在本屆RSA 2013信息安全大會上，將討論一個很有趣的話題“Internet GUN CONTROL – Are Pentesting Tools Good or Evil”，互聯(lián)網(wǎng)“槍支”管控——滲透測試工具是上帝還是撒旦?

現(xiàn)在許多企業(yè)為了確保自己公司網(wǎng)絡(luò)的安全性，會聘請專業(yè)安全公司對公司網(wǎng)絡(luò)進(jìn)行檢測。而檢測的方法之一就是對公司網(wǎng)絡(luò)進(jìn)行模擬攻擊測試，此時就需要使用滲透測試工具了，借助這類工具可以對用戶網(wǎng)絡(luò)或者其IT平臺進(jìn)行評估。

不過，有些時候滲透測試工具卻會被惡意攻擊者所利用，惡意攻擊者會使用滲透測試工具來發(fā)現(xiàn)被攻擊目標(biāo)網(wǎng)絡(luò)、系統(tǒng)缺陷，并藉此發(fā)動攻擊。

滲透測試工具猶如現(xiàn)實世界里的槍支一樣，當(dāng)其為正確的人所掌控時，可以幫助維護網(wǎng)絡(luò)世界的安全?？僧?dāng)其被惡意攻擊者掌控時，滲透測試工具將被爆發(fā)出驚人的破壞力。如何才能更好的對滲透測試工具進(jìn)行管控，是一個需要好好考慮的問題。

另外，本屆大會上還會討論有關(guān)安全意識培訓(xùn)的話題。現(xiàn)在對于安全意識培訓(xùn)人們有完全相反的兩種觀點：贊成，反對。贊成者認(rèn)為，適當(dāng)?shù)淖罱K用戶安全意識培訓(xùn)是保護用戶網(wǎng)絡(luò)、系統(tǒng)安全的重要一環(huán);反對者認(rèn)為安全意識培訓(xùn)是在浪費時間，最好的安全解決方案就是以技術(shù)控制的方法來保護用戶。

有一件事實是人們都要承認(rèn)的：正是“人”的各類行為引發(fā)了網(wǎng)絡(luò)系統(tǒng)里的安全問題，所有安全產(chǎn)品、安全解決方案其最終目的其實都是為了解決網(wǎng)絡(luò)系統(tǒng)里“人”的問題。那么僅僅從技術(shù)層面是否能夠解決由人所引發(fā)的一切安全問題呢?意識層面的工作是否真的無用?還是現(xiàn)有的意識層面工作還無法達(dá)到理想的效果?也許安全意識培訓(xùn)企業(yè)可以考慮與心理醫(yī)生合作，借鑒心理醫(yī)生的工作模式。

在愈演愈烈的社交網(wǎng)絡(luò)攻擊面前，“人”的因素變得更加凸顯，相應(yīng)的各類安全產(chǎn)品、安全解決方案也需要加重與之相關(guān)的功能、解決方法。