【51CTO.com 獨家特稿】當我在幫朋友處理計算機安全問題的時候，總會遇到他們這樣問我：我的系統(tǒng)上已經(jīng)安裝了防火墻和殺毒軟件，而且都是正版的，并且天天升級病毒庫，為什么還會感染木馬呢？就目前來說，不只是普通網(wǎng)絡用戶存在這樣的問題，甚至一些中小企業(yè)用戶也存在同樣的困惑，明明已經(jīng)按某種方式實施了安全防范策略，可還是會不斷出現(xiàn)系統(tǒng)或網(wǎng)絡被攻擊而引起業(yè)務中斷，以及企業(yè)內(nèi)部的機密數(shù)據(jù)由于入侵而引起泄漏等安全事件的發(fā)現(xiàn)。經(jīng)過對已發(fā)生的各類安全事件進行分析，從中不難發(fā)現(xiàn)之所以會造成這樣的局面，主要是我們在安全防范過程中還存在下列六個方面的誤區(qū)。

誤區(qū)一：認為系統(tǒng)中安裝了殺毒軟件就應該很安全了

如果我試著問幾個計算機網(wǎng)絡用戶使用什么方法來防范木馬病毒，他們肯定會毫不猶豫地回答就是使用殺毒軟件。我還經(jīng)常聽到人們在私下談論自己使用的是什么類型的殺毒軟件，以及它們殺毒的功效等，從他們說話的口氣中就可以猜出他們對殺毒軟件有多么的信任?？墒?，殺毒軟件就真如人們所期盼的這樣能防范所有的已知和未知木馬病毒嗎？

目前，通過特征碼查殺木馬仍然是最快和最有效的查殺方式，一直被所有的殺毒軟件所采用。利用木馬的特征碼來查殺它們，主要是利用木馬程序中的一段或幾段代碼來作為表明它身份的特征碼，或者通過將木馬程序執(zhí)行后，駐留在系統(tǒng)內(nèi)存中的某些特征來作為表明它身份的特征碼。從特征碼的提取方式我們就可以知道要想查殺木馬，就必先獲得它們的相關特征碼，而這必需在木馬暴發(fā)后才能得到。因此，利用特征碼查殺木馬，只能對一些已經(jīng)出現(xiàn)了的木馬有效。

可是，現(xiàn)在大部分的木馬，通過修改其編碼和執(zhí)行方式，對其進行加密和加殼，以便能躲過殺毒軟件通過特征碼方式的查殺，由此，殺毒軟件開始使用一種叫作啟發(fā)式殺毒的技術來應對不斷出現(xiàn)的新木馬。啟發(fā)式殺毒分為靜態(tài)和動態(tài)兩種方式，其中動態(tài)方式能預先構造一個虛擬環(huán)境讓可疑的程序運行，通過分析其行為特征，一旦發(fā)現(xiàn)可疑行為就被禁止。這種方式不依賴木馬的特征碼，對未知的木馬有一定的防范效果，但是，它仍然存在許多問題，例如漏報和誤報，以及會犧牲一部分系統(tǒng)性能作為代價，也就說啟發(fā)式殺毒也不可能完全防范未知的木馬病毒。

現(xiàn)在，一些主流的殺毒軟件廠商提出了“云安全”的查殺技術，通過了解其原理，主要是通過一個客戶端在用戶系統(tǒng)中運行，監(jiān)控用戶系統(tǒng)是否感染了木馬，如果檢測到不正?；顒樱蜁⑦@些內(nèi)容提交給殺毒軟件的服務器端，然后殺毒軟件服務器端就會迅速對這些內(nèi)容進行分析，提取木馬的特征碼，幾分鐘后就可以將特征碼返回客戶端進行查殺。云安全雖然解決了用戶手工更新病毒庫的方式，并減輕了客戶端的計算量，但是，這種方式需要用戶已經(jīng)連接到了因特網(wǎng)，另外，它的殺毒處理仍然會有一段時間的延遲，而且讓人懷疑云安全是否會泄漏用戶的隱私，這樣就有可能造成用戶的主機只是變成了殺毒軟件提供商的病毒庫來源，而真正起到的防病毒作用卻收效甚微。

從這里我們可以看出，殺毒軟件到目前為止是不可能防范所有的未知木馬的。而且，一些利用木馬進行攻擊的攻擊者還會利用殺毒軟件來麻痹用戶，例如當木馬在目標系統(tǒng)中運行后，只破壞殺毒軟件的查殺功能，而不停止它們的運行，讓用戶認為殺毒軟件仍在保護系統(tǒng)，這樣，當用戶發(fā)現(xiàn)時，一切都已經(jīng)晚了。

因此，我們不能將保護系統(tǒng)安全的任務全部交給殺毒軟件，還要對系統(tǒng)進行其它方面的加固，例如停止不需要的服務，提高用戶權限管理，以及加強對自己網(wǎng)絡操作行為的管理，不去不安全的網(wǎng)站瀏覽，不打開垃圾郵件，不打開QQ等即時聊天軟件發(fā)過來的文件或圖片，使用安全的軟件等。

