網絡安全“十大信條”并非金科玉律

摘要:網絡發展的日益成熟讓網絡管理員從最初的四顧茫然、無所適從的尷尬局面中掙脫，建立起諸多實踐基礎上的安全理論信條。這類理論與實踐策略在網絡管理人員之間手口相傳、耳濡目染，逐漸變成了無人質疑的金科玉律。

但是這些貌似合理的理論與實踐策略卻也不盡正確，它們不僅不能給網絡帶來絲毫益處，甚至還會蘊含巨大的危機與隱患。

經過多年的發展，當前網絡安全已成為一個相對成熟的領域，積累了大量理論與實踐經驗的網絡管理人員也相繼探索出了各自獨到的安全理論與實踐策略。

而實際上，這其中許多貌似合理的實踐策略卻是完全錯誤的。下面，就從中選出當前盛行于網絡安全領域的十大信條逐一進行剖析，看看其中究竟有多少以訛傳訛之處。

信條一:在公司網絡與Inte.net間部署了防火墻后，客戶端PC無需另行安裝個人防火墻。

作者看法:在公司IT管理部門，有此想法者大有人在。但實際上，這種想法十分錯誤。部署于公司網絡與外部網絡之間的防火墻只能防范來自外部的威脅，對諸如心懷不滿的員工發動的惡意攻擊、或者員工經由便攜機自家中等途徑帶入網絡內的病毒及惡意程序等來自內部的威脅卻無能為力。

信條二:除個人防火墻外，企業網絡內部署一個大型硬件防火墻就可以高枕無憂。

作者看法:這種想法是錯誤的。一個明顯的例子就是公司普通網段與帶有公司敏感數據的網段之間就需要部署防火墻，以確保公司敏感數據流量的安全。

信條三:設置復雜的用戶密碼，并定期頻繁更換。作者看法:這是被許多網絡管理人員奉為至臬的一條安全準則。誠然，象“aX-1r6&d+n7S9tU!”這種包含16個隨機字符的密碼的確很難被人猜到，但實際上，這類密碼泄露比例遠比密碼被猜中的比例高。因此，更可行的策略是選擇易于記憶、并且他人較難推測出來的字符組合。

信條四:在已安裝有反病毒軟件的情況下，沒有必要另行在電子郵件服務器上安裝木馬檢測或反病毒產品。

作者看法:不能認為反病毒軟件就能將所有安全威脅一網打盡。對于新出現的病毒，反病毒軟件無法識別的現象時有發生。而且，反病毒軟件多數情況下并不能對木馬等間諜軟件進行有效檢測，當然也就不能提供足夠的防護。

信條五:垃圾郵件雖令人討厭，但并不會帶來實質性安全威脅。

作者看法:這種認識是片面的。垃圾郵件能否帶來安全威脅，取決于垃圾郵件本身。實際上，不少垃圾郵件本身就帶有病毒、木馬或惡意程序，而且會占用大量服務器資源與網絡帶寬，甚至最終導致網絡癱瘓。

信條六:無線網絡采用數據加密技術就可以確保安全。

作者看法:毫無疑問，這一技術能對數據安全起到一定程度的保護作用。但要確保無線網絡安全，僅僅依靠WPA等更先進的數據加密技術遠遠不夠，還需要關閉接入點SSID廣播功能、以及無線用戶身份認證技術等措施雙管齊下。

信條七:人體特征識別技術可以提高公司網絡安全系數。

作者看法:就理論角度而言，這是正確的。但由于技術與成本等方面因素的限制，目前人體特征識別設備本身并不完全可靠，誤識別現象經常存在，這不僅給系統安全帶來了隱患，還可能將合法用戶拒之門外。

信條八:對工作站與便攜機上的硬盤進行整體加密就可以防止數據被非法訪問。

作者看法:這種認識也有其偏頗之處。多數硬盤整體加密軟件只能在關機時對硬盤上的數據加以保護。系統啟動后，這類軟件會自動將加密數據進行解密。因此，更理想的解決之道是在進行硬盤整體加密的同時，設置用戶身份認證。

信條九:轉向Linux可以增強系統與網絡安全。

作者看法:雖然目前針對Linux的病毒與惡意程序相對較少，但實際上，在美國系統網絡安全協會和美國聯邦調查局共同發布的二十大安全漏洞中，Linux安全漏洞占據的比例并不比Windows低。就這個意義上而言，Linux并非是一種更為安全的操作系統。

信條十:培訓投資是網絡安全最重要的投資。

作者看法:這個觀點非常正確。對網絡管理人員與用戶進行經常性、系統性的培訓，使其及時了解各種網絡安全知識，才能使公司網絡內的各種安全產品物盡其用，真正發揮效用，有效防范各類安全威脅。

原文轉自：http://www.kjueaiud.com