网络安全这个问题,在您还没意识到它的重要性之前,或许觉得这对自己没有多大的影响。但是在您看完本文后,试想,若有一天您辛苦建立的资料,在还没备份之前就被破坏,或是相关公司的重要机密,遭到窃取,进而影响到公司的整个商域,这种损失将无法估计。
因此,透过本的文介绍,您将了解为何『网络安全』如此的重要?为何企业愿意花上几十万,甚至几百万的经费,建立起保卫公司网络的『防火墙』?而这不仅是企业网络必须注意,就算是个人网络也不容忽视。
1 网络不安全吗?
前一阵子在网络上发生了一连串中国大陆与台湾的骇客(hacker)互相攻击事件。原因是因为台湾的某个政府机构网站遭到中国大陆的骇客窜改网页,台湾的骇客发现后便不甘示弱,也发起了反击动作,将对岸的官方网页窜改,这样一来一往的骇客攻击事件,曾经一度引起双方的政府相当程度的关切,同时也造成了台海两端的紧张气氛。
诸如上述骇客入侵的事件,一天内,网络上不知道有多少大大小小的类似情况发生。想想看,一个国家的政府网页,竟然就这样被他人进进出出,窜改网页,充其量只是种恶作剧的行为,若是进而窃取官方重要机密。一个国家的安全可能就受到威胁了。也许您会提出质疑,难道网站的管理者没有一套防范的措施吗?其实,坦白说,只要连上网络,您就必须承担网络安全的风险,也就是说,被入侵的情形可能会发生。怎么说呢?
因为每台计算机想要连上网络,必须具备两个要素,那就是IP与PORT。IP的格式为xxx.xxx.xxx.xxx(例如:192.168.0.1),这个东西一般称为「地址」,也就是代表着您上网时的一个身分。以拨接上网的用户来说,通常它的IP是由服务器主机随机数决定发予的,所以没有固定的IP,但若是固接式的网络架构,可能就会有固定的IP了。而PORT则像是一扇供网络资料进出的门一样。只要计算机连上网络,就必须开辟一个PORT让资料进入,而若同时还与其它人或网站联机,则必须再开出更多的PORT出来。骇客们就是从这两项要素中着手进行入侵,有关入侵的原理及方式,笔者会在『第七章』一并为您做个说明。
不过话又说回来,既然只要上网就有危险,那是不是就不能上网了呢?如果真是如此,那就是『因噎废食』的做法了。网络上强调的是资料的流通,如果将对内对外的门槛都封闭起来,那么便无法享有网络的便利性,这对当初连接上网的宗旨,已经彻底的违背了。
正确的做法应该是『积极的』。什么叫作『积极的』做法呢?那就是『防范』。例如建立防火墙(firewa · ·),密码验证或是加强使用者的网络安全观念等等,都是一些现在常见的防范措施。这样做,虽然不能保证完全阻绝了骇客的入侵,但至少将这种机会发生率降到最低。因此总归一句,网络安全掌握在你我手中,毕竟『预防胜于治疗』,若真的等到事情发生后,在来做亡羊补牢的动作,恐怕为时已晚了。
2 必要的网络安全知识
其实,许多企业内发生的网络安全危机,有多半来自员工本身没有具备基本的网络安全常识。导致于使骇客们有机会入侵计算机,达到破坏的目的。因此,企业或个人加强本身的网络保防知识,有其绝对的必要性。以下列出几项重点,供各位参考。
· 不要开启来路不明的邮件:
许多骇客入侵主机的方式,都是先寄发内含入侵程序的e-mail给对方,骗取对方开启附在邮件内的的执行档,只要收件者在不知情的情况下执行了,入侵程序便无声无息的进驻到计算机里,任由骇客进进出出,不仅窃取重要机密文件,甚至破坏掉整部计算机的硬盘资料。
因此在这里强烈建议经常收发电子邮件的朋友(尤其在公司),开启每一封邮件时,不妨多留意点,遇到来路不明的信件(如广告信),尤其内含附加档案,且扩展名为exe的档案,请别开启,因为这很有可能是骇客入侵程序。最好的方式是将整封信件直接删除。
附加档案皆以回纹针的图标出现
· 小心邮件中的网页
即使不含执行档的邮件,都有可能是危险的!因为e-mail支持htm ·格式的关系,使寄件者可以利用这个技术将邮件内容以网页(webpage)的方式寄出,在后面的章节笔者会谈到,有关ie浏览器的安全漏洞。这些漏洞,可以让骇客们撰写一些简单的java程序,只要上网者按了上面的按钮,就可能让骇客们从您的硬盘中窃取重要的档案(如:密码文件等等)。因此,就算您只是开启网页,都可能遭受骇客的入侵。
