神話一：網(wǎng)絡(luò)安全就是保護(hù)好數(shù)據(jù)

 

這是對(duì)網(wǎng)絡(luò)安全最多的一種誤讀，認(rèn)為所謂“網(wǎng)絡(luò)安全”就是確保數(shù)據(jù)的訪問(wèn)安全，確保數(shù)據(jù)不被用于未經(jīng)授權(quán)的目的，確保數(shù)據(jù)不被未經(jīng)授權(quán)的用戶使用。這雖然無(wú)疑是網(wǎng)絡(luò)安全的一個(gè)關(guān)鍵問(wèn)題，但數(shù)據(jù)所在的系統(tǒng)和網(wǎng)絡(luò)還要必須防止攻擊。例如，拒絕服務(wù)攻擊（DoS）就不是為了獲取企業(yè)的敏感數(shù)據(jù)，但它卻能防止包括企業(yè)客戶、合作伙伴在內(nèi)的其他人訪問(wèn)和使用這些數(shù)據(jù)。

 

神話二：網(wǎng)絡(luò)安全就是保護(hù)好隱私

 

另外一個(gè)對(duì)網(wǎng)絡(luò)安全常見(jiàn)的誤解就是，網(wǎng)絡(luò)安全就是為了保護(hù)好個(gè)人身份信息。保護(hù)個(gè)人信息顯然至關(guān)重要，但其他類(lèi)型的信息也必須應(yīng)該能夠受到保護(hù)。這些其他類(lèi)型的信息包括商業(yè)秘密及其他知識(shí)產(chǎn)權(quán)（如公司的軟件產(chǎn)品源代碼）、競(jìng)爭(zhēng)信息（如客戶和供應(yīng)商列表）、定價(jià)和市場(chǎng)數(shù)據(jù)、公司財(cái)務(wù)信息等等。確保列入供應(yīng)商和商業(yè)合作伙伴關(guān)系的所有形式的保密和專(zhuān)有信息受到保護(hù)尤為重要。

 

神話三：網(wǎng)絡(luò)安全就是保護(hù)好機(jī)密

 

那么這么說(shuō)，網(wǎng)絡(luò)安全就是保護(hù)好機(jī)密，確保數(shù)據(jù)未被泄露了，比如，數(shù)據(jù)既沒(méi)有被未經(jīng)授權(quán)的用戶使用，也沒(méi)有被用于未經(jīng)授權(quán)的目的？其實(shí)不然。因?yàn)檎嬲臄?shù)據(jù)安全，必須確保其保密性，必須確保其完整性，必須確保其需要時(shí)的可用性，即信息安全圈著名的CIA原則。

 

C——“保密性”（Confidentiality）：指保護(hù)數(shù)據(jù)不受未經(jīng)授權(quán)的訪問(wèn)，并且未被泄露。

 

I——“完整性”（Integrity）：指數(shù)據(jù)的準(zhǔn)確信值得信賴(lài)，沒(méi)有受到未經(jīng)授權(quán)的變更。幾年前，就有一家著名的黑客雜志刊登過(guò)一篇文章，指導(dǎo)那些覺(jué)得自己即將被解雇的員工如何給他們的雇主一點(diǎn)顏色看看。文章特別提到了幾種方法，雇員不費(fèi)吹灰之力就可以讓公司的數(shù)據(jù)面目全非，如更改主要供應(yīng)商的賬戶號(hào)碼、更改發(fā)貨地址等等。。

 

A——“可用性”（Availability）：指在需要時(shí)數(shù)據(jù)可供訪問(wèn)和使用。只維護(hù)了數(shù)據(jù)的保密性和完整性，而當(dāng)用戶需要的時(shí)候，卻無(wú)法訪問(wèn)和使用，那一切就等于零。例如，DoS攻擊就是在不破壞數(shù)據(jù)的保密性和完整性的情況下，專(zhuān)門(mén)讓系統(tǒng)和數(shù)據(jù)無(wú)法訪問(wèn)和使用的攻擊手段。

 

神話四：黑客都是技術(shù)高手

 

這是企業(yè)專(zhuān)注于制定針對(duì)專(zhuān)業(yè)黑客的安全措施、防止具有高度熟練編程能力和技術(shù)的個(gè)人或?qū)嶓w進(jìn)行攻擊時(shí)最常見(jiàn)的一個(gè)錯(cuò)誤。然而，這樣的技能已經(jīng)不再是黑客的先決條件。如今，即使沒(méi)有什么技術(shù)知識(shí)的人也可以在網(wǎng)上找到簡(jiǎn)單易用而又能對(duì)企業(yè)帶來(lái)巨大傷害的黑客工具。這樣人在黑客社區(qū)有時(shí)被稱(chēng)作“腳本小子”，因?yàn)樗麄儾恍枰嬲暮诳椭R(shí)。也有各種現(xiàn)成的書(shū)籍，可以快速培養(yǎng)新手關(guān)于黑客方面的技術(shù)。甚至有本暢銷(xiāo)書(shū)竟然有一章叫《如何三十分鐘成為一名黑客》。

 

