随着全球信息化浪潮的涌动,全国上下掀起了一股信息网络的建设热潮,各地纷纷兴建信息 网络平台,组织建设信息港工程,以期在知识经济时代到来之际占有一席之地。殊不知“创业难,守业更难”,网络平台可以短时间内建设好,信息源也可以挂接上来,但随之而来的维护和安全管理问题却不是一朝一夕的事情。
很多地方在网络工程上马时,工程主要由一些网络集成公司负责,而网络真正的维护管理人 员却并没有参与进来,使得网络工程交接时,由于缺乏对系统的了解,造成维护管理工作只是浮于表面。目前,有的地方信息网络平台已遭到了黑客的攻击,并造成了一定的损失。倒不是 所有"黑客"的水平都很高,很多时候是由于网络管理人员在平时的维护过程中,忽视了对网络 安全管理的重视,使得系统很脆弱,从而给不法入侵者以可乘之机。下面将网络系统维护中极易产生的几个安全隐患提出来,供大家借鉴。
账号管理混乱
现有的网络操作系统,安全管理上都有一个共同特点,即必须经过有权用户的授权,才能实 现网络系统的登录和维护。特别是超级用户,它拥有操作系统的所有权利,因此谁掌握了它,谁 就掌握了整个系统的命脉。而日常维护的过程中,网络管理人员为了便于记忆或简化操作,通 常将有权账号口令设置得很简单,或者存放在公共场所很显眼的位置;另外,在系统上经常开设 出多个临时的有权账号,而且未能及时清理;再加上不注意更改口令,甚至将多个管理账号口令 设定为一个。从而使"黑客"借助一些专门的口令校验程序很容易将口令窃取,侵入网络系统。 所以,加强有权账号的管理力度是确保网络安全的第一步。
缺乏分级管理
由于UNIX是一个非常优秀的网络操作系统,所以目前很多的信息网络系统都以它为基础平 台。UNIX支持网络文件管理系统(NFS),并以组(Group)的概念来对网络用户进行分级。UNIX系 统缺省时,允许同一组内的用户互相读写或至少是读对方的文件或系统数据,所以一旦系统的组 划分得不当,就很可能造成普通用户有与超级用户一样的权利,它不仅能了解系统的配置情况, 增加或修改系统的参数文件,而且能够更换系统上的信息内容,甚至摧毁整个系统。为了避免这 种情况的发生,一方面,要将普通用户账号开设为零组用户,严禁将普通用户账号与高级别管理 账号归属于同一组内;另一方面,要严格检查系统的重要配置文件(passwd、shadow、登录记录 文件等)的读写权限,做到所有权唯一。
FTP存在隐患
众所周知,FTP是为了共享软件资源,方便用户文件下载而制定的文件传输协议。既然是为 了共享,那么必然有对系统读写的权利,所以它也是整个网络系统的薄弱环节。目前,一些网上 "黑客"常常利用FTP作为侵入和破坏系统的突破口。他们有时利用FTP将一些监控程序装入系 统,以窃取管理口令;有时利用FTP获取系统的passwd文件,从而了解系统的用户信息;有时利用FTP的puts和gets功能,增加系统负担,从而导致硬盘塞满甚至系统崩溃。
但为了满足用户的需求,很多系统的FTP功能又不得不打开,那么如何应付呢?首先,应做到 正确地配置FTP,防止系统文件被窃取,或其目录下程序进程的启动;其次,有条件的地方将FTP 服务器与网络上的其它应用隔离,这样即便被攻击,也不会影响整个系统;再次,注意定期观察 FTP服务器的运行情况,检查硬盘的大小,并做出相应处理。
CGI接口程序有弊病
CGI即公共网关接口,它的出现将整个网络内容丰富起来,并使WWW服务实现了交互式访 问,增强了系统对数据的处理能力,应该说CGI是WWW领域内一项很不错的应用。然而,正是这 种交互式的应用,使一些网络不法者蠢蠢欲动,为什么会这样呢?原来,CGI程序有对系统可读写 的权力,有了这个权力,黑客就可以设法控制系统,读写系统数据。所以,一个不健壮的 CGI程序,或者从网上免费获取的CGI程序,平时应尽量少用,并及时将系统上无用的CGI程序清除,以免被黑客所利用。
(责任编辑:clearcase/" target="_blank" >cci.net.com">赵纪雷)