走出網絡安全的誤區(2)
網絡安全中過分強調技術的誤區
現在,我們在討論計算機網絡安全時,總是提出使用什么樣的安全技術和安全設備來應對,對人的管理和安全管理總是不太重視。這種只強調安全防范技術的安全防范理論,在整個計算機網絡安全防范過程中是不可取的。
這是由于計算機網絡安全防范不是某種技術和某個產品就能解決問題的,它是人、技術和管理三者相互結合的一個持續不斷的系統過程,它存在于整個系統的生命周期當中。如果只強調安全防范技術的使用,而忽略對人的控制和對安全的管理,那么,就算你使用的是最新安全技術,或者使用的安全設備的功能多么強大,攻擊者仍然可以通過其它的方式,例如通過社會工程攻擊,來進入我們的網絡和系統。因此,只強調安全防范技術是不可取的安全防范理念。
我們應當在計算機網絡安全防范過程中,使用安全技術來防范來自網絡的各種安全威脅,通過加強對人的管理和培訓來減少來由人帶來的安全風險,以及通過制定各種管理措施來規范安全防范處理過程和明確各種責任。
安全威脅主要來自網絡,以及安全事件是由系統或軟件的漏洞引起的誤區
系統和軟件存在漏洞能引起攻擊事件不假,但是,如果認為安全威脅只來自互聯網,以及認為安全風險都是由系統或軟件存在漏洞引起的,那就會讓整個安全防范工作偏離真正能解決安全問題的方向。
試想一下,現在在大部分的計算機系統都進行了相應的安全防范工作,例如安裝了防火墻或IDS/IPS。如果一個來自網絡的攻擊者,要想從網絡的另一端攻擊這些系統,就必需完成一連串的收集信息、偵察目標,以及實施攻擊等工作,這樣得花費多少的時間才有可能達到攻擊的目的,有時甚至花了九牛二虎之力,仍然是竹籃打水一場空。這就是說,要想從網絡的另一端攻擊一臺實施了安全措施的系統并不是一件容易的事情。
那些在網上大吹幾十秒能攻破系統的說法是不可信的,除非,你將每次撥號得到的IP地址直接公布出去,將操作系統按默認方式安裝后直接連接到網絡中,且不做任何安全措施,這樣才有可能輕易運行進入這樣的系統,但關鍵是現在還有多少這樣的系統存在。
因此,如果攻擊者能夠通過其它更加容易的方式來達到與網絡攻擊相同的目的,例如社會工程攻擊,網絡釣魚,那又何必每次都利用系統或應用程序漏洞來進行呢?其實,現在企業最大的安全威脅是來自企業內部,例如:
沒有實施嚴格的員工離職管理;
在企業內部允許濫用可移動存儲設備;
對企業內部服務器的訪問不進行嚴格的訪問控制;
對無線接入設備不加控制和管理;
不限制員工的不正當網絡操作行為:上網看色情視頻和圖片,下載盜版軟件、MP3和MP4;
這些威脅都有可能導致企業正常業務的中斷和機密數據的泄漏。
從上述這此方面就可以得出,要想保護企業網絡資產的安全,僅僅防范來自網絡的安全威脅是不夠的,還必需同時加強對企業內部的安全防范和管理。
加密的數據在網絡中傳輸時不會被截取和破譯的誤區
相信絕大多數用戶對此是深信不疑的,可是,現在的事實恰恰與此相反的,加密后的數據,一樣可以被截取和破譯。
攻擊者是否能得到在網絡中傳輸的經過加密了的機密數據,關鍵只是在于它使用的是什么類型的網絡嗅探技術。如果攻擊者使用的是像Ettcap之類的網絡嗅探軟件,那么,只要攻擊者能夠在某個局域網環境中安裝了這類軟件,那么,一些通過SSL加密了的數據仍然可以被他截獲和解碼。
當然,嗅探軟件解密的好與壞主要與數據在加密時所使用的加密算法的加密強度也有很大的關系,使用的加密算法越強,解碼就越難,數據也就越安全。我在這里說加密的數據也不安全,并不是說我們不能應用加密來保護數據的安全,應用加密仍然是保護數據安全的主要方法之一。
這樣說的原因只是在提醒大家,在應用數據加密的同時,還應當使用其它的一些安全防范手段,來確保網絡中不會出現在上述所示的網絡嗅探器,尤其是無線網絡,如果我們沒有將它們的安全防范工作做得足夠好,哪些通過有線或無線網絡傳輸的加密了的數據仍然會被攻擊者獲取和解密。
網絡安全誤區的更多分析請讀者閱讀:
【編輯推薦】
