安全建设总述

2008-05-12 11:29:15

对于黑客的攻击过程，在最后的总结中还需要提及几个方面的问题：

1、木桶原理：即安全的等级决定于它最薄弱环节的安全等级；

2、密码的脆弱性：不管多么强大的安全防御系统都会葬送在脆弱的密码机制中；

3、物理安全：有时你的信息系统会被没有计算机技术的人所攻陷；

4、细节决定成败：千万不要低估你对手的能力，黑客的能力与耐心是超出我们任何人想像的；

5、安全是一种理念：攻击不单纯是技术，而是一种艺术，因此我们对于安全的防护也必须提升到一种理念。

以上几个方面的问题是所有网络安全中所共有的，对于黑客而言，它们不管你的防御体系有如何强大，只需一个漏洞它们便成功了！而在我们对于网络安全的部署过程中却不可能保证系统没有漏洞，这也是所谓的高安全性等于高不可用性，由此可见，对于网络的安全部署不是去如何保证我们的系统没有漏洞，而是去考虑如何减少漏洞，如何去避免黑客发现我们安全系统中存在的漏洞。

黑客在进行网络攻击之前，它们所作的第一件事情往往是获得攻击对像的信息，这种信息不仅能够在网络中获得，而且也能够通过其它方法获得，如电话、网页信息等，也许有时我们会认为无关紧要的问题对于黑客来讲却是它能否入侵成功的关键所在。

对于攻击的过程总是一个步骤接着一个步骤的，冰冻三尺非一日之寒，网络攻击也是如此，因此能否成功地部署我们的安全防御系统，关键是我们的管理人员是否能发现黑客在最初攻击时对系统所造成的极其细微的异常。（如：对于快速的端口扫描我们的安全设备能够发现并阻止，但我们的安全设备很少会阻止对于每个星期不超过十个端口的扫描。）

管理人员的警惕性在系统安全的部署过程中也起到了关键性的作用，对于人类来说，不可能保证我们在任何时间的警惕性都是一样高的，（如：网络管理人员在连续一个星期内，每天都看到入侵检测所报告的大量的报警，但却未发生任何一次攻击事件，那么他很可能会对下一个星期的报警信息放松警惕，而真正的攻击也许就在这次报警中发生了。）

对于密码的管理在本方案中的多个章节中提及，在以后的章节中还会再次提及，因为不管理你的安全系统有多么可靠，密码是进入系统的必要手段，对于当今的网络技术来讲，破解密码也只不过是时间问题，重要的是这个时间是多长，如果是一个简单的口令，也许只需要几分钟的时间，但对于一个复杂的口令来说，也许破解需要数年或者数十年，但对于网络安全来说，这个时间可以算作绝对安全了。

网络安全的建设不仅需要网络安全人员的介入，因为对于任何一个人来说，它不可能在所有的技术领域都成为专家，相对于数据库的设计、存储系统的设计、网页的设计、系统的安全、应用程序所涉及的漏洞、IP语音及视频等等诸多方面的安全问题需要多方面的安全人员来共同商讨，虽然说在方案制定的初期会引入多方面的不同意见，可是一但提出了多方面都认同的方案时，你会发现此时的方案在执行过程中会异常顺利。

在此我们还需要提及一个不为大多数安全人员所关注的话题，这也许不关联到网络安全技术，但它的威胁也是不容忽视的，这便是社会工程学所涉及的范畴，他们是一群掌握了并不太多网络技术的人，但他们对普通人的控制能力却是十分强大，们们能够令你在不知不觉当中谈论他所需要的话题，或者会让你在全然不觉当中为他们作事，对于一个密码的获得，他们可以简单到利用公司领导的身份去向管理人员询问，我们可以想像这种威胁的力量会有多么强大。

因此可以说网络安全部署方案已经不再是一种纯技术的方案，而更多的所涉及的是一种理念，一种与黑客在网络攻防过程中所体现的战略思想，这也是我国古代著名的军事家孙子所说的“知己知彼，百战不殆！”的战略思想。对于这种防守可以比喻成一种真正的攻防，对于再坚固的城池，如果没有国君的大力支持、没有得力的战将防守、没有士兵的浴血奋战，那么它是很容易被攻陷的。通过这个简单的类比可以看得出，安全是一种理念，是一种战略思想，只有明确安全的真正内含所在，我们在以下的安全建设方案中，才能真正找到方向，找到战略目标，才不致于会出现在很多公司所出现的“头痛医头，脚痛医脚”的安全策略。

不要觉得一切安全威胁离自己很遥远，在很多情况下，也许你一直警惕却没有任何攻击行为的发生，但入侵的成功却是只在你放松警惕的那一间里，对于网络安全建设方案的成功部署，它不仅是需要先进的安全技术和安全设备，更重要的是公司全体人员的安全防范意识、管理人员的素质、和领导对安全体系结构部署与运维过程中的支持力度，一切体系方针的建设与部署是与领导的大力支持分不开的，领导的支持与否，是网络安全建设方案成功的又一个关键所在。

本文出自 “xiaoxiao” 博客，请务必保留此出处http://259627.blog.51cto.com/249627/76551

昵称：
验证码：		点击图片可刷新验证码　　博客过2级，无需填写验证码
内容：