淺談網(wǎng)絡(luò)服務(wù)的安全性與開放性

楊雅莉

（西安歐亞學(xué)院信息工程學(xué)院，陜西 西安 710065）

在日益龐大的計算機網(wǎng)絡(luò)中，支撐用戶業(yè)務(wù)的網(wǎng)絡(luò)元素日益多元化，但直接提供給用戶業(yè)務(wù)的是各種各樣的網(wǎng)絡(luò)服務(wù)，所有的網(wǎng)絡(luò)用戶都處于形形色色的服務(wù)中。

辦公室用戶最常接觸的有DNS、電子郵件、認證服務(wù)、聯(lián)網(wǎng)以及打印等等。這些服務(wù)非常重要，一旦沒有了這些服務(wù)，自動化的辦公環(huán)境將不存在，整個公司的管理系統(tǒng)也將頃刻崩潰。而對于家庭用戶，由于其接入技術(shù)的特點，典型的服務(wù)是遠程接入方法、網(wǎng)絡(luò)證書服務(wù)、游戲服務(wù)、連接因特網(wǎng)、DHCP、文件服務(wù)等等。這些服務(wù)為家庭用戶提供了安全的管理、豐富的網(wǎng)絡(luò)內(nèi)容，極大的促進信息化社會的快速形成。

網(wǎng)絡(luò)服務(wù)是豐富而全面的，但是這么多的服務(wù)開發(fā)、組織卻是棘手而令人頭疼的，那么是什么促進了這些網(wǎng)絡(luò)服務(wù)的發(fā)展，答案是明確的：網(wǎng)絡(luò)共享、資源共享。特別需要說明的是，網(wǎng)絡(luò)資源共享是以結(jié)構(gòu)化的計算機環(huán)境為基礎(chǔ)的，結(jié)構(gòu)化計算機環(huán)境與孤立計算機組成的計算機環(huán)境的最大區(qū)別就是服務(wù)。典型的結(jié)構(gòu)化計算機環(huán)境則是由技術(shù)人員操作大量的計算機，通過共享方便的通信、優(yōu)化的資源等服務(wù)來互相聯(lián)結(jié)在一起。當一臺主機通過ISP 連接到因特網(wǎng)上，他就是使用了ISP 或其他人提供的服務(wù)才進入網(wǎng)絡(luò)的。

網(wǎng)絡(luò)服務(wù)必須是可靠的、標準化的、安全的及便于提供支持的。這些都需要人員進行維護，通常提供維護的人員是系統(tǒng)管理員。在整個Internet 中有大量的系統(tǒng)管理員對網(wǎng)絡(luò)服務(wù)進行監(jiān)控、維護、技術(shù)支持等。這些工作是非常必要的，同時必須是非常細致、持續(xù)的。隨著技術(shù)的進步和用戶工作的開展，用戶的要求也會越來越高，結(jié)果系統(tǒng)管理員就必須花費大量的時間來設(shè)計并創(chuàng)建新的服務(wù)，創(chuàng)建的新服務(wù)的質(zhì)量決定了以后系統(tǒng)管理員們對它們提供技術(shù)支持時所花費時間和精力的多少，同時也決定了用戶的滿意程度。

1 網(wǎng)絡(luò)服務(wù)的驅(qū)動力及存在基礎(chǔ)

