您所在的位置: 首頁(yè) >
新聞資訊 >
行業(yè)資訊 >
五種錯(cuò)誤的網(wǎng)絡(luò)安全觀
在對(duì)信息系統(tǒng)進(jìn)行安全管理之前,信息管理者首先要做的是樹(shù)立正確的網(wǎng)絡(luò)安全觀。只有在正確的網(wǎng)絡(luò)安全理念指導(dǎo)下,信息管理者才能對(duì)網(wǎng)絡(luò)系統(tǒng)安全進(jìn)行有效管理。網(wǎng)絡(luò)安全一定要摒棄絕對(duì)化、靜態(tài)化、技術(shù)化、片面化和極端化等幾種錯(cuò)誤觀念。
一、絕對(duì)化:期望零風(fēng)險(xiǎn)
信息系統(tǒng)本身具有很大的“脆弱性”,信息系統(tǒng)依賴的硬件、信息系統(tǒng)應(yīng)用的IT技術(shù)(軟件方面)、信息系統(tǒng)的建設(shè)和使用過(guò)程都存在著大量的風(fēng)險(xiǎn)因素,這類風(fēng)險(xiǎn)客觀長(zhǎng)期存在,既有有形的風(fēng)險(xiǎn)(設(shè)備、環(huán)境)、也有無(wú)形的風(fēng)險(xiǎn)(行為、道德)。
信息系統(tǒng)安全管理的目標(biāo)只能是將風(fēng)險(xiǎn)控制在一定的范圍內(nèi),而不是實(shí)現(xiàn)絕對(duì)的安全。那種要求系統(tǒng)服務(wù)商承諾軟件系統(tǒng)功能無(wú)差錯(cuò),要求系統(tǒng)服務(wù)商承擔(dān)系統(tǒng)錯(cuò)誤造成的損失和影響的做法都是不科學(xué)的。其實(shí)不僅是網(wǎng)絡(luò)安全,任何類型的安全都是如此。對(duì)于投資安全來(lái)說(shuō),世界上不是也沒(méi)有穩(wěn)賺不賠的生意嗎?
為了追求絕對(duì)的安全,一些組織采用了物理隔離的方式。物理隔離能保證絕對(duì)安全嗎?當(dāng)然不能。不要忘記,IT基礎(chǔ)設(shè)施只是信息系統(tǒng)的一部分,各種利益相關(guān)者如操作人員也是信息系統(tǒng)的組成之一。
某些國(guó)家的情報(bào)機(jī)構(gòu)已經(jīng)開(kāi)發(fā)出了一種可以讓處于氣隙系統(tǒng)電腦感染的工具。這種工具檢測(cè)到有U盤(pán)連接之后,會(huì)首先感染U盤(pán),然后再通過(guò)U盤(pán)將病毒擺渡到氣隙系統(tǒng)中的計(jì)算機(jī)上。如果操作人員安全意識(shí)淡薄,拿著連接過(guò)互聯(lián)網(wǎng)的U盤(pán)連接到氣隙系統(tǒng)的計(jì)算機(jī)上,則信息系統(tǒng)的安全閘門可能就會(huì)轟然倒下。
因此,即便信息系統(tǒng)的IT基礎(chǔ)設(shè)備被物理隔離,仍舊要加強(qiáng)信息安全管理。2009年7月至2010年9月間,伊朗核設(shè)施遭受了Stuxnet病毒的攻擊。位于伊朗納坦茲的濃縮鈾工廠首先遭到了攻擊,其用于濃縮鈾材料的離心機(jī)受到了嚴(yán)重的破壞,近20%的離心機(jī)因此報(bào)廢,進(jìn)而導(dǎo)致濃縮鈾的產(chǎn)量下降了30%。
Stuxnet病毒是世界上首個(gè)專門針對(duì)工業(yè)控制系統(tǒng)編寫(xiě)的破壞性病毒,其傳播方式有別于一般的計(jì)算機(jī)病毒,除了經(jīng)由互聯(lián)網(wǎng)傳播外,還可以通過(guò)USB設(shè)備來(lái)感染未接入互聯(lián)網(wǎng)的計(jì)算機(jī)。只要被Stuxnet病毒感染的U盤(pán)連接計(jì)算機(jī)后,這種病毒會(huì)在不需要任何操作的情況下,取得工業(yè)電腦系統(tǒng)的控制權(quán)。
