网络安全：要变被动为主动防御

9月16日，在2003中国网络安全解决方案评测发布会上，与会的专家纷纷指出，网络安全要变被动为主动。

墙高就意味着安全吗？

当前大部分信息安全系统主要是由防火墙、入侵监测和病毒防范等组成。这些安全手段主要是在网络层(IP)设防，在外围对非法用户和越权访问进行封堵，以达到防止外部攻击的目的。由于这些措施只是通过在外围对非法用户和越权访问进行封堵来达到防止外部攻击的目的，所以随着恶意用户的手段越来越高明，人们不得不把防火墙越砌越高，把入侵检测搞的越来越复杂，恶意代码库也是越做越大。维护与管理日益复杂，安全方面的投入不断增加。但是信息系统的使用效率大大降低，同时安全方面的问题也并没有得到完全的解决。由于网络攻击方式的不断提高，这些防御手段的局限性也日益显现出来。有数字表明，防火墙的攻破率已高达47%。

这堵漏洞、作高墙、防外攻的老三样之所以对日益猖獗的安全威胁防不胜防，来自华中科技大学的教授余祥宣认为这些防护技术不能完全的保护信息安全。因为这些技术都有一个共同的特点：那就是它们都是在攻击出现以后，针对攻击的特点所进行的措施，是被动防御。只有某一种病毒发作，人们才会知道病毒代码，然后才有查杀病毒软件；只有攻击发生，人们才会知道检测特征，然后才能对这种攻击进行监测。病毒和攻击不断更新，人们的防御措施不断的跟在安全威胁的后面跑，其被动挨打的局面显而易见。那么，如何变被动为主动呢？

“我们必须要控制发生不安全问题的根源。”国家信息化专家咨询委员会委员沈昌祥说。事实上，所有的入侵攻击都是从PC终端上发起的，黑客利用被攻击系统的漏洞窃取超级用户权限之后，才可以大肆进行破坏活动。而病毒的感染也是从终端发起的，利用PC操作系统对执行代码不检查一致性弱点，病毒程序将病毒代码嵌入到执行代码程序，完成了病毒的传播。此外，即使是对合法的用户也应该有严格的访问控制。再坚固的堡垒也会从内部被攻破。据2002年美国FBI统计，83%的信息安全事故为内部人员和内外勾结所为，而且呈上升的趋势。所以，如果合法用户可以进行越权访问，也是一个非常大的安全隐患。

“现在的不安全问题都是PC机结构和操作系统不安全引起的。”沈昌祥说，“如果从终端操作平台实施高等级防范，这些不安全因素将从终端源头被控制。所以在计算机和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，应是提高安全性的根本措施。”

余祥宣认为由于网络管理系统和数据库管理系统等核心软件的脆弱性，导致它们对传输、处理和存储过程中的数据保护乏术，以至敌手可以采用多种攻击手段对数据实施窃取(含拷贝等)、篡改和破坏(含拒绝服务等)。其中数据库作为信息的集中存放地，被盗或被毁的后果更是灾难性的。所以，应该积极采用中间件技术，在保护用户固有的软硬件投资的前提下，实现数据库密态存储和查询。

多种手段主动出击

显然，安全性最高的安全机制就是物理隔离。黑客技术再高，病毒传播速度再快，也无法攻击到一个与网络脱离的系统。但是，倒洗澡水不能把澡盆里的孩子一起倒掉。如果为了安全就不使用网络，那显然是一种因噎废食的做法。那么，如何又能享受网络带来的便利，又能最大限度的保证网络的安全呢？网络隔离设备是一种不错的选择。与防火墙在保证连通的情况下尽可能安全的原则不同，网络隔离设备是在保安全的情况下尽可能连通。由于一但发现某些行为会影响安全，连通就会断开，所以即使人们对于安全威胁的原理不清楚，也一样可以把它们挡在门外。所以，对于一些安全要求较高的系统是很有必要的。

黑客的存在由来已久，不过早期的黑客攻击的是通信链路。有些网闸厂商保留了

所以，中网公司的万国平认为，只要有链路连接和通信连接，就可以基于链路和通信的机制进行攻击。所以，在内外网之间的物理链路层因是永远隔断没有连接的，文件安全交换通过“文件摆渡”实现。这样，才能在保持隔离性的同时，提供一种安全有效的信息交换途径。

只有安全管理与网络管理高度统一融合，网络运行才能达到其应有的理想效果。用户希望能够在一个管理平台上管理整个网络中的所有设备，制定整体的、动态的网络安全管理策略并让系统自动执行，从而降低了管理复杂程度，提高了网管工作效率。

具体地说，就是这些解决方案要能够通过自动发现网络节点并自动生成管理网络图，可以自动发现策略生成虚拟管理视图，对系统实行对象化管理；利用设置并定制监控模式，当系统遇到故障时自动通知；在测定通信量的同时还可统计分析通信状况，对系统性能的优劣实施监视预警，进行基于客户化网络维护体系指标的统计分析；实现联动，对入侵检测、完整的网管日志、IP合法性、内部安全等有效管理。此外，通过性能管理调度、运行管理调度、监视策略调度以及批量处理，从而实现了网络的自动化管理，简化网络管理的复杂度也很重要。总之，就是在网络构成管理、网络故障管理、网络性能管理、网络安全管理和网络自动化管理等方面应具备强大的功能。

北京天融信网络安全技术有限公司的董事长贺卫东认为：为用户提供网络安全整体解决方案已成为安全公司抢占市场并取得可持续发展的重要手段。所以，他们推出的综合网络管理平台正是能够根据这一思路，充分考虑到用户的需求设计的。这个方案结束了安全管理与网络管理割据的局面，使得网管员可以更好的管理网络。

(T111)