网络安全中过分强调技术的误区
现在,我们在讨论计算机网络安全时,总是提出使用什么样的安全技术和安全设备来应对,对人的管理和安全管理总是不太重视。这种只强调安全防范技术的安全防范理论,在整个计算机网络安全防范过程中是不可取的。
这是由于计算机网络安全防范不是某种技术和某个产品就能解决问题的,它是人、技术和管理三者相互结合的一个持续不断的系统过程,它存在于整个系统的生命周期当中。如果只强调安全防范技术的使用,而忽略对人的控制和对安全的管理,那么,就算你使用的是最新安全技术,或者使用的安全设备的功能多么强大,攻击者仍然可以通过其它的方式,例如通过社会工程攻击,来进入我们的网络和系统。因此,只强调安全防范技术是不可取的安全防范理念。
我们应当在计算机网络安全防范过程中,使用安全技术来防范来自网络的各种安全威胁,通过加强对人的管理和培训来减少来由人带来的安全风险,以及通过制定各种管理措施来规范安全防范处理过程和明确各种责任。
安全威胁主要来自网络,以及安全事件是由系统或软件的漏洞引起的误区
系统和软件存在漏洞能引起攻击事件不假,但是,如果认为安全威胁只来自互联网,以及认为安全风险都是由系统或软件存在漏洞引起的,那就会让整个安全防范工作偏离真正能解决安全问题的方向。
试想一下,现在在大部分的计算机系统都进行了相应的安全防范工作,例如安装了防火墙或IDS/IPS。如果一个来自网络的攻击者,要想从网络的另一端攻击这些系统,就必需完成一连串的收集信息、侦察目标,以及实施攻击等工作,这样得花费多少的时间才有可能达到攻击的目的,有时甚至花了九牛二虎之力,仍然是竹篮打水一场空。这就是说,要想从网络的另一端攻击一台实施了安全措施的系统并不是一件容易的事情。
那些在网上大吹几十秒能攻破系统的说法是不可信的,除非,你将每次拨号得到的IP地址直接公布出去,将操作系统按默认方式安装后直接连接到网络中,且不做任何安全措施,这样才有可能轻易运行进入这样的系统,但关键是现在还有多少这样的系统存在。
因此,如果攻击者能够通过其它更加容易的方式来达到与网络攻击相同的目的,例如社会工程攻击,网络钓鱼,那又何必每次都利用系统或应用程序漏洞来进行呢?其实,现在企业最大的安全威胁是来自企业内部,例如:
没有实施严格的员工离职管理;
在企业内部允许滥用可移动存储设备;
对企业内部服务器的访问不进行严格的访问控制;
对无线接入设备不加控制和管理;
不限制员工的不正当网络操作行为:上网看色情视频和图片,下载盗版软件、MP3和MP4;
这些威胁都有可能导致企业正常业务的中断和机密数据的泄漏。
从上述这此方面就可以得出,要想保护企业网络资产的安全,仅仅防范来自网络的安全威胁是不够的,还必需同时加强对企业内部的安全防范和管理。
加密的数据在网络中传输时不会被截取和破译的误区
相信绝大多数用户对此是深信不疑的,可是,现在的事实恰恰与此相反的,加密后的数据,一样可以被截取和破译。
攻击者是否能得到在网络中传输的经过加密了的机密数据,关键只是在于它使用的是什么类型的网络嗅探技术。如果攻击者使用的是像Ettcap之类的网络嗅探软件,那么,只要攻击者能够在某个局域网环境中安装了这类软件,那么,一些通过SSL加密了的数据仍然可以被他截获和解码。
当然,嗅探软件解密的好与坏主要与数据在加密时所使用的加密算法的加密强度也有很大的关系,使用的加密算法越强,解码就越难,数据也就越安全。我在这里说加密的数据也不安全,并不是说我们不能应用加密来保护数据的安全,应用加密仍然是保护数据安全的主要方法之一。
这样说的原因只是在提醒大家,在应用数据加密的同时,还应当使用其它的一些安全防范手段,来确保网络中不会出现在上述所示的网络嗅探器,尤其是无线网络,如果我们没有将它们的安全防范工作做得足够好,哪些通过有线或无线网络传输的加密了的数据仍然会被攻击者获取和解密。
网络安全误区的更多分析请读者阅读:
【编辑推荐】