打破網(wǎng)絡安全神話安全的關鍵是平衡

2015-07-10 09:09:58 大云網(wǎng)　點擊量：評論 (0)

組織嘗試解決網(wǎng)絡安全風險的最大挑戰(zhàn)之一就是在網(wǎng)絡安全開展工作中所面臨的眾多最基本的安全誤區(qū)，這些誤區(qū)常常導致組織對威脅的錯誤評估、資源的濫用，乃至不恰當安全目標的設定。消除這些誤區(qū)，揭開網(wǎng)絡安全的

組織嘗試解決網(wǎng)絡安全風險的最大挑戰(zhàn)之一就是在網(wǎng)絡安全開展工作中所面臨的眾多最基本的安全誤區(qū)，這些誤區(qū)常常導致組織對威脅的錯誤評估、資源的濫用，乃至不恰當安全目標的設定。消除這些誤區(qū)，揭開網(wǎng)絡安全的神秘面紗，打破網(wǎng)絡安全的神話，是保證組織順利開展復雜的信息安全工作的關鍵。

神話一：網(wǎng)絡安全就是保護好數(shù)據(jù)

這是對網(wǎng)絡安全最多的一種誤讀，認為所謂“網(wǎng)絡安全”就是確保數(shù)據(jù)的訪問安全，確保數(shù)據(jù)不被用于未經(jīng)授權的目的，確保數(shù)據(jù)不被未經(jīng)授權的用戶使用。這雖然無疑是網(wǎng)絡安全的一個關鍵問題，但數(shù)據(jù)所在的系統(tǒng)和網(wǎng)絡還要必須防止攻擊。例如，拒絕服務攻擊（DoS）就不是為了獲取企業(yè)的敏感數(shù)據(jù)，但它卻能防止包括企業(yè)客戶、合作伙伴在內的其他人訪問和使用這些數(shù)據(jù)。

神話二：網(wǎng)絡安全就是保護好隱私

另外一個對網(wǎng)絡安全常見的誤解就是，網(wǎng)絡安全就是為了保護好個人身份信息。保護個人信息顯然至關重要，但其他類型的信息也必須應該能夠受到保護。這些其他類型的信息包括商業(yè)秘密及其他知識產(chǎn)權（如公司的軟件產(chǎn)品源代碼）、競爭信息（如客戶和供應商列表）、定價和市場數(shù)據(jù)、公司財務信息等等。確保列入供應商和商業(yè)合作伙伴關系的所有形式的保密和專有信息受到保護尤為重要。

神話三：網(wǎng)絡安全就是保護好機密

那么這么說，網(wǎng)絡安全就是保護好機密，確保數(shù)據(jù)未被泄露了，比如，數(shù)據(jù)既沒有被未經(jīng)授權的用戶使用，也沒有被用于未經(jīng)授權的目的？其實不然。因為真正的數(shù)據(jù)安全，必須確保其保密性，必須確保其完整性，必須確保其需要時的可用性，即信息安全圈著名的CIA原則。

C——“保密性”（Confidentiality）：指保護數(shù)據(jù)不受未經(jīng)授權的訪問，并且未被泄露。

I——“完整性”（Integrity）：指數(shù)據(jù)的準確信值得信賴，沒有受到未經(jīng)授權的變更。幾年前，就有一家著名的黑客雜志刊登過一篇文章，指導那些覺得自己即將被解雇的員工如何給他們的雇主一點顏色看看。文章特別提到了幾種方法，雇員不費吹灰之力就可以讓公司的數(shù)據(jù)面目全非，如更改主要供應商的賬戶號碼、更改發(fā)貨地址等等。。

A——“可用性”（Availability）：指在需要時數(shù)據(jù)可供訪問和使用。只維護了數(shù)據(jù)的保密性和完整性，而當用戶需要的時候，卻無法訪問和使用，那一切就等于零。例如，DoS攻擊就是在不破壞數(shù)據(jù)的保密性和完整性的情況下，專門讓系統(tǒng)和數(shù)據(jù)無法訪問和使用的攻擊手段。

神話四：黑客都是技術高手

這是企業(yè)專注于制定針對專業(yè)黑客的安全措施、防止具有高度熟練編程能力和技術的個人或實體進行攻擊時最常見的一個錯誤。然而，這樣的技能已經(jīng)不再是黑客的先決條件。如今，即使沒有什么技術知識的人也可以在網(wǎng)上找到簡單易用而又能對企業(yè)帶來巨大傷害的黑客工具。這樣人在黑客社區(qū)有時被稱作“腳本小子”，因為他們不需要真正的黑客知識。也有各種現(xiàn)成的書籍，可以快速培養(yǎng)新手關于黑客方面的技術。甚至有本暢銷書竟然有一章叫《如何三十分鐘成為一名黑客》。

