详尽评述:网络中的安全问题与大忌

来源：qqread收集整理作者：出处：巧巧读书 2006-08-16 进入讨论组

关键词：.net dns dos ip地址 vpn

“老三样，堵漏洞、做高墙、防外攻，防不胜防。” 日前，中国工程院沈昌祥院士这样概括中国信息安全的基本状况。

信息安全提了这么些年，究竟国内的网络如何脆弱，如何不堪一击，恐怕常人是难以想象的。公安部计算机安全机构、国家信息中心的领导最熟知。从现在的实际运营状况看，可能存在的一些问题，令主管信息安全的领导担忧。本文仅列举出网络安全方面的问题和大忌，供有识之士发表高论，起一个抛砖引玉的作用：

一、不堪一击的根服务器

互联网的唯一致命弱点就是它完全依赖于使用根服务器的域名系统（DNS），根服务器掌握着国际域名（如 .com， .net， .org）的所有授权细节。

位于全球的网络结构的核心中共有13台这种根服务器。这个服务器网络由命名和数字互联网公司（ICANN）管理，该公司是一个提供互联网命名规则咨询服务的集团。中心或者说A服务器管理着主域名列表，该服务器由一家名叫 Network Solutions 的美国公司管理。每天，主域名列表会被复制到位于世界各地的其它12服务器上。这12个服务器大部分在美国的军事、教育站点和 NASA，另外，在日本，瑞典和英国各有一台这种服务器。

据 Excite@Home 的主任技术专家 Milo Medin 讲，对上述服务器采取同时、持续分布式拒绝服务（DDoS）的攻击，就像前几年对著名电子商务网站 Yahoo！和 Amazon.com 的攻击一样，那么，整个网络的通信联络将全部终断。

当我们在域名系统中输入一个纯英文的网站地址的时候，一个叫作"quot；BIND"quot；的开放代码软件就会把这个英文名字转化成全部由数字构成的互联网协议地址，也就是我们通常所说的 IP 地址。组成 IP 地址的这些数字向网络发送信息包。"quot；根域名服务器被看作是技术基础设施中至关重要的部分。

而DDoS 攻击的作用并不会被马上察觉到。在遭受攻击后，那些著名的网站会比其它网站晚些受到影响，因为通常在电脑中有缓存支持。攻击所造成的损害会通过那些不是很出名的站点开始不工作显现出来。最后，那些没有根服务器的国家的网站，包括澳大利亚，中国等，将从整个网络世界中消失。

由于13台根服务器被分散在世界各地，所以，对单一根服务器的攻击只会造成很小的影响。但是，在奥林匹克运动会即将于北京2008开幕之际，谁也不知道网络恐怖主义者是否会同时对所有的根服务器采取攻击行动。一位澳大利亚的计算机故障快速反应小组的（AusCERT）发言人称，任何对根服务器的攻击都会造成严重的影响，对于澳大利亚来说，拥有自己的根服务器是明智之举。

攻击必须在数小时内完成并能保持最大破坏状态数十天，但是，大量的备份系统将使攻击变得十分困难。而恢复的时间可能需要数天，甚至数周，这期间世界上整个互联网服务将处于中断状态。网络之间的相互联系越是紧密，任何服务中断所造成的不可见连锁反应就越大。

中国目前也没有自己的根服务器提供域名管理服务，就像澳大利亚一样，所以在其它根服务器遭到攻击后，我们也将失去与世界上其它地方网络的联系。是否我们也要等到举办奥运会的时候才考虑设置自己的根服务器。

美国：1997年7月，一次主根服务器停电造成了数据被损坏，使得网络运营受到了严重的影响。美国政府的商务部授权对该系统面临私有化进行讨论。最后，讨论的结果认为保证互联网的稳定性是任何 DNS 管理系统的首要任务。

二、脆弱性：银行网络存在严重的漏洞

来自CCID的网络安全市场报告：

信息产业部1999年对银行证券系统的1546个营业部门23万台计算机的检测中发现全部都有安全漏洞，留下了众多的网络安全隐患。近期的银行计算机信息系统的安全事件时有发生，并呈增加趋势，网络安全事件的损失呈扩大趋势。目前中国已有20多家银行的200多个分支机构拥有网址和主页，其中开展实质性网络银行业务的分支机构达50余家，客户数超过40万户。50多家银行发行银行卡两亿多张。随着网上银行的应用推广，银行业的网络安全问题将关系到银行新业务增长点的开发、银行的信誉乃至生存。中国人民银行现正在起草网络银行业务的管理办法和有关网络金融风险管理的指引，近期将会出台，将进一步增强银行业的网络安全意识。

目前，金融机构和银行信息网络系统存在的漏洞之综合分析：

1.来自互联网风险：

网上银行、电子商务、网上交易系统都是通过Internet公网并且都与银行发生关系，银行系统网络如果与Internet公网直接或间接互联，那么由于互联网自的广泛性、自由性等特点，象银行这样的金融系统自然会被恶意的入侵者列入其攻击目标的前列。

2.外单位风险：

银行系统与电信局、水电部门、保险公司、证券交易所等单位网络互联。由于银行与这些单位之间不可能是完全任信关系，因此，它们之间的互联，也使得银行网络系统存在着来自外单位的安全威胁。

3.来自不信任域风险：

大部分银行系统都发展到全国联网。一个系统分布在全国各地，范围之广分布到乡镇乃至村镇，而且各级银行也都是独立核算单位，因此，对每一个区域银行来说，其它区域银行都可以说是不信任的。同样存在安全危胁。

4.来自内部的风险：

据调查统计，已发生的网络安全事件中，70%的攻击是来自内部。因此内部网的安全风险更严重。内部员工对自身企业网络结构、应用比较熟悉，自已攻击或泄露重要信息，内外勾结，都将可能成为导致系统受攻击的最致命安全威胁。

5.管理安全风险：

银行内部员工的安全意识薄弱，企业的安全管理体制不健全也是网络存在安全风险的重要因素之一，健全的安全管理体制是一个企业网络安全得以保障及维系的关键因素。

安全威胁可能引发的结果有非法使用资源、恶意破坏数据、数据窃取、数据篡改、假冒、伪造、欺骗、敲诈勒索等。种种结果对银行这样特殊性的行业来说，其损失都是不可估量的。

案例：网上银行似乎成了黑客关注的焦点

去年6月初，有人盗用网上银行网管员信箱，假借“网络银行系统升级”名义，给网上银行客户发送电子邮件，索要网上银行注册客户的用户名（登录卡号）和密码。目前，该行已经在自己官方网站的显著位置刊发了“重要提示”，对其网上银行客户预警。巧合的是，几乎是在同时，在全球范围内，1200多家欧洲和美国的银行和保险公司称，其客户密码和信用卡号码等重要信息有可能已经被黑客窃取，6月4日发作的“怪物”病毒变种，已经开始在因特网上呈现出蔓延势头，波及到100多个国家，而据反病毒专家称，这种“怪物”病毒会不断变换形式，并能对付反病毒或_blank">防火墙软件。更值得警惕的是，这种病毒会在受到感染的电脑中安装“木马”程序，使黑客能将银行用户的信用卡号和密码秘密传送至某一特定邮箱地址，从而达到非法窃取他人资金的目的。