网络安全的最高境界便是能预测黑客的下一个动作,让安全防护的机制能永远领先于黑客。不过在真实的世界里,常常事与愿违。黑客攻击事件依然层出不穷,网络系统还是经常受到不知名的电脑病毒的袭击,我们仍然需要依赖网络安全厂商花数天时间研究出来的方法,以此来应付新的威胁。可是,往往等到我们刚知道如何消灭新的病毒时,更新的变种病毒又开始在网络上蔓延了。

  网络安全的最高境界便是能预测黑客的下一个动作,让安全防护的机制能永远领先于黑客。不过在真实的世界里,常常事与愿违。黑客攻击事件依然层出不穷,网络系统还是经常受到不知名的电脑病毒的袭击,我们仍然需要依赖网络安全厂商花数天时间研究出来的方法,以此来应付新的威胁。可是,往往等到我们刚知道如何消灭新的病毒时,更新的变种病毒又开始在网络上蔓延了。

  加尔斯伯电脑经济学者(Computer Economics of Carlsbad, Calif.)研究公司表示,2000年全球信息系统因为电脑病毒肆虐所造成的损失为171亿美元,并呈现逐年增长的趋势,原因无非是我们一直追着黑客跑,而黑客却总是先我们一步。

  要在与黑客的战争中取得主动权,我们就必须先破除一些对网络安全方面的认识误区。

  误区一:防火墙万能论

  直到今日,仍有许多使用者认为,只要安装了防火墙便可以高枕无忧,或至少可以阻挡大部份的攻击行为。

  防火墙固然是重要且必备的安全机制,而且随着技术的进步,防火墙的功能也越来越强大,但是防火墙仍有其缺陷。无论是那个品牌的防火墙,它主要的工作便是控制存取与过滤封包,所以对DoS攻击、非法存取与篡改封包等攻击模式的防范极为有效,可以提供网络周边安全的防护。可是如果攻击行为不经过防火墙(例如自网络内部发动攻击),或是将应用层(Application Layer)的攻击程序隐藏于正常的封包内(例如暗藏于URL Unicode中的后门程序),防火墙便力不从心了。

  前一阵子重创网络的Nimda病毒攻击事件中,很多受害者的网络都安装有防火墙,可是依然未能幸免,原因不在于防火墙无法发挥作用,而是Nimda同时运用了多种攻击手法,而其中几种攻击方式都属于应用层(Application Layer)的攻击,防火墙无法察觉。不只Nimda病毒,现在的黑客技术日新月异,多半会在一个攻击行动中同时结合多种攻击技术,所以说,防火墙并非无用,但绝非万能。

  误区二:有需要,再建设

  这是典型的追着黑客跑的心态,通常持有这类想法的网络管理员都知道网络安全不可能单靠防火墙,而必须有更完备的安全机制来保护网络系统。不过他们并不确切知道自己的网络需要什么样的安全机制,因此也不知如何进一步规划网络安全。就算规划某种安全机制,也未必会被主管及采购人员所接受,所以只好头痛医头,脚痛医脚,等受到黑客攻击了,才根据“需要”建设安全机制。

  这种情形普遍存在于企业网络环境中,要解决这个问题,就必须建立完整而持续的网络安全稽核机制。黑客攻击手法极多,很难依据特定的攻击模式建立相对应的安全机制,更何况目前的攻击手法都会结合多种攻击模式。但不管攻击手法如何变化,攻击行为能够成功的前提不会改变,那就是网络有漏洞存在,一个被入侵的网络,一定有某个安全漏洞被黑客发现。反过来说,如果网络没有安全漏洞,无论黑客手法如何高明,也无法成功侵入网络。要成功地防堵黑客攻击,基本的工作便是找出网络上的安全漏洞。

