发信人: linuxboy()
整理人: firphoenix(2001-10-28 22:15:01), 站内信件
|
网络的安全控制属于网络管理的范畴。网络管理可以分为设备管理、用户管
理
和行为管理。安全控制首先涉及行为管理,其次涉及用户管理。
有人一听到管理就别扭。其实,只要是有人群的地方,只要是需要不同
的人
遵
守同一规则的地方,就需要管理。管理者与被管理者的关系就是猫与老鼠的关系
。
猫抓老鼠这一古老的游戏已经进行了几千年,而且还将进行下去。
对网络进行严格、有效的安全控制其本身并不是目的,而只是手段。它
的真
正
目的在于有效地预防、抑制危害网络安全的事件发生,切实保障网络安全、有效
地
运行,以保护大多数用户的根本利益。
比如,有许多人热衷于窃取他人的拨号连网帐号,并有不少人盗用成功
。其
原
因就是网络中心只知道一个帐号什么时间接到哪个端口,但却不知道他从什么地
方
接过来。那些无端遭人盗用的用户面对巨额帐单的愤怒与无奈,确实令人同情。
据
说曾有某遭盗用的老教授,到网络中心去理论,指着办公室内满屋子倒霉鬼的鼻
子
说:“你们这些人都不干净”、“你们没一个好东西”、“你们是团伙做案”。
试
想,如果电话局能够向网络中心提供主叫号码或提供主叫查询服务,加上网络中
心
准确的呼叫记录,结果会怎样呢?面对“抓你没商量”,谁会自投罗网呢!再比
如,
前些日子一位“特快名人”与他人在“清华特快”上开战,结果被他人从校外进
行
了网络攻击。攻击者很快让名人哑巴了。在这里,据说攻击者使用了IP地址隐藏
技
术,使得他所发出的攻击数据包的源IP地址全部为随意瞎设的值。这也使得攻击
者
无所顾忌。那么同样的事情在清华会如何呢?清华校园网作为安全控制措施之一
,
在所有网关启动了防火墙,不是本子网地址域内的IP地址的数据包根本出不了网
关。
任何人要干坏事,必须使用本子网内部的IP地址,而IP地址是按系分配的。你要
干
坏事吗,那你将直接面对来自本单位内部的追查与谴责。对此能不有所顾忌吗。
前
些日子不就有人假他人IP地址干坏事,结果导致全系被断网三天。面对全系的责
骂,
想必他的心理压力也不轻。由此可以看出,严格的安全控制措施,导致的不是大
批
的人受处罚,而是所有的人安分守己、天下太平。
网络的安全控制是有代价的。网络的安全性与可用性、高效性是矛盾的
。比
如
清华校园网的地址注册系统,对网络的延时、可靠性、易用性、可维护性都有明
显
的不良影响。因此,网络安全控制的力度有多大,选择什么样的技术与管理措施
,
必须与其它方面综合考虑,权衡利弊,找出一个平衡点。
相对于网络的安全事件,网络的安全控制有三个方面:事前的防范、事
件的
及
时发现与恢复、事后的责任追查与处理。用于解决网络安全问题的技术措施有很
多,
但是其中的许多都与具体的网络结构相关。比如校园网目前采用静态IP地址分配
,
直接对IP地址计费。相应地采用“IP-MAC影射与MAC-Port影射地址注册”方案。
“双影射”作为事前的防范措施可有效抑制IP地址盗用。“地址注册”则可在发
生
问题后迅速准确地找到责任人。在这里“登录法”就无用武之地。然而,如果校
园
网在千兆交换网中采用动态地址分配,则地址注册可能就无法实现了。那时,“
实
时登录法”可能是合理的甚至是唯一的选择。由此可见,IP地址分配、VLAN划分
、
IP子网划分、网络计费、安全控制五者之间是相互关联的。它们在此至少构成一
个
五元一次方程。当然它们还有其它的约束条件。事情到此还没完呢!
作为用户,我希望自己在网上的行为不留任何痕迹。我有局域网环境,
但我
还
是讨了一个拨号帐号来上BBS,即使花电话费也在所不惜。想必许多人也是如此。
要不咋那多人要隐藏IP、要故意穿梭呢。然而对于别人,我却希望知道他的来历
。
比如有网友问有关网络性能的问题,我就希望知道他是否用的清华校园网,因为
清
华校园网有不同于其它网络的技术特点。如果我是有关领导或网络管理员,我可
能
会希望了解并记录所有用户的一切网上使用行为。当然,网络的管理方法取决于
领
导和管理者而不是用户。
对于清华校园网现行的地址注册方案所造成的延时和不方便,我是深恶
痛
绝,
欲毙之而后快。然而,我又十分欣赏它的严密与准确性。校园网后边应该采取什
么安全控制策略呢?你也许说:那要看采用什么IP地址分配和网络结构方案。其
实,也不妨掉过来,先确定一个适宜的安全控制方案,再按要求去定IP地址分配
和网络结构等方案。
--
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.102.152.16]
|
|