最后，如今黑客使用的最有效的攻擊手段之一社會(huì)工程攻擊根本就不需要任何的技術(shù)能力。相反，做為一名高效的社會(huì)工程師，所需要的不過(guò)是自信和對(duì)人性的了解。社會(huì)工程攻擊最普遍的形式之一就是釣魚(yú)攻擊，即黑客發(fā)送虛假郵件索取敏感信息，或在郵件中包含安裝可影響公司網(wǎng)絡(luò)惡意軟件的附件。最近釣魚(yú)攻擊和其他社會(huì)工程技術(shù)進(jìn)行協(xié)同在世界范圍內(nèi)攻擊銀行機(jī)構(gòu)，造成了3億美元乃至可能高達(dá)10億美元的損失。

 

神話五：可以實(shí)現(xiàn)100%的安全

 

最后，對(duì)網(wǎng)絡(luò)安全最常見(jiàn)的認(rèn)識(shí)誤區(qū)之一還有就是可以實(shí)現(xiàn)絕對(duì)的完全，并且絕對(duì)安全是法律規(guī)定或行業(yè)行業(yè)慣例。這都是不對(duì)的。法律和行業(yè)慣例對(duì)企業(yè)的要求也都要合情合理。不對(duì)規(guī)定絕對(duì)的安全，而且也是不現(xiàn)實(shí)的。研究表明，即使規(guī)定企業(yè)將整體預(yù)算提高九倍，也只能解決95%的威脅。這需要企業(yè)提高整體安全預(yù)算之中只有95%的威脅。在大多數(shù)情況下，這樣的預(yù)算增加對(duì)于整個(gè)企業(yè)來(lái)說(shuō)是得不償失的。

 

關(guān)于安全措施有一個(gè)基本的矛盾：隨著安全防護(hù)的增加，安全系統(tǒng)的可用性卻在下降。也就是說(shuō)，越安全的系統(tǒng)越?jīng)]有使用價(jià)值。例如，要實(shí)現(xiàn)一臺(tái)移動(dòng)設(shè)備如智能手機(jī)的絕對(duì)安全。首先需要將設(shè)備設(shè)置為飛行模式，并將設(shè)備鎖定在安全模式。絕對(duì)安全倒是實(shí)現(xiàn)了，可用性也降到了零。所以要保證數(shù)據(jù)和系統(tǒng)的安全，必須要在有效安全措施和可用性之間進(jìn)行較量，并達(dá)成某種平衡。

 

經(jīng)驗(yàn)之談：

 

因?yàn)榫W(wǎng)絡(luò)安全的重中之中就是保護(hù)好企業(yè)的數(shù)據(jù)，所以好的網(wǎng)絡(luò)安全措施需要為數(shù)據(jù)駐留的系統(tǒng)和數(shù)據(jù)訪問(wèn)通過(guò)的網(wǎng)絡(luò)提供保護(hù)。在大多數(shù)情況下，企業(yè)都應(yīng)該實(shí)行“深度安全”措施。該措施推薦使用多層防護(hù)來(lái)應(yīng)對(duì)威脅。例如，為了防止網(wǎng)絡(luò)釣魚(yú)攻擊，公司可以對(duì)員工進(jìn)行培訓(xùn)，提醒他們小心打開(kāi)不明郵件。作為更進(jìn)一步的安全措施，公司可以將這種培訓(xùn)與殺毒軟件結(jié)合起來(lái)進(jìn)行培訓(xùn)，如果可能的話，最好是能夠檢測(cè)釣魚(yú)攻擊的殺毒軟件。

 

所有敏感的和專(zhuān)有的信息，而不僅僅是這些數(shù)據(jù)中一部分，都必須要考慮解決和減輕網(wǎng)絡(luò)安全威脅。保護(hù)這些信息資產(chǎn)不僅必須考慮到公司的內(nèi)部，還要考慮到外部供應(yīng)商、承包商和其他合作伙伴。由于企業(yè)將其數(shù)據(jù)委托給系統(tǒng)未受充分保護(hù)的第三方供應(yīng)商所導(dǎo)致的安全泄露事件，時(shí)常充斥各大新聞網(wǎng)站的頭條。

 

說(shuō)到安全措施，應(yīng)該將CIA概念（即前面提到的保密性、完整性和可用性）作為一項(xiàng)基本要求。具體來(lái)說(shuō)，安全控制必須不僅僅是為了解決數(shù)據(jù)的保密性，還要解決數(shù)據(jù)的完整性和可用性。要知道，黑客神通廣大。如果他們無(wú)法獲得數(shù)據(jù)，他們可能會(huì)阻止其他人的訪問(wèn)，或者設(shè)法破壞數(shù)據(jù)的完整性。

 

永遠(yuǎn)不要低估社會(huì)工程攻擊和其他類(lèi)似的“非技術(shù)”攻擊的有效性。每個(gè)公司每天都在經(jīng)受著網(wǎng)絡(luò)釣魚(yú)和其他手段的攻擊。適當(dāng)、反復(fù)的員工培訓(xùn)是減輕這種實(shí)質(zhì)性威脅的最重要的步驟之一。

 

可適用的法律和標(biāo)準(zhǔn)要求企業(yè)采取合理的措施應(yīng)對(duì)威脅。這意味著要進(jìn)行適當(dāng)?shù)哪軌蚱胶獍踩院涂捎眯缘耐顿Y。達(dá)到適當(dāng)平衡是設(shè)計(jì)成功網(wǎng)絡(luò)安全方法的關(guān)鍵。