  想要有效率且完整地检查网络上的安全漏洞,就必须利用Scanner工具。黑客也会利用类似Scanner的工具收集攻击目标的网络环境信息,找到安全漏洞,再伺机攻击。而用户亦可利用Scanner收集自己网络环境的信息并检查潜在的漏洞,再根据Scanner所建议采取的方法来移除或保护所发现的漏洞,譬如安装某一特定的补丁(patch),或是建立其他安全机制。只有在利用Scanner了解自己网络的状态后,才能对症下药,明确知道是否需要建置某一特定的安全机制(例如入侵侦测系统)。

  任凭黑客如何刁钻,其攻击行动的成功必须依赖其所要攻击的网络中的安全漏洞,以前不久的Code Red与Nimda电脑病毒为例,都是利用了微软IIS服务器的漏洞。但早在Code Red与Nimda分别被发现的前两个月,微软便已公布了补丁来修复安全漏洞,而从这两种病毒所造成的严重损失来看,仅有少数网络管理员及时下载补丁进行了修补漏洞的工作。

  误区三:花费太大

  网络安全机制的建立是从审视网络安全漏洞开始的,修补这些漏洞并不需要多少费用。美国联邦调查局与SANS组织会不定期发布二十大网络安全漏洞,这其中有许多漏洞只需下载原厂的补丁便可移除,而这些补丁通常是免费的。

  另外一些安全漏洞的防止皆是网络管理的老生常谈,比如严格管理密码账户、建立系统备份等,都是平常管理网络就该注意的必要事项,并不需额外的花费。

  最后,如依照全面检查的报告,确需建置防火墙或入侵侦测系统,其花费与其他系统(如服务器)建置所需的费用相比较,也并不昂贵。若考虑到因遭受攻击而需重建其他系统时会重复产生的费用,建置网络安全系统的成本便非常划算。

  总之,一个完善的网络安全机制的建立,关键并不在于硬件的费用,而在于管理者的用心。

黑客攻击

攻击防范

黑客

Windows

用户评论
用户名
评论内容
发表时间
ZDNet网友
2011-03-18 14:57:01
ZDNet网友
2010-05-21 00:49:14
ZDNet网友
2010-05-21 00:48:00
ZDNet网友
微软应该对自己的用户负责,如果用户完全使用xp升级微软win7,为什么要付出这样麻烦的代价?都是微软出品软件,且都是利用该软件获取信息以及处理文字、多媒体功能,微软应该尽可能方便用户!虽然有时候这样的请求也许跟不上时代技术发展的脚步,但是微软不要以此为借口,认为一切都理所应当,就不可以方便用户。还是要尽力,所谓拿人手短吃人嘴软,商业不正是讲求有商道吗!至少做人需诚实守信,尽可能帮助用户顺利、安全转换操作系统、各种必须软件功能尽可能兼容以及信息尽可能的少丢失!虽然这很大程度仅仅取决于微软等计算机专家、工程师的自我自律约束,我们普通用户恐怕很难知道微软究竟仅了多大力量为用户考虑,但是我相信真相会有被发现的一天,无论多久远。 微软从某种意义上来说,就是一个类似“掌握魔方”操作特别出神入化的公司。几乎奠定了电脑主要的“规则”,但是,我却相信不久将来我们会发现,电脑依然是非常有限的一个小系统而已!随着我们新的关键材料认知突破,电脑系统会真正被另一个革命性新电脑系统所取代,不要以为我这样的说法是无稽之谈不可实现,我却认为很有可能,只看这样的情况发生究竟是快还是慢,是早还是迟!变成历史的小玩具之后的电脑系统,微软会留下良好的历史声名吗?我们拭目以待! 网友::我爱佛祖
2010-02-03 13:52:55
- 发表评论 -
匿名
注册用户

百度大联盟认证黄金会员Copyright© 1997- CNET Networks 版权所有。 ZDNet 是CNET Networks公司注册服务商标。
中华人民共和国电信与信息服务业务经营许可证编号:京ICP证010391号 京ICP备09041801号-159
京公网安备:1101082134