不久前，計算機病毒還只是一種令人不快的小問題，很少引起高層管理人員的關注。但是現在，指數級增長的安全威脅、協作式應用和互聯環境讓網絡安全問題成為了報紙的頭條新聞。這里只舉一個例子:在2003年1月，SQL Slammer蠕蟲導致全球各地的大量網絡陷于癱瘓，甚至讓韓國電信的Freetel網絡幾乎完全中斷。

在80年代，黑客們的攻擊對象是單個計算機，在90年代則是單個網絡，而今天，他們的攻擊目標是全球的網絡基礎設施。因此，安全已經從一種可以避免的煩惱變成了一個關鍵任務型問題。高級IT經理們一致認為，他們需要不同的方法和架構來抵御新的威脅。事實上，根據Infonetics Research的預測，終端用戶在安全產品和服務上的開支將從2003年的45億美元增長到2007年的80億美元——增長78%。

評估風險

CERT協調中心是一個由美國政府資助，并由卡內基梅隆大學管理的研究和開發中心。它所接到的安全事件報告的數量從1999年的9859份迅速增長到了2003年前三個季度的114855份，網絡環境的安全性已經遠不如前。

不僅威脅的數量正在迅速增長，它們所具有的破壞力也在大幅加強。今天，大部分攻擊都與拒絕服務(DoS)有關。如果特洛伊木馬或者蠕蟲開始利用分布式計算能力，或者建立點對點的文件共享，風險將會迅速增加。目前的蠕蟲類似于有人發射了一百萬枚沒有安裝高精度彈頭的導彈那么危險，而且如果黑客在蠕蟲中加入了先進的、惡意的代碼，以利用分布式計算能力或者點對點磁盤存儲。通過發揮網絡的真正威力，黑客可以控制成千上萬臺受到威脅的主機。他們所造成的破壞將會遠遠超過目前我們所看到的、蠕蟲所產生的影響。

為了保護自己的網絡，IT人士需要了解新的安全特性的特征。其中包括:

1、從內部攻擊轉向外部攻擊

在1999年之前，關鍵的應用都運行在迷你計算機或者大型機上。威脅通常由擁有權限的內部用戶引入。在1999年到2002年之間，CERT接到的外部安全事件的報告增加了250%。

2、反應時間縮短

當攻擊以單個計算機或者網絡為目標時，企業擁有足夠的時間來分析威脅。然而現在，病毒可以在10分鐘之內傳遍全球，這種“充裕的時間”已經不復存在。防病毒軟件仍然非常重要，但更多是亡羊補牢的作用，往往在病毒特征被識別出來之前，損失已經造成。

3、威脅檢測更加困難

攻擊者變得越來越聰明，他們過去通常攻擊網絡，而現在攻擊應用，或者將攻擊內嵌到數據之中，這使得檢測變得更加困難。例如，在網絡層發送的攻擊可以通過查看報頭信息發現。但是內嵌于一個文本文件或者附件中的攻擊可能通過查看分組的實際內容發現——而普通的防火墻通常不會這樣做。威脅檢測的責任從防火墻轉移到了訪問控制服務器和入侵檢測系統，因此企業現在需要全面的解決方案，而不是獨立的解決方案。

4、成為黑客的門檻降低

大量便于使用的黑客工具和腳本使得技術水平不高的人也能發動網絡攻擊。“‘鼠標點擊式’黑客工具的出現意味著攻擊者不需要知道攻擊的具體過程，就可以造成破壞。”

轉向自防御網絡

隨著安全威脅的對象從單個網絡轉向基礎設施，思科的安全方法也已經從提供獨立的安全解決方案轉向提供集成化的系統，以保障連接的安全。這些集成化的系統可以從多個位置保護網絡。例如，思科為網絡提供了三個防御系統:防火墻、入侵檢測系統(IDS)和行為異常檢測軟件。行為異常檢測軟件可以采用先進的數學算法判斷哪些是“正常的”網絡活動，哪些是異常的——并且可能構成威脅的——網絡活動。我們可以把這種三重防護的方法比作一個銀行采用的物理安全措施。防火墻就像是站在銀行外的警衛。IDS就相當于一個24×7的視頻監控系統。行為異常檢測軟件就相當于一個站在保險庫外，警惕可疑行為并準備立即采取措施的保衛人員。身份管理類似于在客戶獲得銀行服務之前要求客戶提供一個照片ID或者輸入個人身份號碼(PIN)。通過多種檢測和防范攻擊的方法，機構可以加強它的防御系統。

