网管员必备宝典系列作者感言：网管安全中的“木桶理论”

 

说到网络安全，现在越来越多的网络管理员，特别是是初级网络管理员显得无所是从，因为现在的网络安全已自成体系，涉及和覆盖非常之广。他们也知道，现在的网络安全管理不再是反计算机病毒软件+防火墙就能代表全部的了，但却不知道具体包括哪些方面，应该如何有效部署。

网络安全的管理说到底就是网络安全隐患的排除，而安全隐患又是随着网络技术本身的发展而生产和变化的。可以这么说，任何一种新的网络技术的诞生，也同时带来相应的网络安全隐患，随之而生的就是各种为了解决相应网络技术安全隐患的安全技术。有线以太网如此，WLAN无线网络更是如此，VPN和Interent通信还是如此。而且伴随着每一种网络类型的安全隐患来源又不是单方面，而是渗透到了整个网络通信的各个层次，有物理层的，有数据链路层的，还有网络层、传输层的，一直到应用层。

面对如此复杂的网络安全隐患来源，作为网络管理员首先就要有全局的观念，充分体现的是就是我们通常所听到的“木桶理论”。全局观念我们好理解，就是要尽可能地考虑到各种可能性。“木桶理论”就是说，我们整个网络的安全性能高低最终取决于安全性最差的一个方面，而不是取决于安全性最好的那方面。就像我们用桶装水一样，桶所能装水的多少取决于桶四周那片最短的木块，而不是那些比它高的木块。所以，所以即使你在某方面做得非常好，如果没有考虑全面的话，整个网络的安全性仍可能是非常差。我们必须全局地看待整个网络的安全性，而不能孤立地看待某一方面。从大方面来说，目前网络安全威胁主要是计算机病毒（在此把木马和恶意软件也算在一起）、网络攻击、非法访问和操作。这几个方面，任何一方面没有做好充分地防御，都可能导致整个网络的安全防线的全面崩溃。试想一下，一个网络尽管很少有计算机病毒的感染，但却频频遭到来源不明的非法攻击，这样的网络能算安全吗？即使计算机病毒和网络攻击都全部挡在网络之外，而网络中经常发现有人进行非法访问或操作，导致经常有文件丢失、资料外泄，甚至服务器系统瘫痪，这样的网络又能算是安全的吗？很显然不是。

而且，以上这些安全威胁不仅来源于外网，内网中同样存在可能。许多网络管理员特别重视对外部网络的安全威胁的防护，却往往忽视了内部网络同样可以带来巨大安全威胁这样一个现实。而事实上，有时，内部网络的安全威胁还远大于外部网络，令人防不胜防。如计算机病毒，计算机病毒的传播途经非常多，可能是目前主要的外部网络传播，如在网上浏览了带病毒的网页，下载了带病毒的文件或软件，查看了带病毒的邮件，还可能是内部网络的因素，如内部网络用户使用了带病毒的光盘、U盘、软盘，还可能是因为网络内部文件共享所导致。网络攻击在内部网络中更加容易实现，因为这样攻击者就可以跳过攻击过程网络连接这一关键步骤，直接对内部网络进行攻击。这主要体现在一些非法用户在非法获得了某些合法账户信息后登录网络，利用这些账户所具备的权限进行破坏。非法访问和操作则更多的地是体现在内部网络中，由于管理员对账户权限管理的不善，导致权限滥用，或者一些用户通过非法方法获取了较高权限的用户账户后，在网络进行非法操作，如文件删除、修改用户权限、私自访问别人的文件，或者执行诸如文件备份和恢复等关键任务。这都将导致非常严重的后果，如文件丢失、服务器系统瘫痪，用户权限混乱，公司文件外泄等。

以上这些安全隐患又有哪个方面可以忽视呢？没有，作为网络管理员的我们，绝不能存有侥幸心理，否则随时可能导致灭顶之灾。面对这些安全威胁，我们又将如何积极面对，采取什么有效措施来防御呢？鉴于这一需求，我们编写了《网管员必备宝典——网络安全》这本书。它是真正从企业网络安全管理角度来编写的，比较全面地介绍了目前企业网络主要安全隐患的预防和排除方法。其中就包括各种计算机病毒、木马和恶意软件的清除和预防措施；针对各种网络攻击所采用的防火墙策略（包括硬件防火墙、堡主机技术和ISA Server 2004软件防火墙）、端口扫描和入侵检测技术、网络安全隔离技术、文件加密和数字签名技术；针对内部网络管理方面的Windows Server 2003服务器系统中的各种安全措施，如系统漏洞扫描、用户权限配置、安全配置向导、身份验证技术、访问控制技术、软件限制策略配置等。当然，这并不是说，要求我们所有网络管理员为每个公司的网络都配置齐全这些安全防御措施，因为有些防御措施的成本是比较高的，如硬件防火墙、入侵检测系统、安全隔离设备等。我们一定要结合企业网络安全需求和企业的经济承受能力实际权衡考虑，寻求一个最恰当的解决方案。但有些又是我们网络管理员必须做到的，特别是网络自身管理方面。

 

 

 

王文寿

       2007/6/6