易被忽视的网络安全问题

韩冰

随着全球信息化浪潮的涌动，全国上下掀起了一股信息网络的建设热潮，各地纷纷兴建信息 网络平台，组织建设信息港工程，以期在知识经济时代到来之际占有一席之地。殊不知“创业 难，守业更难”，网络平台可以短时间内建设好，信息源也可以挂接上来，但随之而来的维护 和安全管理问题却不是一朝一夕的事情。
8 K& |. Y% ^" {2 `. [0 O9 @
很多地方在网络工程上马时，工程主要由一些网络集成公司负责，而网络真正的维护管理人 员却并没有参与进来，使得网络工程交接时，由于缺乏对系统的了解，造成维护管理工作只是浮 于表面。目前，有的地方信息网络平台已遭到了“黑客”的攻击，并造成了一定的损失。倒不是 所有“黑客”的水平都很高，很多时候是由于网络管理人员在平时的维护过程中，忽视了对网络 安全管理的重视，使得系统很脆弱，从而给不法入侵者以可乘之机。下面将网络系统维护中极易

, O) v5 }3 o. b1 b3 \产生的几个安全隐患提出来，供大家借鉴。
& s9 g  C8 c5 q
% ]- u1 @" K' L3 E% x网络系统上有权账号管理的混乱
8 @& k- i, _' x, {8 ?! B! @
现有的网络操作系统，安全管理上都有一个共同特点，即必须经过有权用户的授权，才能实 现网络系统的登录和维护。特别是超级用户，它拥有操作系统的所有权利，因此谁掌握了它，谁 就掌握了整个系统的命脉。而日常维护的过程中，网络管理人员为了便于记忆或简化操作，通 常将有权账号口令设置得很简单，或者存放在公共场所很显眼的位置；另外，在系统上经常开设 出多个临时的有权账号，而且未能及时清理；再加上不注意更改口令，甚至将多个管理账号口令 设定为一个。从而使“黑客”借助一些专门的口令校验程序很容易将口令窃取，侵入网络系统。 所以，加强有权账号的管理力度是确保网络安全的第一步。
; h+ o) m8 T8 ~5 B$ n2 I0 I5 i8 o
4 V0 e) s2 u& u: R系统缺乏分级管理

8 e' D- N) U& l# H由于UNIX是一个非常优秀的网络操作系统，所以目前很多的信息网络系统都以它为基础平 台。UNIX支持网络文件管理系统(NFS)，并以组(Group)的概念来对网络用户进行分级。UNIX系 统缺省时，允许同一组内的用户互相读写或至少是读对方的文件或系统数据，所以一旦系统的组 划分得不当，就很可能造成普通用户有与超级用户一样的权利，它不仅能了解系统的配置情况， 增加或修改系统的参数文件，而且能够更换系统上的信息内容，甚至摧毁整个系统。为了避免这 种情况的发生，一方面，要将普通用户账号开设为零组用户，严禁将普通用户账号与高级别管理 账号归属于同一组内；另一方面，要严格检查系统的重要配置文件(passwd、shadow、登录记录 文件等)的读写权限，做到所有权唯一。

& `* r* N1 j* a7 e& s. ZFTP带来的隐患

众所周知，FTP是为了共享软件资源，方便用户文件下载而制定的文件传输协议。既然是为 了共享，那么必然有对系统读写的权利，所以它也是整个网络系统的薄弱环节。目前，一些网上 “黑客”常常利用FTP作为侵入和破坏系统的突破口。他们有时利用FTP将一些监控程序装入系 统，以窃取管理口令；有时利用FTP获取系统的passwd文件，从而了解系统的用户信息；有时利用FTP的puts和gets功能，增加系统负担，从而导致硬盘塞满甚至系统崩溃。
但为了满足用户的需求，很多系统的FTP功能又不得不打开，那么如何应付呢?首先，应做到 正确地配置FTP，防止系统文件被窃取,或其目录下程序进程的启动；其次，有条件的地方将FTP 服务器与网络上的其它应用隔离，这样即便被攻击，也不会影响整个系统；再次，注意定期观察 FTP服务器的运行情况，检查硬盘的大小，并做出相应处理。
, R/ F: }9 k2 [" o9 cCGI接口程序的弊病
/ @1 j/ i9 h8 u, U! e
4 U# r8 R/ _- q% _+ w5 @- _* tCGI即公共网关接口，它的出现将整个网络内容丰富起来，并使WWW服务实现了交互式访 问，增强了系统对数据的处理能力，应该说CGI是WWW领域内一项很不错的应用。然而，正是这 种交互式的应用，使一些网络不法者蠢蠢欲动，为什么会这样呢?原来，CGI程序有对系统可读写 的权力，有了这个权力，“黑客”就可以设法控制系统，读写系统数据。所以，一个不健壮的 CGI程序，或者从网上免费获取的CGI程序，平时应尽量少用，并及时将系统上无用的CGI程序清 除，以免被“黑客”所利用。