網(wǎng)絡(luò)安全中過(guò)分強(qiáng)調(diào)技術(shù)的誤區(qū)

現(xiàn)在，我們?cè)谟懻撚?jì)算機(jī)網(wǎng)絡(luò)安全時(shí)，總是提出使用什么樣的安全技術(shù)和安全設(shè)備來(lái)應(yīng)對(duì)，對(duì)人的管理和安全管理總是不太重視。這種只強(qiáng)調(diào)安全防范技術(shù)的安全防范理論，在整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)安全防范過(guò)程中是不可取的。

這是由于計(jì)算機(jī)網(wǎng)絡(luò)安全防范不是某種技術(shù)和某個(gè)產(chǎn)品就能解決問(wèn)題的，它是人、技術(shù)和管理三者相互結(jié)合的一個(gè)持續(xù)不斷的系統(tǒng)過(guò)程，它存在于整個(gè)系統(tǒng)的生命周期當(dāng)中。如果只強(qiáng)調(diào)安全防范技術(shù)的使用，而忽略對(duì)人的控制和對(duì)安全的管理，那么，就算你使用的是最新安全技術(shù)，或者使用的安全設(shè)備的功能多么強(qiáng)大，攻擊者仍然可以通過(guò)其它的方式，例如通過(guò)社會(huì)工程攻擊，來(lái)進(jìn)入我們的網(wǎng)絡(luò)和系統(tǒng)。因此，只強(qiáng)調(diào)安全防范技術(shù)是不可取的安全防范理念。

我們應(yīng)當(dāng)在計(jì)算機(jī)網(wǎng)絡(luò)安全防范過(guò)程中，使用安全技術(shù)來(lái)防范來(lái)自網(wǎng)絡(luò)的各種安全威脅，通過(guò)加強(qiáng)對(duì)人的管理和培訓(xùn)來(lái)減少來(lái)由人帶來(lái)的安全風(fēng)險(xiǎn)，以及通過(guò)制定各種管理措施來(lái)規(guī)范安全防范處理過(guò)程和明確各種責(zé)任。

安全威脅主要來(lái)自網(wǎng)絡(luò)，以及安全事件是由系統(tǒng)或軟件的漏洞引起的誤區(qū)

系統(tǒng)和軟件存在漏洞能引起攻擊事件不假，但是，如果認(rèn)為安全威脅只來(lái)自互聯(lián)網(wǎng)，以及認(rèn)為安全風(fēng)險(xiǎn)都是由系統(tǒng)或軟件存在漏洞引起的，那就會(huì)讓整個(gè)安全防范工作偏離真正能解決安全問(wèn)題的方向。

試想一下，現(xiàn)在在大部分的計(jì)算機(jī)系統(tǒng)都進(jìn)行了相應(yīng)的安全防范工作，例如安裝了防火墻或IDS/IPS。如果一個(gè)來(lái)自網(wǎng)絡(luò)的攻擊者，要想從網(wǎng)絡(luò)的另一端攻擊這些系統(tǒng)，就必需完成一連串的收集信息、偵察目標(biāo)，以及實(shí)施攻擊等工作，這樣得花費(fèi)多少的時(shí)間才有可能達(dá)到攻擊的目的，有時(shí)甚至花了九牛二虎之力，仍然是竹籃打水一場(chǎng)空。這就是說(shuō)，要想從網(wǎng)絡(luò)的另一端攻擊一臺(tái)實(shí)施了安全措施的系統(tǒng)并不是一件容易的事情。

那些在網(wǎng)上大吹幾十秒能攻破系統(tǒng)的說(shuō)法是不可信的，除非，你將每次撥號(hào)得到的IP地址直接公布出去，將操作系統(tǒng)按默認(rèn)方式安裝后直接連接到網(wǎng)絡(luò)中，且不做任何安全措施，這樣才有可能輕易運(yùn)行進(jìn)入這樣的系統(tǒng)，但關(guān)鍵是現(xiàn)在還有多少這樣的系統(tǒng)存在。

因此，如果攻擊者能夠通過(guò)其它更加容易的方式來(lái)達(dá)到與網(wǎng)絡(luò)攻擊相同的目的，例如社會(huì)工程攻擊，網(wǎng)絡(luò)釣魚(yú)，那又何必每次都利用系統(tǒng)或應(yīng)用程序漏洞來(lái)進(jìn)行呢？其實(shí)，現(xiàn)在企業(yè)最大的安全威脅是來(lái)自企業(yè)內(nèi)部，例如：

