馬爾科斯是世界知名的安全專家,被公認為是代理防火墻的發(fā)明人,是第一個商業(yè)防火墻和早期的入侵檢測系統(tǒng)的實現(xiàn)者,獲得互聯(lián)網(wǎng)安全大會(TISC)的CLUE大獎和ISSA終身成績獎等多項獎項。馬爾科斯從事安全工作已有16年之久,比商業(yè)互聯(lián)網(wǎng)的歷史還長六七年,網(wǎng)民多稱他為“防火墻之父”。這位搞安全的老人,最近說自己在“浪費時間”。研究一下他的安全觀,對我們或許有幫助。
他認為,現(xiàn)在人們把安全搞得很難、很復雜、很神秘、很玄、很時髦,也很前衛(wèi)。人們對待網(wǎng)絡安全就像對待火箭科學,甚至是像對待犯罪現(xiàn)場取證的學問一樣,但事實是,計算機和網(wǎng)絡安全真的是一件相當簡單的事情。
安全不是做多復雜多聰明的事情,而是不要做些蠢事。我們想安全地做一些危險而又蠢的事情,付出的代價必然很高。現(xiàn)實中,這條規(guī)則是如此清楚地影響到我們的生活,吃野生動物是危險的,有帶來SARS的危險;如果非要吃,付出的代價將是巨大的。
這條規(guī)則也反映在人的健康問題上,一個人吃得太多了,就會長胖,身體的健康程度就不會太好。想保持自己的健康,控制飲食可能是好辦法,而不是減肥,減肥不是健康的好辦法。同樣的道理,要保持計算機和網(wǎng)絡的安全,少干一些不必要的應用如聊天、游戲等,可能是最好的辦法。不要指望,干很多危險的事情,將自己處于危險之中,然后再想辦法來免遭威脅和保證安全。
馬爾科斯說自己在“浪費時間”,原因是他從事的是“減肥”安全。等他發(fā)現(xiàn)了這個問題才恍然大悟,于是提出了一個有趣的理論,“低碳安全(low-carb security)”,即低碳水化合物,就像素食一樣。說到素食,它肯定有效,但實際上是一個很難的選擇。難就難在讓人們都去吃素食,都不吃大魚大肉。另外一個簡單、經(jīng)濟、有效的選擇是,少吃點,多鍛煉。
在網(wǎng)絡安全問題上,人們往往不是安全地去運行少數(shù)必要的網(wǎng)絡服務,而是開放很多的不安全、不必要的服務,甚至是一些特別不安全,如隧道的應用,然后耗費大量的時間和金錢,企圖把這些不安全的應用變成安全的。就像胖子一樣,先痛快地大吃,變成了胖子,然后,再花錢來減肥,企圖保證自己的健康。馬爾科斯本身在這種模式下努力了16年,也沒有看希望。最近一個網(wǎng)絡上的帖子詢問,為什么安全這東西這么難?有沒有什么簡單有效的辦法指南?他才突然地意識到這個道理。他把這套安全理論總結為“少吃點,多鍛煉”。
馬爾科斯基于這套理論,對網(wǎng)絡安全開出了安全藥方。其基本的內(nèi)容是:
所有缺省的安全策略是拒絕所有(Deny All),然后只準許哪些是必須的服務。盡可能少地提供服務,記錄這些服務的使用日志,對應用的錯誤進行檢測,當然你也可以進行入侵檢測。了解網(wǎng)絡上在跑些什么,如果管理員不知道網(wǎng)絡上在跑什么東西,怎么保安全?內(nèi)部盡可能隔離。隔離往往是最好的辦法。不安全格式的內(nèi)容盡可能不要流入內(nèi)部,除非它是從可靠渠道來的。了解防火墻上流出的流量是什么,如果你了解了,你就不需要什么高級東西來判斷木馬、間諜軟件、病毒、非授權訪問等。最好全部七層都進行控制,而不只是一層,深層防御不是只在一層。不要浪費時間天天打補丁,如果你天天在大補丁,你已經(jīng)被誤導。移動辦公隔離到一個獨立的區(qū),移動辦公很好,可是不安全。防病毒軟件很好,但不要指望天天升級。最好了解內(nèi)部網(wǎng)絡上使用的都是些什么軟件。不要指望用戶理解你的安全策略是什么,簡單地說明該怎么做。安全外包是一個壞辦法,除非你可以接受你的安全可以交給別人把握。
馬爾科斯相信這是一個簡單而強大的主意。假如你采取了這些措施,你可能永遠不會被黑。
“少吃點,多鍛煉,相信我,它非常有效”。
