【網(wǎng)絡(luò)安全的本質(zhì)是攻防對(duì)抗。既然是對(duì)抗,就有對(duì)手,既然有對(duì)手,就有動(dòng)機(jī)和謀略,至于對(duì)手為達(dá)到某一目的所采用的具體方法,則是非常多變的了?!?/p> 很多人還沒有真正認(rèn)識(shí)到網(wǎng)絡(luò)安全的這一特點(diǎn)。在網(wǎng)絡(luò)安全對(duì)抗中,完全局限于具體技術(shù)方法層面的兵來將擋,就會(huì)始終陷于被動(dòng);忽略對(duì)手主觀能動(dòng)性的特點(diǎn),認(rèn)為存在某種可以一勞永逸解決問題的“銀子彈”,則早晚會(huì)吃大虧。網(wǎng)絡(luò)安全工作中更需要的不是自然科學(xué)規(guī)律,而是孫子兵法。我們不但需要了解對(duì)手的各種攻擊技術(shù),更需要理解“白開心”、“淘黑金”、“純小偷”和“大玩家”們的不同。 技術(shù)和環(huán)境的變化會(huì)徹底改變攻防戰(zhàn)法與安全態(tài)勢(shì)。在今天全球高度互聯(lián)的信息社會(huì)下,任何一個(gè)小的產(chǎn)品或者系統(tǒng),都開放在全球不同動(dòng)機(jī)的攻擊者面前。這些產(chǎn)品或系統(tǒng)的任何一個(gè)設(shè)計(jì)漏洞、管理員或用戶的任何一個(gè)不當(dāng)使用或者疏忽,都可能被某個(gè)角落里的攻擊者所利用,用于竊取隱私、盜竊金錢、甚至殺人越貨。唯一的問題就是,你會(huì)不會(huì)成為目標(biāo),以及什么時(shí)候成為目標(biāo)。如果心存僥幸覺得自己永遠(yuǎn)不會(huì)是目標(biāo),那就大錯(cuò)特錯(cuò)了:每個(gè)人都有很高的可能成為達(dá)成最終目標(biāo)所利用的對(duì)象(你可能要為此而承擔(dān)一些責(zé)任),每個(gè)人都有更高的可能“城門失火、殃及池魚”—因?yàn)殛P(guān)鍵基礎(chǔ)設(shè)施受到攻擊而損害自己的利益或安全。 因此,鴕鳥思想是非常要不得的。禁止研究某個(gè)系統(tǒng)或者產(chǎn)品的漏洞缺陷,不能讓安全防護(hù)方盡量多盡量早地發(fā)現(xiàn)問題和消除隱患,得益的是不受本國法律管轄的世界其他地方的攻擊者(本國境內(nèi)的違法者當(dāng)然也是受益者,總之就是便宜了壞人);通過封閉研發(fā)的方式,寄希望于攻擊者不知道系統(tǒng)是怎么實(shí)現(xiàn)的從而無法攻擊,同樣是十分脆弱和危險(xiǎn)的,因?yàn)閷?duì)這種保密的效果自己是無從知曉的,從而可能導(dǎo)致自己覺得安全實(shí)際早已被人掌握的安全假象。而且只要系統(tǒng)投入使用,攻擊者就可以開始研究找到攻擊方法,而封閉研發(fā)欠缺真正的攻防考驗(yàn),往往更加脆弱;以為找過“權(quán)威”隊(duì)伍進(jìn)行過安全檢查、符合強(qiáng)制的安全標(biāo)準(zhǔn)就可以高枕無憂了,這是忘記了攻擊者的方法可能不是從“權(quán)威”那里學(xué)的,長期實(shí)戰(zhàn)的攻擊者的能力也不見得比所謂的“權(quán)威”隊(duì)伍低;等等。 “是騾子是馬,拉出來遛遛”,這是網(wǎng)絡(luò)安全能力檢驗(yàn)的一條基本思路。追求實(shí)效的安全競賽,就是這一思想的重要踐行?!癤P挑戰(zhàn)賽”中,主流XP安全防護(hù)產(chǎn)品直接面對(duì)全社會(huì)的研究人員的挑戰(zhàn),很多廠商從中找到了改進(jìn)產(chǎn)品的新方法,持續(xù)下去的話,這些產(chǎn)品就會(huì)在不斷的錘煉中成為真正的強(qiáng)者;“GeekPwn”、“XCTF”等比賽,則是通過社會(huì)研究人員尋找更多產(chǎn)品的安全問題、通過實(shí)戰(zhàn)對(duì)抗培養(yǎng)和發(fā)現(xiàn)實(shí)戰(zhàn)人才的重要活動(dòng)。這些做法,也是國際上通行的最佳實(shí)踐。我們需要的是改變觀念、完善規(guī)則和機(jī)制,讓我們的網(wǎng)絡(luò)安全能力不斷得到實(shí)實(shí)在在的提升。 |
相關(guān)閱讀:
- [ 11-24]提升網(wǎng)絡(luò)安全意識(shí)刻不容緩
- [ 11-24]靠法治筑牢網(wǎng)絡(luò)安全的基石
- [ 09-04]好萊塢“艷照門”敲響網(wǎng)絡(luò)安全警鐘
- [ 05-23]維護(hù)網(wǎng)絡(luò)安全須“攘外安內(nèi)”相結(jié)合
- [ 05-23]向美國網(wǎng)絡(luò)安全審查制看齊
- [ 05-22]喚醒各國人民了解網(wǎng)絡(luò)安全真相
- [ 05-22]網(wǎng)絡(luò)安全,中國當(dāng)自強(qiáng)
- [ 02-26]確保網(wǎng)絡(luò)安全各國加強(qiáng)頂層設(shè)計(jì)
打印 | 收藏 | 發(fā)給好友 【字號(hào) 大 中 小】 |
信息網(wǎng)絡(luò)傳播視聽節(jié)目許可(互聯(lián)網(wǎng)視聽節(jié)目服務(wù)/移動(dòng)互聯(lián)網(wǎng)視聽節(jié)目服務(wù))證號(hào):1310572 廣播電視節(jié)目制作經(jīng)營許可證(閩)字第085號(hào)
網(wǎng)絡(luò)出版服務(wù)許可證 (署)網(wǎng)出證(閩)字第018號(hào) 增值電信業(yè)務(wù)經(jīng)營許可證 閩B2-20100029 互聯(lián)網(wǎng)藥品信息服務(wù)(閩)-經(jīng)營性-2015-0001
福建日?qǐng)?bào)報(bào)業(yè)集團(tuán)擁有東南網(wǎng)采編人員所創(chuàng)作作品之版權(quán),未經(jīng)報(bào)業(yè)集團(tuán)書面授權(quán),不得轉(zhuǎn)載、摘編或以其他方式使用和傳播
職業(yè)道德監(jiān)督、違法和不良信息舉報(bào)電話:0591-87095403(工作日9:00-12:00、15:00-18:00) 舉報(bào)郵箱:jubao@fjsen.com 福建省新聞道德委舉報(bào)電話:0591-87275327