沒(méi)有實(shí)施嚴(yán)格的員工離職管理；

在企業(yè)內(nèi)部允許濫用可移動(dòng)存儲(chǔ)設(shè)備；

對(duì)企業(yè)內(nèi)部服務(wù)器的訪(fǎng)問(wèn)不進(jìn)行嚴(yán)格的訪(fǎng)問(wèn)控制；

對(duì)無(wú)線(xiàn)接入設(shè)備不加控制和管理；

不限制員工的不正當(dāng)網(wǎng)絡(luò)操作行為：上網(wǎng)看色情視頻和圖片，下載盜版軟件、MP3和MP4；

這些威脅都有可能導(dǎo)致企業(yè)正常業(yè)務(wù)的中斷和機(jī)密數(shù)據(jù)的泄漏。

從上述這此方面就可以得出，要想保護(hù)企業(yè)網(wǎng)絡(luò)資產(chǎn)的安全，僅僅防范來(lái)自網(wǎng)絡(luò)的安全威脅是不夠的，還必需同時(shí)加強(qiáng)對(duì)企業(yè)內(nèi)部的安全防范和管理。

加密的數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時(shí)不會(huì)被截取和破譯的誤區(qū)

相信絕大多數(shù)用戶(hù)對(duì)此是深信不疑的，可是，現(xiàn)在的事實(shí)恰恰與此相反的，加密后的數(shù)據(jù)，一樣可以被截取和破譯。

攻擊者是否能得到在網(wǎng)絡(luò)中傳輸?shù)慕?jīng)過(guò)加密了的機(jī)密數(shù)據(jù)，關(guān)鍵只是在于它使用的是什么類(lèi)型的網(wǎng)絡(luò)嗅探技術(shù)。如果攻擊者使用的是像Ettcap之類(lèi)的網(wǎng)絡(luò)嗅探軟件，那么，只要攻擊者能夠在某個(gè)局域網(wǎng)環(huán)境中安裝了這類(lèi)軟件，那么，一些通過(guò)SSL加密了的數(shù)據(jù)仍然可以被他截獲和解碼。

當(dāng)然，嗅探軟件解密的好與壞主要與數(shù)據(jù)在加密時(shí)所使用的加密算法的加密強(qiáng)度也有很大的關(guān)系，使用的加密算法越強(qiáng)，解碼就越難，數(shù)據(jù)也就越安全。我在這里說(shuō)加密的數(shù)據(jù)也不安全，并不是說(shuō)我們不能應(yīng)用加密來(lái)保護(hù)數(shù)據(jù)的安全，應(yīng)用加密仍然是保護(hù)數(shù)據(jù)安全的主要方法之一。

這樣說(shuō)的原因只是在提醒大家，在應(yīng)用數(shù)據(jù)加密的同時(shí)，還應(yīng)當(dāng)使用其它的一些安全防范手段，來(lái)確保網(wǎng)絡(luò)中不會(huì)出現(xiàn)在上述所示的網(wǎng)絡(luò)嗅探器，尤其是無(wú)線(xiàn)網(wǎng)絡(luò)，如果我們沒(méi)有將它們的安全防范工作做得足夠好，哪些通過(guò)有線(xiàn)或無(wú)線(xiàn)網(wǎng)絡(luò)傳輸?shù)募用芰说臄?shù)據(jù)仍然會(huì)被攻擊者獲取和解密。

網(wǎng)絡(luò)安全誤區(qū)的更多分析請(qǐng)讀者閱讀：

走出網(wǎng)絡(luò)安全的誤區(qū)（1）

走出網(wǎng)絡(luò)安全的誤區(qū)（3）

【編輯推薦】

1. 安全3.3的三大必要條件
2. 淺析黑客技術(shù)和網(wǎng)絡(luò)安全
3. 別讓惡意軟件妨礙我們的生活
4. 大多數(shù)企業(yè)忽視“網(wǎng)絡(luò)間諜”的威脅
5. IT人員的困繞：互聯(lián)網(wǎng)早期的病毒傳播