然而，盡管現在已經有多種有效的安全技術，但由于安全措施非常復雜和投入也相對高昂，以致于很多公司不愿意采購IDS或者采用漏洞評估和網絡監控等安全措施。如今，高效能的自防御網絡的出現將極大地改變目前地局面。

為了幫助企業和政府機構發現、防范和克服新的IT基礎設施威脅，思科創建了自防御網絡計劃并推出首個名為網絡準入控制(NAC)的解決方案。該解決方案處理的是信任關系和身份管理。在對用戶進行身份驗證的同時，它可以忽略計算機的安全證明。為了幫助建立這種重要的信任關系，思科與防病毒軟件開發商Network Associates, Symantec和TrendMicro建立了機密合作關系，一同打造完善的解決方案。

網絡準入控制(NAC)的解決方案的工作方式是:思科安全代理(CSA)中集成的思科信任代理可以從PC和主機中搜集各種安全狀態信息，例如防病毒軟件和操作系統補丁的版本。當該節點試圖連接到VPN時，思科信任代理會將安全狀態信息發送到負責執行準入控制的思科網絡接入設備，例如路由器、交換機、無線接入點和安全裝置。這些設備將會把安全證明發送到思科安全訪問控制服務器(ACS)，由它根據客戶事先定義的策略決定制定允許、拒絕、隔離或者限制決策。NAC甚至可以為具有或者沒有思科信任代理的主機執行不同的訪問策略。不僅在思科設備中可以應用思科信任代理，通過與領先的防病毒軟件開發商進行合作，在接近95%的計算機上都能夠確保思科信任代理將安裝，幾乎無所不在的客戶端代理讓NAC可以在很大范圍內保持高效，從而能共同解決整個行業目前面臨的嚴重安全問題，借助網絡的威力防止IT基礎設施遭受攻擊。

IDS和行為異常檢測軟件進一步增強了思科NAC的功能。例如，當內嵌于思科路由器中的IDS檢測到DoS攻擊的特征時，思科ACS將會在幾秒鐘之內命令網絡中的所有路由器拒絕該流量。如果流量模式以一種可疑的方式發生變化，但是并不具備已知特征，行為異常檢測軟件將可以根據企業自己的業務規則，中斷可疑的流量。NAC可以補充而不是取代已經被廣泛使用的傳統安全技術，包括網關防火墻、入侵保護系統、用戶身份驗證和通信安全等。

安全措施部署準備

企業怎樣部署有效的安全措施?首先，思科高級服務團隊將會為機構提供一個針對他們的網絡安全狀況的、名為安全狀況評估(SPA)的全面評估服務。SPA由擁有專業背景的思科ASNS專家進行。他們曾經幫助全球的很多“財富500強”企業和政府機構規劃、設計、部署和優化安全業務。很多專家都擁有CCIE和認證信息系統安全專家(CISSP)證書。

SPA的主要目標包括評估網絡系統的安全狀況，最大限度地消除嚴重的或者長期的威脅，判斷現有工作人員在檢測和響應安全事件方面的能力，以及提供建議，幫助系統和網絡管理人員加強他們的安全性。ASNS團隊使用先進的工具和方法來進行廣泛的、非破壞性的網絡漏洞檢測和測試，并模擬攻擊者在試圖獲得未經授權的訪問權限時可能采取的措施。他們將評估各種網絡組件，包括網絡周邊防火墻、路由器、內部防火墻、交換機和虛擬LAN。SPA還會檢查主機、防火墻、用戶工作站，并測試安全策略的執行效率。

從內部評估安全的目的是尋找可能讓敏感信息被未經授權的或者意外的行動破壞的安全漏洞。從外部評估安全的目的是發現可能讓內部數據受到威脅或者資源被拒絕的缺陷。SPA將使用一套由思科工程師開發的軟件和一些可以從互聯網上獲得的工具，其中包括完全開放源碼工具，經過修改的免費工具，以及專門定制的專用工具等。

在進行內部SPA時，思科工程師會以一種受控的、安全的方式模擬一個入侵者的攻擊，從而人工查找缺陷，包括主機間信任關系中可能被利用的漏洞，密碼缺陷，或者系統的管理員訪問權限。這些顧問將模擬一個心懷不滿的員工、耍賴的承包商或者其他擁有信任關系的內部用戶對網絡進行的攻擊。在外部SPA期間，思科工程師將會模擬試圖攻擊周邊設備和互聯網安全控制的惡意攻擊者的典型攻擊活動。這可能包括對一個機構的電話號碼的“War-dialing”分析。這往往會提供通過未知的或者不安全的遠程接入服務器輕松進入網絡的后門。高級服務團隊也會為無線網絡提供類似的服務。

