杜跃进 网络安全的本质是攻防对抗。既然是对抗,就有对手,既然有对手,就有动机和谋略,至于对手为达到某一目的所采用的具体方法,则是非常多变的了。 很多人还没有真正认识到网络安全的这一特点。在网络安全对抗中,完全局限于具体技术方法层面的兵来将挡,就会始终陷于被动;忽略对手主观能动性的特点,认为存在某种可以一劳永逸解决问题的“银子弹”,则早晚会吃大亏。网络安全工作中更需要的不是自然科学规律,而是孙子兵法。我们不但需要了解对手的各种攻击技术,更需要理解“白开心”、“淘黑金”、“纯小偷”和“大玩家”们的不同。 技术和环境的变化会彻底改变攻防战法与安全态势。在今天全球高度互联的信息社会下,任何一个小的产品或者系统,都开放在全球不同动机的攻击者面前。这些产品或系统的任何一个设计漏洞、管理员或用户的任何一个不当使用或者疏忽,都可能被某个角落里的攻击者所利用,用于窃取隐私、盗窃金钱、甚至杀人越货。唯一的问题就是,你会不会成为目标,以及什么时候成为目标。如果心存侥幸觉得自己永远不会是目标,那就大错特错了:每个人都有很高的可能成为达成最终目标所利用的对象(你可能要为此而承担一些责任),每个人都有更高的可能“城门失火、殃及池鱼”—因为关键基础设施受到攻击而损害自己的利益或安全。 因此,鸵鸟思想是非常要不得的。禁止研究某个系统或者产品的漏洞缺陷,不能让安全防护方尽量多尽量早地发现问题和消除隐患,得益的是不受本国法律管辖的世界其他地方的攻击者(本国境内的违法者当然也是受益者,总之就是便宜了坏人);通过封闭研发的方式,寄希望于攻击者不知道系统是怎么实现的从而无法攻击,同样是十分脆弱和危险的,因为对这种保密的效果自己是无从知晓的,从而可能导致自己觉得安全实际早已被人掌握的安全假象。而且只要系统投入使用,攻击者就可以开始研究找到攻击方法,而封闭研发欠缺真正的攻防考验,往往更加脆弱;以为找过“权威”队伍进行过安全检查、符合强制的安全标准就可以高枕无忧了,这是忘记了攻击者的方法可能不是从“权威”那里学的,长期实战的攻击者的能力也不见得比所谓的“权威”队伍低;等等。 “是骡子是马,拉出来遛遛”,这是网络安全能力检验的一条基本思路。追求实效的安全竞赛,就是这一思想的重要践行。“XP挑战赛”中,主流XP安全防护产品直接面对全社会的研究人员的挑战,很多厂商从中找到了改进产品的新方法,持续下去的话,这些产品就会在不断的锤炼中成为真正的强者;“GeekPwn”、“XCTF”等比赛,则是通过社会研究人员寻找更多产品的安全问题、通过实战对抗培养和发现实战人才的重要活动。这些做法,也是国际上通行的最佳实践。我们需要的是改变观念、完善规则和机制,让我们的网络安全能力不断得到实实在在的提升。 |
相关阅读:
- [ 11-24]人民时评:靠法治筑牢网络安全的基石
- [ 11-24]让法治之光 照亮网络空间
- [ 11-24]当前网络安全形势与展望
- [ 11-24]提升网络安全意识刻不容缓
- [ 11-24]南昌“一毛奶奶”蹿红网络 民众慕名尝鲜献爱心
打印 | 收藏 | 发给好友 【字号 大 中 小】 |
信息网络传播视听节目许可(互联网视听节目服务/移动互联网视听节目服务)证号:1310572 广播电视节目制作经营许可证(闽)字第085号
网络出版服务许可证 (署)网出证(闽)字第018号 增值电信业务经营许可证 闽B2-20100029 互联网药品信息服务(闽)-经营性-2015-0001
福建日报报业集团拥有东南网采编人员所创作作品之版权,未经报业集团书面授权,不得转载、摘编或以其他方式使用和传播
职业道德监督、违法和不良信息举报电话:0591-87095403(工作日9:00-12:00、15:00-18:00) 举报邮箱:jubao@fjsen.com 福建省新闻道德委举报电话:0591-87275327