二、片面化:只關(guān)注外部威脅
在進(jìn)行信息系統(tǒng)安全管理時(shí),人們的主要精力往往重點(diǎn)關(guān)注來(lái)自外部的安全威脅,如網(wǎng)絡(luò)滲透、黑客攻擊等,卻忽視來(lái)自內(nèi)部的安全威脅。但是縱觀IT史上那些重大的信息安全事件,大部分都是由于內(nèi)部人士誤操作或者蓄意發(fā)起。
2017年2月28號(hào),號(hào)稱“亞馬遜AWS最穩(wěn)定”的云存儲(chǔ)服務(wù)S3出現(xiàn)“超高錯(cuò)誤率”的宕機(jī)事件。由于美國(guó)許多大型網(wǎng)站如Snapchat、Twitter等都是基于亞馬遜的云存儲(chǔ)服務(wù),結(jié)果,美國(guó)半個(gè)互聯(lián)網(wǎng)都跟著癱瘓了。AWS后來(lái)給出了確切的解釋:一名程序員在調(diào)試系統(tǒng)的時(shí)候,運(yùn)行了一條原本打算刪除少量服務(wù)器的腳本,結(jié)果輸錯(cuò)了一個(gè)字母,導(dǎo)致大量服務(wù)器被刪。為了修復(fù)這個(gè)錯(cuò)誤,亞馬遜不得不重啟整個(gè)系統(tǒng),最終導(dǎo)致了震驚全球的Amazon S3宕機(jī)4個(gè)小時(shí)事件。
三、靜態(tài)化:期待一勞永逸
在解決安全問(wèn)題的過(guò)程中,不可能一勞永逸。安全產(chǎn)品、安全技術(shù)需要隨著攻擊手段的發(fā)展而不斷地升級(jí),并且需要管理人員來(lái)日常運(yùn)營(yíng)維護(hù),否則安全防護(hù)會(huì)成為稻草人、馬奇諾防線,在變化的攻擊手段前不堪一擊。因此唯一的長(zhǎng)效安全機(jī)制就是安全的持續(xù)改進(jìn),針對(duì)變化的安全形勢(shì)和矛盾的持續(xù)調(diào)整。
四、極端化:為保安全犧牲業(yè)務(wù)目標(biāo)
信息系統(tǒng)的目標(biāo)是為了支撐企業(yè)組織的的業(yè)務(wù),信息系統(tǒng)安全管理的目標(biāo)是為了確保信息系統(tǒng)的正常運(yùn)行,為企業(yè)組織實(shí)現(xiàn)業(yè)務(wù)目標(biāo)提供信息支撐。因此,確保信息系統(tǒng)的安全只是手段,而不是目標(biāo),不能為了信息系統(tǒng)的安全而影響到信息系統(tǒng)的正常使用,更不能影響到企業(yè)目標(biāo)的實(shí)現(xiàn)。
五、技術(shù)化:安全是IT技術(shù)人員的事情
網(wǎng)絡(luò)安全不單單是IT技術(shù)人員的事,它涉及到企業(yè)組織的方方面面,是一項(xiàng)系統(tǒng)工程,需要技術(shù)與管理雙管齊下。例如,盡管信息系統(tǒng)在設(shè)計(jì)過(guò)程中,綜合采用多種高級(jí)的加密算法來(lái)實(shí)現(xiàn)用戶訪問(wèn)控制和權(quán)限管理,但是如果用戶沒(méi)用養(yǎng)成良好的安全意識(shí),在登錄系統(tǒng)后隨意離開(kāi)電腦,或者將自己的用戶名和密碼隨便貼在電腦顯示器邊緣,那無(wú)論采用任何高級(jí)的安全技術(shù)也不能確保信息系統(tǒng)的安全。