网络安全之责任与技术 
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://simeon.blog.51cto.com/18680/77249 |
网络安全之责任与技术
simeon
本文精简版本发表于网管员世界200805b刊
进入2008年后,经过CHI、熊猫、网银大盗等病毒洗礼后,普通大众也意识到“狼”来了,网络安全不再是与自己无关,QQ账号被盗、游戏装备被盗、网站挂马等等网络安全时间时有发生。有网络的地方就有安全防御与被攻击风险,安全贵在技术,重在责任。网络安全制度和网络安全意识是保障网络安全的两扇大门,很多公司跟个人签订了安全责任书,但责任书大多是走走形式,落到实处较少,与其签订责任书,还不如多加强员工的安全意识,安全意识决定安全行为。国内的安全意识相对国外有一定差距,当然制度上面也存在差距,看看目前我国网络安全现状:毫不夸张的说80%的网站都曾经被挂过网页木马,50%的网站都被攻击控制过。就目前来说网络安全威胁主要来自三个方面:纯技术威胁-0Day,这个是客观存在的,无法完全消除,谁掌握,谁就能攻克存在漏洞的网络和计算机系统。第二个方面程序安全漏洞是程序设计人员设计上的bug,这种bug多见于网站系统,例如SQL诸如攻击,XSS跨站与蠕虫病毒攻击等,这些漏洞是可以修补的,第三个方面是来自针对人的弱点的社会工程学攻击,网络钓鱼是其中最为常见的一种攻击方式;当然还有一些其他安全威胁。网络安全威胁从来都是存在的,是无法彻底消除的,只能尽可能的将其风险降到最低,降到公司(个人)可以接受的范围。在很多安全事故中,由于管理员的配置上或者管理上的疏忽大意,结果导致了国家/公司/个人巨大的经济损失。安全防御技术已经比较成熟,我们的安全就缺在意识,缺在责任。我国有一句谚语:没有三年不漏的茅草房。原义是指真相总有一天会大白,在网络的攻击和防御中,网络攻击是有痕迹可循,日志、文件等等,查看这些细节就可以知道是否遭受了攻击,是否已经被控制过,这一切仅仅需要一点点的责任心。当然我国的完全现状也跟网络安全投入有关,很多公司每年对网络安全的投入不足整个预算的1%,很多主管都认为网络安全不值得投入,先将资金投入到有用的地方,以后再投入,从而轻视或者忽略网络安全的投入,这种做法是不对的,每一个公司都有核心,都有商业机密,试想公司的商业机密常常处于安全的风险之中,还能称之为机密吗?因此我认为网络安全需要公司持续投入,建立完善的安全制度和安全响应方案,管理员加强自身学习和责任感,并不断加强和培养员工的安全意识,让公司每一个员工在意识和行动都成为了安全的“卫士”,这样网络安全攻击事件就会少很多,网络也就安全了很多。 本文出自 “simeon的技术专栏” 博客,请务必保留此出处http://simeon.blog.51cto.com/18680/77249 本文出自 51CTO.COM技术博客 |
simeon2005
博客统计信息
热门文章
最新评论
友情链接