画面中就是一封以html语
法撰写的邮件
· 密码设定勿过于简单:
一般使用者,面对帐号或是邮件密码的设定,常常随便就以简单的数字(如1111),或是单纯的英文名字、单字设定。更离谱的是,有人就直接将密码跟帐号设定成同一个,等于给了骇客最容易猜中的机率。因为骇客们有时要入侵计算机,若是遇到有密码保护的主机时,通常会试着先以简单的可能猜对方的密码,若这道防线被这么轻易的突破,那就失去设定密码的意义了。因此,建议您在设定密码时,最好能以英文加上特定的数字(例如自己的生日),只要设定的密码愈复杂,就对网络安全的防护愈有保障。
· 严禁帐号及密码外借他人
有些朋友常常将自己的帐号与密码借给他人,虽然心想才借一下不要紧,但却不知这是相当危险的行为。就算对方是多么熟的朋友,但毕竟密码已经不只自己知道而已,这就可能造成帐号与密码外流,被人拿来做些犯法的事情了。
这种情形常发生在初学上网的朋友,由于不知该如何设定密码,便找来朋友或是计算机公司的工程师来帮忙,这时如果对方是有心人,可能会记住您的帐号跟密码,变成对方「免费」的帐号,而受害者往往在接到拨接帐单时才惊觉,到时就为时已晚了。因此若是您不得已将帐号及密码借给他人,也希望您能在最短的时间内更改原来的密码,以避免他人用原来的密码登录您的帐号。
· 加强服务器主机的独立性
只要是局域网络架构,一定有一台以上的主机服务器,提供所有计算机的连结并与以控制。通常,这些计算机就是骇客们攻击的目标。因此,企业内部应该对于服务器主机的安全性加强控制,尽可能的将其独立,不要将重要的资料放置此处,利用某些方式将重要机密资料独立于其它机器,再另外由公司内部的网络进行连结。
· 架构网络安全防卫系统:
有鉴于网络入侵的严重性,不少网络安全软件公司,致力开发并研究出不少防卫系统安全的技术,列举如下:
a. 防火墙:英文原名为「firewa · ·」。由这个字可以 知道,其中文名称是直接音译过来。它是一种文件在主机服务器与外界网络中间的「过滤器」。功能就是有效的阻绝外界非法存取内部资料。有关防火墙的详细介绍,笔者会在后面的章节特别加以说明。
b. 资料加密:网络上一些有心人士,会针对特定的资料在传输时,加以从中拦截,进而窃取机密文件。因此为了防范这种状况发生,便是先把资料用钥匙(KEY)进行重新编码,使拦截者即使得到资料,也无法获知内容。而这个钥匙则是由一连串的数字所组成。
c. 认证身分:最常见的方式就是在登入主机时,系统询问您帐号及密码,以开放一定程度的使用权限。然而,随着科技的进步,认证身份的方式千奇百怪,例如:指纹辨识,视网膜辨识,声音辨识,笔迹动态辨识等等。在在都是为了取得更高的保防功能。
d. 网络监控:这是一种由监视封包资料传送情形,来适时提醒系统管理者,是否传送不正常现象的防范措施。因为只要封包在传送期间,没有照着既定的路径进行,或是出现不正常现象,就有可能是遭到有心人士的拦截了。
3 网络服务的安全性
所谓的『网络服务』指的是,现代人一般上网做的事情。例如:用浏览器在WWW上面获知讯息,以e-mail方式与远方的朋友联络,使用ftp传输档案或是telnet到bbs站,与网友们聊个天南地北。虽然网络上可以做这么多事,但只要稍不小心,可能您在不知不觉中,已经受到骇客的入侵了。因此了解网络服务的安全性,是您必备的上网常识喔!
· WWW世界的陷阱:
当您在使用microsoft internet exp ·orer或是netscape浏览器遨游在WWW上面时,必须要小心某些看似怪异,或者主题不明确的网站。可别以为浏览网页不会有什么问题,殊不知按按网页上的按钮,也可以让骇客从您的计算机中将您的密码文件回传到自己的计算机中。而且,这只是其中一种从WWW上窃取资料的方法而已喔。
· FTP
