前言︰Yahoo!事件

今年一开春，网路界的大事应非Yahoo!的骇客入侵事件莫属了。 Yahoo!这个由一群年轻人所创设的公司，是目前世界上每天登入最多用户交通最为繁忙的网站，平均每天传递四亿六千五百万篇网页到全球各地，可能是树大招风吸引了爱现的网路骇客发动攻击。这不是有史以来的第一个骇客攻击事件，然而却是最引人注目的。攻击使得Yahoo!的网站暂停服务三个小时，专家估计造成的直接营业损失约在美金25万到50万之间。

攻击行为很快的就被追踪与指认，网路骇客透过不知情被侵入的第三者电脑发动「阻断服务」（Denial of Service, DoS）的攻击，大量涌入的资料使伺服器无法对正常的用户提供服务。庆幸的是骇客们并没有侵入系统本身，重要的资料并未因此而外泄。攻击发起后48小时内，包括了Buy.com、eBay.com、Amazon.com、CNN.com、Zdnet.com、E*Trade.com等几个著名网站同样受到攻击，这些网站的服务受到长短不同时间的影响而无法提供正常的服务。

加州大学圣塔巴巴拉分校承认他们也是受害者。骇客利用校内的机器作为发动对CNN网站攻击的始点。 CNN网站从周二晚上7:00到8:45的时段内完全无法使用，在管理者处置之后，攻击仍然继续持续。

在重要网站分别传出惨重的灾情后，各种检讨的声音到处出笼，包括白宫，FBI都召开会议讨论这项攻击事件并誓言追缉凶嫌。柯林顿总统宣布次一周将召集政府与网路专家共同讨论防范知道，五角大厦更下令检查所属单位之电脑是否遭到入侵，并以做为发起攻击的始点，影响所及，重新唤起世人对网路安全议题的重视。

人们无法想像全世界网路的精华区居然如此不堪一击，是法令的不完备？骇客技术过于高竿？还是我们没有做到应该有的防备(想想921之后我们不也问过类似的问题？)。

攻击招式︰TCP SYN攻击

说起来这次骇客的技俩并不是什么新发明，而是老把戏。 TCP SYN攻击是教科书上的范例习作。他利用TCP协定建立通讯所需的三项沟通封包，与系统处理特性，故意让网路连线的阶段无法完成，伺服器为迎接新连接用户，其资源就无法释放而造成伺服器过载。搭配着骇客以任意产生且虚假的发起IP(Source Address)对攻击目标大量传送TCP SYN攻击封包，造成这些大型网站纷纷中箭落马。老把戏，但很有效。

受攻击的网站都是世界级的网站，他们有绝对足够的经费、人才、专业与资源投注在网站的经营与营运上。网站以超高频宽，数十台以上的网站伺服器同时运作，建置各种备援机制，负载平衡机制以维持网站的可靠度与信赖度。更加上各种样式的防火墙，却在攻击发生后无一幸免。有网路安全专家指出，目前一个玩网路的十四岁孩童即可利用网路上轻易取得的工具，而使大部分网站暂停服务。

网路世界的秩序尚未建立，大家仍在摸索阶段，为避免成为醒目的目标，许多安全议题只能默默执行，当曝露于骇客的炮火攻击下，也只能尽力抵抗了。

网路与电脑安全并不是新的题目，在电脑系统开发后，电脑的安全也就受到重视，但我们却可以发现，一般企业对于安全的议题通常是谈得多而做得少。只是我们一般都认为这个事情不会发生在我身上。就如同早期人们对大地震的态度，认为这事情可能发生，但大概不会被我遇上。直到有一天，地震过后，就有很多的检讨声，认为事情应该可以预防或做必要的事前准备以减低受到的损失。

可能是因为科技进展太快，或是商业的竞争太过激烈。让我们资讯人员经常受到外在的压力，必须很快地往前走以配合上企业对于资讯系统的需求。所以，只要是可能出问题，但还没发生过的事情，我们多将它放在低优先等级，这即是所谓的「重要的事情不紧急，紧急的事情却又都不重要」。

过去我们曾经因忽略了资料备援而造成资料永久遗失，我们也因为忽视电脑病毒的危害，而使电脑当机或蒙受损失。受伤之后，我们都学乖了，资料备援与防毒软体现在都成了伺服器的标准配备(就像地震后我们的建筑标准都提高了)。但对于网路的安全防范我们是否做到了呢？

增加你的网路安全

好的网路与系统是透过好的管理所衍生的结果。网路安全的加强是好管理的结果。假设网际网路上的使用者不全然都是友善的，我们应该如何防范才能避免损害。以下是我们的一些建议：

●架设防火墙，或设定封包检视过滤的功能，以防止不必要的资料进出网路大门。基本的检查机制是必须的，你不能够敞开大门，而责怪人们任意进入你的家中破坏。

●伺服器上不属于必要的服务不要开启。很多作业系统安装时，会同时安装常用的服务(如FTP、Web、Telnet、SMTP等)，如果你的网路伺服器不需提供这些服务，你应该手动将他们全部关闭。

●安装最新的修正软体(Software Patches)。软体或多或少都有一些的漏洞，发现后软体厂商也会提供必要的修补。为提供良好的系统安全，系统管理者应该注意新的修正软体发表时机，随时更新。

●定期检视你的路由器建构与防火墙建构资料，确保没有网路上不再使用的入口仍然是开启的。检视防火墙与伺服器中的纪录档(log)，看是否有骇客入侵的痕迹。若有疑义，立即请专业人员追踪可能来源。

●设立入侵侦测装置。目前市面上有多种可以即时监视网路流量的工具，这种工具会依据内建的入侵行为模式，比对网路的流量，并在发现可疑封包后，通知管理人员采取必要的补救行动。有些设备甚至可以搭配客户使用的路由器或防火墙，自动切断此一连线，以防止入侵事件的发生。

●建立良好的管理机制。记住你要的是一个安全地支援企业运作的环境，不只是要一个安全但无法符合竞争需求的网路环境。好的安全是好的规划、操作与管理的结果。你必须掌握网路的运作，而​​不要让网路问题、事件追着跑，只有良好的管理机制才可以让你掌控全局。

●与专业服务厂商建立良好的伙伴关系：网路世界的进展超乎我们的想像一般资讯部门的人员很难完全掌握各种最新资讯的发展。拥有一个或数个良好的技术伙伴，可以在紧急的时候找到专业的支援。这个对网际网路及电子商务蓬勃的时代，更是不可或缺的成功关键。

结语︰专业、科技、制度是关键因素

网路世纪是科技的世纪，但是科技无法保障系统运作的成功。科技需要专业的人员才能够掌握，而人员必须在完整的制度下才能够发挥整体的力量。就如同资料的保全不能只买了先进的备份软体与高速磁带馆就可以解决，必须要有专业人员依照各种应用程式或资料库的特性，设定备份策略﹔还要设定规则，注明操作人员或使用者每日、每周或每月应该执行的动作，并监督所有步骤彻底完成才能保障资料的安全备份。

为了网路安全，很多公司都买了高低等级不同的防火墙，但是否有良好的设定以避免成为攻击的目标，或做为对外攻击的发起点，应该定期的确认与检查。防火墙中有纪录档，记载其工作中所发生的状况，资讯部门应该有人定期检视，以判断网路运作的安全状态。

(作者任职于甲尚公司IT事业处暨网路作业中心)

(网际先锋2000.3月号70期)