1.3 安全产业及其缺陷介绍
企业和政府一样都是依靠新产品来保证他们的网络安全,这种情况并不少见。安全产业因此一直致力于销售需要不断进行升级和维护的产品和服务。当某个安全问题出现端倪时,供应商早已开发出相应的解决方案。当用户开始滥用网络端口登录远程服务器时,供应商为我们提供了防火墙。当病毒成为一个不容忽视的问题时,供应商立刻又提供了反病毒软件和服务。当类似震荡波的蠕虫病毒出现后,供应商又在反病毒软件中增加了更多的网络防病毒功能。当企业内部的应用程序成为受攻击对象后,应用级防火墙又应运而生了。
不幸的是,这些解决方案似乎都治标不治本。大多数安全问题都是由于没有以安全的方式进行编码、修复、配置或设计而导致的。这就好比军队缺乏指挥官的监管、训练和充足的武器装备。技术供应商不断为我们提供产品化的解决方案,就好比将可以买到的全部武器都交给部队,但敌人并不会把武器作为攻击目标。由此可以购买安全产品是一种失败的策略。
我并非有意贬低各种安全技术产品的使用。安全技术产品是一个完整的安全策略的重要组成部分。但是,当各种安全问题发生时,很少有人会认真去检测和修复被利用的漏洞,而这些安全技术中没有一项能够完全补救诸如没有使用强密码或没有为所购买和安装的套装软件打补丁之类的漏洞带来的风险。
大多数网络安全产品的价值在于在没有出现更持久、更可靠的风险应对方案时,这些安全产品能够暂时地降低风险。安装反病毒产品是一个不错的选择,只要你进行及时、正确地更新即可。当新型病毒出现时,产品应当迅速做好准备防止该病毒入侵,直到病毒所攻击的软件供应商提供补丁。否则,最终病毒将寻找到攻入组织、突破防御的方法。因此,重要的是在这些发生之前对漏洞进行永久性修复。