網(wǎng)絡(luò)服務(wù)是如何被驅(qū)動的：在結(jié)構(gòu)化的計算機網(wǎng)絡(luò)中，計算機網(wǎng)絡(luò)的健壯工作、計算機網(wǎng)絡(luò)的效用的充分發(fā)揮，是網(wǎng)絡(luò)服務(wù)存在的最根本原因。因此在Internet 誕生的同時，計算機網(wǎng)絡(luò)服務(wù)的存在是必然和必要的,更確切的說，網(wǎng)絡(luò)服務(wù)本身就是Internet 中最重要的元素、也是最貼近用戶的元素。甚至可以如此說：Internet 本身就是服務(wù)的集合及支撐這些服務(wù)的物理元素的合集。恰當?shù)谋扔鳎悍?wù)是整個Internet 中的上層建筑，而支撐這些服務(wù)的物理元素是Internet 中的基礎(chǔ)建筑。例如在具體的應(yīng)用中，ISP、DNS、電子郵件、認證服務(wù)、游戲服務(wù)這些對于用戶來說是最直接的。盡管用戶的計算機直接相連的是光纖、WLAN、銅線及各種Modem，但似乎與用戶更貼近的是網(wǎng)絡(luò)服務(wù)。當用戶需要Mail的時候，首先關(guān)心的是電子郵件服務(wù)；當用戶需要網(wǎng)絡(luò)游戲的時候，首先關(guān)心的是游戲服務(wù)；甚至用戶最關(guān)心的網(wǎng)絡(luò)消費也是與ISP 進行交易。因此可以肯定的說，網(wǎng)絡(luò)服務(wù)處于Internet 層次結(jié)構(gòu)的最頂層，是與用戶業(yè)務(wù)息息相關(guān)的。

2 網(wǎng)絡(luò)服務(wù)的創(chuàng)建

與所有的工程項目一樣，網(wǎng)絡(luò)服務(wù)的創(chuàng)建，最先的考慮的應(yīng)該是服務(wù)的需求定義。對系統(tǒng)管理員來說，就是根據(jù)標準服務(wù)規(guī)范定義進行裁剪，組織服務(wù)。同時獲取用戶的需求。在進行這項工作時系統(tǒng)管理員必須考慮許多基本要素，其中最重要的就是在設(shè)計和開發(fā)的各個階段都要考慮到用戶的需求。要和用戶進行交流，去發(fā)現(xiàn)用戶對服務(wù)的要求和預(yù)期，然后把其它的要求如管理要求等列一個清單，這樣的清單只能讓系統(tǒng)管理員團隊的人看到。在這樣一個過程中“是什么”比“怎么樣”更重要，否則在具體執(zhí)行時很容易就會陷入泥潭而失去目標。

然后，系統(tǒng)管理員應(yīng)該考慮具體的技術(shù)方案，這是最具挑戰(zhàn)性的工作。但幸運的是，大多的技術(shù)實現(xiàn)方案都已經(jīng)被規(guī)范化的定義，例如已經(jīng)存在大量的網(wǎng)絡(luò)服務(wù)的技術(shù)規(guī)范，例如POP3 服務(wù)協(xié)議已經(jīng)作為電子郵件服務(wù)進行規(guī)范定義，DNS 已經(jīng)作為域名解析服務(wù)進行規(guī)范定義，諸如此類不勝其數(shù)。因此技術(shù)實現(xiàn)方案是容易解決的。留給系統(tǒng)管理員做的工作就是服務(wù)應(yīng)該建立在什么樣的硬件網(wǎng)絡(luò)基礎(chǔ)之上、如何增加服務(wù)所依賴平臺的可靠性和其它性能。服務(wù)和服務(wù)所依賴的物理平臺應(yīng)該受到監(jiān)控，一旦發(fā)生故障就發(fā)出警報或產(chǎn)生故障記錄清單。

應(yīng)該理解的是，網(wǎng)絡(luò)中的服務(wù)是相關(guān)關(guān)聯(lián)、依存的，或者是有層次的。例如，幾乎所有的服務(wù)都依靠域名服務(wù)（DNS）。要給一個服務(wù)配置機器名或域名，要靠DNS；要想在日志文件中包含所使用服務(wù)或服務(wù)訪問過的主機名，要用到DNS；如果你進入一臺主機通過它的服務(wù)聯(lián)系別的機器，也要用到DNS。DNS 是依靠網(wǎng)絡(luò)的，所有依賴DNS的服務(wù)也依靠網(wǎng)絡(luò)。有一些服務(wù)是依靠email的，還有別的服務(wù)依靠訪問其它計算機上的共享文件，也有許多服務(wù)也依靠身份認證和授權(quán)服務(wù)來對人們進行區(qū)分，特別是在那些基于認證機制而又具有不同級別服務(wù)權(quán)限的環(huán)境中。