在評估完成之后，思科ASNS團隊將編寫一份報告。除了一些技術細節以外，該報告將按照重要性說明安全漏洞，并就如何提高網絡的安全性提出一些建議。在大多數情況下，這些建議集中于技術和策略，有時甚至涉及到新的網絡設計方案。在任何情況下，思科高級服務部門都可以在整個企業中設計和部署深度防御安全。

IT管理和交流

安全保護還需要IT管理。企業發現，他們不僅要從水平方向上考慮安全——從桌面到網絡核心，還要從垂直方向上考慮——從首席技術官或者董事會到防火墻的策略部署,技術戰略和公司業務已經互為影響，包括需要采用的流程。

來自Infonetics的Wilson也贊同這種觀點:“當企業希望變得更加安全時，他們必須評估安全策略對業務運營的影響。一個限制連接能力——例如要求使用太過冗長和復雜，以至于人們無法記住的密碼——的安全策略將會限制生產率，因而無法持久。企業對于安全的需求絕不會超過他們對于提高生產率和連接能力的需求。連接能力總是比安全性更加重要。”

事實證明，防御攻擊的最有效手段之一就是在企業和政府之間進行開放的交流和合作。作為一種防御網絡攻擊的武器，交流具有非常重要的意義。2003年12月，美國國土安全部部長Tom Ridge敦促技術公司共享信息，以防止網絡受到恐怖分子的襲擊。

歸根結底，思科安全方法的目的并不是保護系統本身，而是保護用戶的生產率——他們開展工作的能力。在安全領域，沒有萬無一失的方法。新技術——例如思科NAC和思科信任代理——都非常強大，但是仍然只能作為一個全面的解決方案的組成部分。一個有效的安全戰略不僅需要先進的技術，還需要關注與業務流程和步驟有關的管理問題。

通過思科安全狀況評估發現的趨勢

企業在針對它們已經遭遇過的威脅采取預防措施方面行動緩慢，盡管目前已經有很多技術可供采用。例如，在二十年前的電影“War Games”中，一個十幾歲的黑客就利用一個未經身份認證的撥號調制解調器發起了攻擊。然而，思科高級網絡安全服務團隊現在仍然經常會在很多大型企業網絡中看到同樣未受保護的調制解調器。下面列出了思科團隊在過去幾個月中發現的其他一些關鍵趨勢。

1、面臨安全威脅的主機不斷增多

蠕蟲活動的日益頻繁，下一代蠕蟲的行為將會像是小型的自動黑客。

2、傳播代碼與漏洞關系密切

目前已經出現了兩個代碼開發工具。一個采用的自我傳播代碼的開發與用作矢量的代碼相獨立。另一個工具則將傳播和漏洞被捆綁到了一起。

3、在新的地方尋找漏洞

在20世紀90年代中后期，黑客主要關注NetBIOS。在2002年初，他們將目光轉向了Microsoft Internet Information Services (IIS)，隨后很快又轉向Microsoft SQL Server。最新的關注焦點是底層通信協議，例如分布式組件對象模型(DCOM)和遠程程序調用(RPC)。黑客正在從在特定應用中尋找缺陷發展到在底層軟件基礎設施中查找漏洞。

4、不安全的密碼

思科高級服務團隊通常可以破解大部分機構70%到85%的密碼，這通常是因為在密碼策略的制定和執行上出了問題。

5、UNIX系統中的明碼協議

很多使用Telnet和遠程Shell(RSH)的企業仍然完全用明碼發送密碼和用戶名。企業應當立即采用更加安全的協議，例如Secure Shell(SSH)和IP安全(IPSec)。思科路由器可以支持這兩種協議。

6、不安全的無線網絡

無線安全技術非常便于使用。企業應當利用可擴展身份驗證協議-思科無線(思科LEAP)，以及Cisco Aironet產品線中的后臺身份驗證服務器。

7、更多的流量通過80端口傳輸

現在，因為大量的數據通過80端口傳輸，關閉80端口顯然不可行，現在檢測攻擊信息變得更加困難，因為它們往往被打包在常用的Web協議中。