最后，如今黑客使用的最有效的攻擊手段之一社會工程攻擊根本就不需要任何的技術能力。相反，做為一名高效的社會工程師，所需要的不過是自信和對人性的了解。社會工程攻擊最普遍的形式之一就是釣魚攻擊，即黑客發(fā)送虛假郵件索取敏感信息，或在郵件中包含安裝可影響公司網(wǎng)絡惡意軟件的附件。最近釣魚攻擊和其他社會工程技術進行協(xié)同在世界范圍內攻擊銀行機構，造成了3億美元乃至可能高達10億美元的損失。

神話五：可以實現(xiàn)100%的安全

最后，對網(wǎng)絡安全最常見的認識誤區(qū)之一還有就是可以實現(xiàn)絕對的完全，并且絕對安全是法律規(guī)定或行業(yè)行業(yè)慣例。這都是不對的。法律和行業(yè)慣例對企業(yè)的要求也都要合情合理。不對規(guī)定絕對的安全，而且也是不現(xiàn)實的。研究表明，即使規(guī)定企業(yè)將整體預算提高九倍，也只能解決95%的威脅。這需要企業(yè)提高整體安全預算之中只有95%的威脅。在大多數(shù)情況下，這樣的預算增加對于整個企業(yè)來說是得不償失的。

關于安全措施有一個基本的矛盾：隨著安全防護的增加，安全系統(tǒng)的可用性卻在下降。也就是說，越安全的系統(tǒng)越?jīng)]有使用價值。例如，要實現(xiàn)一臺移動設備如智能手機的絕對安全。首先需要將設備設置為飛行模式，并將設備鎖定在安全模式。絕對安全倒是實現(xiàn)了，可用性也降到了零。所以要保證數(shù)據(jù)和系統(tǒng)的安全，必須要在有效安全措施和可用性之間進行較量，并達成某種平衡。

經(jīng)驗之談：

因為網(wǎng)絡安全的重中之中就是保護好企業(yè)的數(shù)據(jù)，所以好的網(wǎng)絡安全措施需要為數(shù)據(jù)駐留的系統(tǒng)和數(shù)據(jù)訪問通過的網(wǎng)絡提供保護。在大多數(shù)情況下，企業(yè)都應該實行“深度安全”措施。該措施推薦使用多層防護來應對威脅。例如，為了防止網(wǎng)絡釣魚攻擊，公司可以對員工進行培訓，提醒他們小心打開不明郵件。作為更進一步的安全措施，公司可以將這種培訓與殺毒軟件結合起來進行培訓，如果可能的話，最好是能夠檢測釣魚攻擊的殺毒軟件。

所有敏感的和專有的信息，而不僅僅是這些數(shù)據(jù)中一部分，都必須要考慮解決和減輕網(wǎng)絡安全威脅。保護這些信息資產(chǎn)不僅必須考慮到公司的內部，還要考慮到外部供應商、承包商和其他合作伙伴。由于企業(yè)將其數(shù)據(jù)委托給系統(tǒng)未受充分保護的第三方供應商所導致的安全泄露事件，時常充斥各大新聞網(wǎng)站的頭條。

說到安全措施，應該將CIA概念（即前面提到的保密性、完整性和可用性）作為一項基本要求。具體來說，安全控制必須不僅僅是為了解決數(shù)據(jù)的保密性，還要解決數(shù)據(jù)的完整性和可用性。要知道，黑客神通廣大。如果他們無法獲得數(shù)據(jù)，他們可能會阻止其他人的訪問，或者設法破壞數(shù)據(jù)的完整性。

永遠不要低估社會工程攻擊和其他類似的“非技術”攻擊的有效性。每個公司每天都在經(jīng)受著網(wǎng)絡釣魚和其他手段的攻擊。適當、反復的員工培訓是減輕這種實質性威脅的最重要的步驟之一。

可適用的法律和標準要求企業(yè)采取合理的措施應對威脅。這意味著要進行適當?shù)哪軌蚱胶獍踩院涂捎眯缘耐顿Y。達到適當平衡是設計成功網(wǎng)絡安全方法的關鍵。