走出網(wǎng)絡(luò)安全的誤區(qū)(2)
網(wǎng)絡(luò)安全中過分強調(diào)技術(shù)的誤區(qū)
現(xiàn)在,我們在討論計算機網(wǎng)絡(luò)安全時,總是提出使用什么樣的安全技術(shù)和安全設(shè)備來應(yīng)對,對人的管理和安全管理總是不太重視。這種只強調(diào)安全防范技術(shù)的安全防范理論,在整個計算機網(wǎng)絡(luò)安全防范過程中是不可取的。
這是由于計算機網(wǎng)絡(luò)安全防范不是某種技術(shù)和某個產(chǎn)品就能解決問題的,它是人、技術(shù)和管理三者相互結(jié)合的一個持續(xù)不斷的系統(tǒng)過程,它存在于整個系統(tǒng)的生命周期當中。如果只強調(diào)安全防范技術(shù)的使用,而忽略對人的控制和對安全的管理,那么,就算你使用的是最新安全技術(shù),或者使用的安全設(shè)備的功能多么強大,攻擊者仍然可以通過其它的方式,例如通過社會工程攻擊,來進入我們的網(wǎng)絡(luò)和系統(tǒng)。因此,只強調(diào)安全防范技術(shù)是不可取的安全防范理念。
我們應(yīng)當在計算機網(wǎng)絡(luò)安全防范過程中,使用安全技術(shù)來防范來自網(wǎng)絡(luò)的各種安全威脅,通過加強對人的管理和培訓(xùn)來減少來由人帶來的安全風(fēng)險,以及通過制定各種管理措施來規(guī)范安全防范處理過程和明確各種責(zé)任。
安全威脅主要來自網(wǎng)絡(luò),以及安全事件是由系統(tǒng)或軟件的漏洞引起的誤區(qū)
系統(tǒng)和軟件存在漏洞能引起攻擊事件不假,但是,如果認為安全威脅只來自互聯(lián)網(wǎng),以及認為安全風(fēng)險都是由系統(tǒng)或軟件存在漏洞引起的,那就會讓整個安全防范工作偏離真正能解決安全問題的方向。
試想一下,現(xiàn)在在大部分的計算機系統(tǒng)都進行了相應(yīng)的安全防范工作,例如安裝了防火墻或IDS/IPS。如果一個來自網(wǎng)絡(luò)的攻擊者,要想從網(wǎng)絡(luò)的另一端攻擊這些系統(tǒng),就必需完成一連串的收集信息、偵察目標,以及實施攻擊等工作,這樣得花費多少的時間才有可能達到攻擊的目的,有時甚至花了九牛二虎之力,仍然是竹籃打水一場空。這就是說,要想從網(wǎng)絡(luò)的另一端攻擊一臺實施了安全措施的系統(tǒng)并不是一件容易的事情。
那些在網(wǎng)上大吹幾十秒能攻破系統(tǒng)的說法是不可信的,除非,你將每次撥號得到的IP地址直接公布出去,將操作系統(tǒng)按默認方式安裝后直接連接到網(wǎng)絡(luò)中,且不做任何安全措施,這樣才有可能輕易運行進入這樣的系統(tǒng),但關(guān)鍵是現(xiàn)在還有多少這樣的系統(tǒng)存在。
因此,如果攻擊者能夠通過其它更加容易的方式來達到與網(wǎng)絡(luò)攻擊相同的目的,例如社會工程攻擊,網(wǎng)絡(luò)釣魚,那又何必每次都利用系統(tǒng)或應(yīng)用程序漏洞來進行呢?其實,現(xiàn)在企業(yè)最大的安全威脅是來自企業(yè)內(nèi)部,例如:
沒有實施嚴格的員工離職管理;
在企業(yè)內(nèi)部允許濫用可移動存儲設(shè)備;
對企業(yè)內(nèi)部服務(wù)器的訪問不進行嚴格的訪問控制;
對無線接入設(shè)備不加控制和管理;
不限制員工的不正當網(wǎng)絡(luò)操作行為:上網(wǎng)看色情視頻和圖片,下載盜版軟件、MP3和MP4;
這些威脅都有可能導(dǎo)致企業(yè)正常業(yè)務(wù)的中斷和機密數(shù)據(jù)的泄漏。
從上述這此方面就可以得出,要想保護企業(yè)網(wǎng)絡(luò)資產(chǎn)的安全,僅僅防范來自網(wǎng)絡(luò)的安全威脅是不夠的,還必需同時加強對企業(yè)內(nèi)部的安全防范和管理。
加密的數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時不會被截取和破譯的誤區(qū)
相信絕大多數(shù)用戶對此是深信不疑的,可是,現(xiàn)在的事實恰恰與此相反的,加密后的數(shù)據(jù),一樣可以被截取和破譯。
攻擊者是否能得到在網(wǎng)絡(luò)中傳輸?shù)慕?jīng)過加密了的機密數(shù)據(jù),關(guān)鍵只是在于它使用的是什么類型的網(wǎng)絡(luò)嗅探技術(shù)。如果攻擊者使用的是像Ettcap之類的網(wǎng)絡(luò)嗅探軟件,那么,只要攻擊者能夠在某個局域網(wǎng)環(huán)境中安裝了這類軟件,那么,一些通過SSL加密了的數(shù)據(jù)仍然可以被他截獲和解碼。
當然,嗅探軟件解密的好與壞主要與數(shù)據(jù)在加密時所使用的加密算法的加密強度也有很大的關(guān)系,使用的加密算法越強,解碼就越難,數(shù)據(jù)也就越安全。我在這里說加密的數(shù)據(jù)也不安全,并不是說我們不能應(yīng)用加密來保護數(shù)據(jù)的安全,應(yīng)用加密仍然是保護數(shù)據(jù)安全的主要方法之一。
這樣說的原因只是在提醒大家,在應(yīng)用數(shù)據(jù)加密的同時,還應(yīng)當使用其它的一些安全防范手段,來確保網(wǎng)絡(luò)中不會出現(xiàn)在上述所示的網(wǎng)絡(luò)嗅探器,尤其是無線網(wǎng)絡(luò),如果我們沒有將它們的安全防范工作做得足夠好,哪些通過有線或無線網(wǎng)絡(luò)傳輸?shù)募用芰说臄?shù)據(jù)仍然會被攻擊者獲取和解密。
網(wǎng)絡(luò)安全誤區(qū)的更多分析請讀者閱讀:
【編輯推薦】