3 網(wǎng)絡(luò)服務(wù)的性能及安全

值的注意的是，作為服務(wù)所依賴的平臺，具體的機器和軟件應(yīng)當依賴那些建立在相同或更高標準上的主機和軟件，一個服務(wù)的可靠性和它所依賴的服務(wù)鏈中最薄弱環(huán)節(jié)的可靠性是相當?shù)?。一個服務(wù)不應(yīng)該無故的去依賴那些不是服務(wù)一部分的主機。

為了可靠性和安全性，對服務(wù)器的訪問權(quán)限應(yīng)當進行限制，只有系統(tǒng)管理員才能具有訪問權(quán)限。使用機器的人和機器上運行的程序越多，發(fā)生內(nèi)存溢出或突然出現(xiàn)其它故障、服務(wù)中斷的機會就越大。用戶使用計算機時總喜歡多裝點東西，這樣他們就能方便的存取自己需要的數(shù)據(jù)和使用其它的服務(wù)。但是服務(wù)器應(yīng)該是盡可能的簡單，簡單化可以讓機器更加可靠，發(fā)生問題時更容易調(diào)試。服務(wù)器在滿足服務(wù)運轉(zhuǎn)正常的前提下應(yīng)當安裝最少的東西，只有系統(tǒng)管理員們具有安裝權(quán)限，而且系統(tǒng)管理員們登錄服務(wù)器時應(yīng)該也只是為了維護。從安全的角度來看，服務(wù)器比普通的臺式機更敏感。入侵者一旦獲得了服務(wù)器的管理員權(quán)限，他所能做的破壞比獲得孤立計算機管理員權(quán)限所能做的破壞大的多！越少的人具有管理員權(quán)限，服務(wù)器運行的東西就越少，入侵者獲得權(quán)限的機會就越小，入侵者被發(fā)現(xiàn)的機會就越大。

同時對于日益的網(wǎng)絡(luò)入侵事件，是網(wǎng)絡(luò)管理員在目前階段更應(yīng)該重視的安全問題?？梢酝ㄟ^增加硬件上的安全設(shè)備或者軟件防御體系來避免遭受網(wǎng)絡(luò)襲擊。必要的時候，網(wǎng)絡(luò)管理員需要配置冗余的系統(tǒng)來增加網(wǎng)絡(luò)服務(wù)的安全。

4 網(wǎng)絡(luò)服務(wù)的開放性

Internet的魅力所在便是開放式的系統(tǒng)，在這個開放的環(huán)境中網(wǎng)絡(luò)用戶可以實現(xiàn)資源共享。那么網(wǎng)絡(luò)服務(wù)作為Internet的上層建筑，更需要一個開放的體系結(jié)構(gòu)。

對于網(wǎng)絡(luò)服務(wù)的開放性，有必要從兩個方面領(lǐng)會：

首先式開放的標準體系，作為網(wǎng)絡(luò)服務(wù)技術(shù)的規(guī)范性定義文件，RFC 及許多互連網(wǎng)的民間組織制定了大量的服務(wù)類規(guī)范，這些規(guī)范作為“建議”出現(xiàn)，但在具體的應(yīng)用中，這些建議被網(wǎng)絡(luò)建設(shè)者及系統(tǒng)管理員自覺的、徹底的執(zhí)行。因此在Internet 上出現(xiàn)的大多網(wǎng)絡(luò)服務(wù)，都有標準的接口、標準的技術(shù)體系、標準的操作規(guī)則。

另外，網(wǎng)絡(luò)服務(wù)的開放體現(xiàn)在對用戶開放上，用戶可以通過認證等手段加入服務(wù)和退出服務(wù)，用戶的服務(wù)盡管有時候需要預(yù)訂，但在使用服務(wù)的過程中用戶可以隨時停止、開始業(yè)務(wù)。

[1]劉文慶.淺談計算機網(wǎng)絡(luò)服務(wù)[J].內(nèi)蒙古林業(yè)調(diào)查設(shè)計，2005-09-30.