在網(wǎng)絡(luò)安全領(lǐng)域，有哪些秘密還不為人知？

網(wǎng)絡(luò)安全有何秘密？繼最近發(fā)生的重大安全事件如LexisNexis和萬士達(dá)卡的遭遇之后，有必要問一下怎樣才能確保網(wǎng)絡(luò)安全？不是人人都知道的秘密又有哪些？ 

馬庫斯·希爾茲（Marcus Shields）是一家專門從事數(shù)字信任服務(wù)的加拿大公司——Soltrus的企業(yè)產(chǎn)品經(jīng)理，他說：“其實沒有什么秘密可言。有好多工作企業(yè)應(yīng)當(dāng)去做，但沒有去做。歸根結(jié)底，這主要取決于常識。”

常識存在的問題在于，它不是非常具有普遍性。因而，任何企業(yè)為確保網(wǎng)絡(luò)安全都能采取的一些基本防御措施很可能成了安全領(lǐng)域諱莫如深的秘密——至少在你采用這些措施、把它們當(dāng)作日常安全程序一部分之前是這樣的。

秘密一：評估威脅和風(fēng)險

希爾茲說：“我總是驚訝于有那么多的公司沒有進(jìn)行威脅和風(fēng)險評估。它們不知道自己有哪些資產(chǎn)，因而不知道哪些環(huán)節(jié)比較易受攻擊。”

的確，安全本該降低風(fēng)險、堵住漏洞。但除非你知道自己面臨哪些風(fēng)險、需要堵住哪些漏洞，否則無法真正有效地做到這點。希爾茲說，總的來講，企業(yè)在進(jìn)行威脅和風(fēng)險評估方面的工作一直比較到位，但許多（恐怕是大部分）企業(yè)對哪些東西連到了網(wǎng)絡(luò)上一無所知，更不用說哪些是最大的安全漏洞了。

這一問題涉及兩方面：首先是網(wǎng)絡(luò)本身自然發(fā)展的方式。設(shè)備和系統(tǒng)通常數(shù)量激增，以解決迫在眉睫的業(yè)務(wù)需求，但很少考慮到長遠(yuǎn)的安全問題；另一個問題則涉及安全本身的性質(zhì)。

希爾茲說：“安全往往是被動的，就好比‘我們剛受到了攻擊’，或者‘某某人剛受到了攻擊，所以我們總得采取措施，不妨去買個安全設(shè)備吧。’企業(yè)把目光集中在自認(rèn)為有可能發(fā)生的風(fēng)險上，卻不知道實際上具體面臨哪些風(fēng)險，而這根本就不夠。”

秘密二：制訂安全政策

盡管人們一直在談?wù)撔枰踩矫娴某绦蚝捅O(jiān)管，但可能讓人大跌眼鏡的是：安全政策不是那么普遍。希爾茲說：“你會非常驚訝地發(fā)現(xiàn)，真正制訂政策的企業(yè)其實寥寥無幾。大多數(shù)企業(yè)只是訂有差強(qiáng)人意的使用政策，規(guī)定‘不得瀏覽色情內(nèi)容，或者不得利用公司的系統(tǒng)干私活’，但這不是真正的安全政策。”

問題在于，一旦威脅和風(fēng)險評估找到了安全漏洞，你就需要政策來不斷堵住這些漏洞。希爾茲說：“鑒于你已知道了面臨哪些風(fēng)險，你就可以告訴給員工們。你可能要聘請一家公司來為你制訂政策，這不需要太多的費(fèi)用。”

秘密三：了解細(xì)節(jié)

最可靠的安全有賴于清楚地知道你的系統(tǒng)是如何工作的。一旦威脅和風(fēng)險評估了網(wǎng)絡(luò)如何受到危及以及被什么機(jī)制危及，企業(yè)就要開始不斷查找自身的漏洞。最大的安全秘密之一——之所以說是秘密，是因為它不是明顯涉及安全——就是你要清楚地知道進(jìn)出企業(yè)網(wǎng)絡(luò)的通信機(jī)制，還需要有工具不斷了解這些機(jī)制。

希爾茲說：“不管何時出現(xiàn)一種新機(jī)制，譬如VoIP或者即時通信，它都能成為攻擊機(jī)制。VoIP之所以還沒有被大范圍地利用，就是因為它還沒有得到廣泛的應(yīng)用。另一方面，你根本不能說‘我用不著為VoIP安全擔(dān)心，因為我還沒有部署’，因為這種想法并沒有考慮到下載了Skype客戶軟件的員工。”

結(jié)論就是，通信帶來的絕不僅僅是信息，對安全還算重視的任何組織都要認(rèn)真觀察誰在使用哪些通信方式。就連即時通信（IM）也有可能成為感染及攻擊的機(jī)制。希爾茲說：“IM充斥著諸多病毒，它們是不法分子喜歡下手的對象。”

秘密四：安全到家

對網(wǎng)絡(luò)自身的了解，這一問題變得越來越復(fù)雜，因為最不為人知的安全秘密之一就是，企業(yè)網(wǎng)絡(luò)并不是到企業(yè)這一層就算完事。絕不能再忽視員工在家里的行為。譬如說，你可以禁止在辦公室使用IM，但如果員工把IM客戶軟件裝在可以通過虛擬專用網(wǎng)（VPN）登錄到企業(yè)網(wǎng)絡(luò)的家用電腦上，那根本就無濟(jì)于事。

希爾茲說：“IT部門一直在說，他們無法觀察每臺家用電腦，但單單這樣還不夠到位。這沒有明確的答案，不過企業(yè)必須積極采取措施。從理論上講，你可以說，如果你希望員工通過Citrix訪問公司辦公網(wǎng)絡(luò)，那么就要像許多公司對使用移動電話給予補(bǔ)貼那樣，對使用防病毒和防間諜軟件給予補(bǔ)貼。”

秘密五：明智對待移動設(shè)備

同樣的問題適用于從便攜式電腦到智能電話的眾多移動設(shè)備。問題在于，這些設(shè)備中功能再弱的設(shè)備也在變得越來越智能。希爾茲說：“譬如說，Java電話這種終端設(shè)備可能會成為嚴(yán)重的安全問題。如果其中一個Java電話被感染，你該如何處理它？如何防止它感染其他設(shè)備？”

希爾茲承認(rèn)，移動設(shè)備的安全問題處理起來仍很困難。Blackberry設(shè)備采用了基本的電子郵件加密功能，但其他許多設(shè)備連這種級別的保護(hù)都沒有。那么，這方面有什么秘密呢？希爾茲說：“其實沒有什么秘密。你必須開始想方設(shè)法盡量減小風(fēng)險，盡管方向還不明確。這基本上依靠常識。”