誤導之二：過分強調技術

現(xiàn)在，我們在討論計算機網(wǎng)絡安全時，總是提出使用什么樣的安全技術和安全設備來應對，對人的管理和安全管理總是不太重視。這種只強調安全防范技術的安全防范理論，在整個計算機網(wǎng)絡安全防范過程中是不可取的。

這是由于計算機網(wǎng)絡安全防范不是某種技術和某個產(chǎn)品就能解決問題的，它是人、技術和管理三者相互結合的一個持續(xù)不斷的系統(tǒng)過程，它存在于整個系統(tǒng)的生命周期當中。如果只強調安全防范技術的使用，而忽略對人的控制和對安全的管理，那么，就算你使用的是最新安全技術，或者使用的安全設備的功能多么強大，攻擊者仍然可以通過其它的方式，例如通過社會工程攻擊，來進入我們的網(wǎng)絡和系統(tǒng)。因此，只強調安全防范技術是不可取的安全防范理念。

我們應當在計算機網(wǎng)絡安全防范過程中，使用安全技術來防范來自網(wǎng)絡的各種安全威脅，通過加強對人的管理和培訓來減少來由人帶來的安全風險，以及通過制定各種管理措施來規(guī)范安全防范處理過程和明確各種責任。

誤導三：安全威脅主要來自網(wǎng)絡，以及安全事件是由系統(tǒng)或軟件的漏洞引起的

系統(tǒng)和軟件存在漏洞能引起攻擊事件不假，但是，如果認為安全威脅只來自互聯(lián)網(wǎng)，以及認為安全風險都是由系統(tǒng)或軟件存在漏洞引起的，那就會讓整個安全防范工作偏離真正能解決安全問題的方向。

試想一下，現(xiàn)在在大部分的計算機系統(tǒng)都進行了相應的安全防范工作，例如安裝了防火墻或IDS/IPS。如果一個來自網(wǎng)絡的攻擊者，要想從網(wǎng)絡的另一端攻擊這些系統(tǒng)，就必需完成一連串的收集信息、偵察目標，以及實施攻擊等工作，這樣得花費多少的時間才有可能達到攻擊的目的，有時甚至花了九牛二虎之力，仍然是竹籃打水一場空。這就是說，要想從網(wǎng)絡的另一端攻擊一臺實施了安全措施的系統(tǒng)并不是一件容易的事情。那些在網(wǎng)上大吹幾十秒能攻破系統(tǒng)的說法是不可信的，除非，你將每次撥號得到的IP地址直接公布出去，將操作系統(tǒng)按默認方式安裝后直接連接到網(wǎng)絡中，且不做任何安全措施，這樣才有可能輕易運行進入這樣的系統(tǒng)，但關鍵是現(xiàn)在還有多少這樣的系統(tǒng)存在。因此，如果攻擊者能夠通過其它更加容易的方式來達到與網(wǎng)絡攻擊相同的目的，例如社會工程攻擊，網(wǎng)絡釣魚，那又何必每次都利用系統(tǒng)或應用程序漏洞來進行呢？

其實，現(xiàn)在企業(yè)最大的安全威脅是來自企業(yè)內(nèi)部，例如沒有實施嚴格的員工離職管理；在企業(yè)內(nèi)部允許濫用可移動存儲設備；對企業(yè)內(nèi)部服務器的訪問不進行嚴格的訪問控制；對無線接入設備不加控制和管理；以及不限制員工的不正當網(wǎng)絡操作行為，例如上網(wǎng)看色情視頻和圖片，下載盜版軟件、MP3和MP4等，都有可能企業(yè)正常業(yè)務的中斷和機密數(shù)據(jù)的泄漏。

從上述這此方面就可以得出，要想保護企業(yè)網(wǎng)絡資產(chǎn)的安全，僅僅防范來自網(wǎng)絡的安全威脅是不夠的，還必需同時加強對企業(yè)內(nèi)部的安全防范和管理。

誤導四：加密的數(shù)據(jù)在網(wǎng)絡中傳輸時不會被截取和破譯

相信絕大多數(shù)用戶對此是深信不疑的，可是，現(xiàn)在的事實恰恰與此相反的，加密后的數(shù)據(jù)，一樣可以被截取和破譯。

攻擊者是否能得到在網(wǎng)絡中傳輸?shù)慕?jīng)過加密了的機密數(shù)據(jù)，關鍵只是在于它使用的是什么類型的網(wǎng)絡嗅探技術。如果攻擊者使用的是像Ettcap之類的網(wǎng)絡嗅探軟件，那么，只要攻擊者能夠在某個局域網(wǎng)環(huán)境中安裝了這類軟件，那么，一些通過SSL加密了的數(shù)據(jù)仍然可以被他截獲和解碼。

當然，嗅探軟件解密的好與壞主要與數(shù)據(jù)在加密時所使用的加密算法的加密強度也有很大的關系，使用的加密算法越強，解碼就越難，數(shù)據(jù)也就越安全。我在這里說加密的數(shù)據(jù)也不安全，并不是說我們不能應用加密來保護數(shù)據(jù)的安全，應用加密仍然是保護數(shù)據(jù)安全的主要方法之一。這樣說的原因只是在提醒大家，在應用數(shù)據(jù)加密的同時，還應當使用其它的一些安全防范手段，來確保網(wǎng)絡中不會出現(xiàn)在上述所示的網(wǎng)絡嗅探器，尤其是無線網(wǎng)絡，如果我們沒有將它們的安全防范工作做得足夠好，哪些通過有線或無線網(wǎng)絡傳輸?shù)募用芰说臄?shù)據(jù)仍然會被攻擊者獲取和解密。

誤導五：虛擬機很安全

虛擬機在某種意義上為我們的系統(tǒng)安全提供了一種新的選擇，我們可以使用它來打造冗余的系統(tǒng)，提高企業(yè)的業(yè)務連續(xù)性水平，同時，又能降低企業(yè)的IT總體擁有成本。但是，虛擬機本身并不如我們想像的那樣安全，它仍然會給我們帶來新的安全風險，這些安全風險包括：

1.虛擬機軟件本身存在安全風險

虛擬機軟件也是一個由代碼組成的程序，與所有的程序一樣，其代碼中肯定會存在某些編碼方面的漏洞，當這些漏洞被黑客發(fā)現(xiàn)后，就會給存在這些漏洞的虛擬機帶來被攻擊的安全風險。例如，處于虛擬機系統(tǒng)與物理主機硬件驅動程序之間的虛擬機管理控制層（就是通常所說的hypervisor），現(xiàn)在就已經(jīng)有安全專家編寫了與它具有相同功能的rootkit，它能進入系統(tǒng)管理層，處于一個受保護的內(nèi)存段，讓操作系統(tǒng)不能發(fā)現(xiàn)和訪問，它們能分析所有虛擬機的IO行為，并能對虛擬機的內(nèi)存段進行分析，如果還能跟一些鍵盤擊鍵程序和網(wǎng)絡工具相配合，就可以成為一個威力強大的木馬程序，這樣，所有的虛擬機都可以被黑客控制。

2.物理主機存在的安全隱患可能會給其上運行的所有虛擬機帶來安全風險

物理主機作為虛擬機的承載主體，它的安全性尤其重要?，F(xiàn)在，隨著計算機硬件性能的不斷提高，以及其價格的不斷跳水，一臺物理主機很容易就能滿足在其上運行多臺虛擬機的要求。但是，這種將所有雞蛋都放到一個籃子中的做法，很容易就可以造成服務器單點失敗的嚴重安全事故。虛擬機的這個方面與安全策略中要保證系統(tǒng)的穩(wěn)定性和持續(xù)性是相違背的。

除了這兩個方面的安全隱患外，虛擬機與物理主機之間，虛擬機與虛擬機之間的通信同樣也存在不同的安全風險。如果我們在應用虛擬機的過程中，不能很好地處理這些安全風險，那么，虛擬機帶給我們的可能是一次嚴重的計算機安全事件。

誤導六：無線網(wǎng)絡關閉了SSID廣播，進行MAC地址過濾后就已經(jīng)很安全

現(xiàn)在，一些有關無線網(wǎng)絡的安全建議，大多都是告訴用戶通過關閉無線網(wǎng)絡的SSID廣播，以及使用MAC地址過濾和加密來保障無線網(wǎng)絡的安全。實際上，就算我們按這種方法做了，無線網(wǎng)絡安全仍然是沒有保障的。

就目前來說，攻擊者可以使用NetStumbler和Kismet這樣的軟件來發(fā)現(xiàn)關閉了SSID的無線網(wǎng)絡，并且，可以通過Aircrack這樣的軟件來破解無線網(wǎng)絡的密碼，這樣，雖然連接要花費一定的時間，但是，連入通過這些安全手段防范的無線網(wǎng)絡還是有可能的。

因此，我們在使用這些無線安全防范措施的同時，還應對使用無線網(wǎng)絡訪問控制，或其它的的安全手段，例如在無線網(wǎng)絡中加入VPN技術，來進一步提高無線網(wǎng)絡的安全性能。

通過對上面所述的這六個在安全防范方面的認識誤區(qū)的了解，我們應當明白了保障網(wǎng)絡和系統(tǒng)的安全，并不是某種技術和設備就可以達到的，也不可能做到絕對的安全，我們只有結合多種安全防范方法，來構建一個立體化深層次的安全防范體系，才有可能將來自企業(yè)內(nèi)部和外部的安全威脅帶來的風險降低到最低水平。

【51CTO.COM 獨家特稿，轉載請注明出處及作者！】

【編輯推薦】

1. McAfee統(tǒng)一安全訪問繼續(xù)領跑網(wǎng)絡安全領域
2. 安全集成與簡單管理 全面了解Forefront安全方案
3. 大型企業(yè)信息安全管理之道