打破网络安全神话 安全的关键是平衡

简介: 本文讲的是打破网络安全神话 安全的关键是平衡,组织尝试解决网络安全风险的最大挑战之一就是在网络安全开展工作中所面临的众多最基本的安全误区

image

本文讲的是 打破网络安全神话 安全的关键是平衡,组织尝试解决网络安全风险的最大挑战之一就是在网络安全开展工作中所面临的众多最基本的安全误区,这些误区常常导致组织对威胁的错误评估、资源的滥用,乃至不恰当安全目标的设定。消除这些误区,揭开网络安全的神秘面纱,打破网络安全的神话,是保证组织顺利开展复杂的信息安全工作的关键。

神话一:网络安全就是保护好数据

这是对网络安全最多的一种误读,认为所谓“网络安全”就是确保数据的访问安全,确保数据不被用于未经授权的目的,确保数据不被未经授权的用户使用。这虽然无疑是网络安全的一个关键问题,但数据所在的系统和网络还要必须防止攻击。例如,拒绝服务攻击(DoS)就不是为了获取企业的敏感数据,但它却能防止包括企业客户、合作伙伴在内的其他人访问和使用这些数据。

神话二:网络安全就是保护好隐私

另外一个对网络安全常见的误解就是,网络安全就是为了保护好个人身份信息。保护个人信息显然至关重要,但其他类型的信息也必须应该能够受到保护。这些其他类型的信息包括商业秘密及其他知识产权(如公司的软件产品源代码)、竞争信息(如客户和供应商列表)、定价和市场数据、公司财务信息等等。确保列入供应商和商业合作伙伴关系的所有形式的保密和专有信息受到保护尤为重要。

神话三:网络安全就是保护好机密

那么这么说,网络安全就是保护好机密,确保数据未被泄露了,比如,数据既没有被未经授权的用户使用,也没有被用于未经授权的目的?其实不然。因为真正的数据安全,必须确保其保密性,必须确保其完整性,必须确保其需要时的可用性,即信息安全圈著名的CIA原则。

C——“保密性”(Confidentiality):指保护数据不受未经授权的访问,并且未被泄露。

I——“完整性”(Integrity):指数据的准确信值得信赖,没有受到未经授权的变更。几年前,就有一家著名的黑客杂志刊登过一篇文章,指导那些觉得自己即将被解雇的员工如何给他们的雇主一点颜色看看。文章特别提到了几种方法,雇员不费吹灰之力就可以让公司的数据面目全非,如更改主要供应商的账户号码、更改发货地址等等。。

A——“可用性”(Availability):指在需要时数据可供访问和使用。只维护了数据的保密性和完整性,而当用户需要的时候,却无法访问和使用,那一切就等于零。例如,DoS攻击就是在不破坏数据的保密性和完整性的情况下,专门让系统和数据无法访问和使用的攻击手段。

神话四:黑客都是技术高手

这是企业专注于制定针对专业黑客的安全措施、防止具有高度熟练编程能力和技术的个人或实体进行攻击时最常见的一个错误。然而,这样的技能已经不再是黑客的先决条件。如今,即使没有什么技术知识的人也可以在网上找到简单易用而又能对企业带来巨大伤害的黑客工具。这样人在黑客社区有时被称作“脚本小子”,因为他们不需要真正的黑客知识。也有各种现成的书籍,可以快速培养新手关于黑客方面的技术。甚至有本畅销书竟然有一章叫《如何三十分钟成为一名黑客》。

最后,如今黑客使用的最有效的攻击手段之一社会工程攻击根本就不需要任何的技术能力。相反,做为一名高效的社会工程师,所需要的不过是自信和对人性的了解。社会工程攻击最普遍的形式之一就是钓鱼攻击,即黑客发送虚假邮件索取敏感信息,或在邮件中包含安装可影响公司网络恶意软件的附件。最近钓鱼攻击和其他社会工程技术进行协同在世界范围内攻击银行机构,造成了3亿美元乃至可能高达10亿美元的损失。

神话五:可以实现100%的安全

最后,对网络安全最常见的认识误区之一还有就是可以实现绝对的完全,并且绝对安全是法律规定或行业行业惯例。这都是不对的。法律和行业惯例对企业的要求也都要合情合理。不对规定绝对的安全,而且也是不现实的。研究表明,即使规定企业将整体预算提高九倍,也只能解决95%的威胁。这需要企业提高整体安全预算之中只有95%的威胁。在大多数情况下,这样的预算增加对于整个企业来说是得不偿失的。

关于安全措施有一个基本的矛盾:随着安全防护的增加,安全系统的可用性却在下降。也就是说,越安全的系统越没有使用价值。例如,要实现一台移动设备如智能手机的绝对安全。首先需要将设备设置为飞行模式,并将设备锁定在安全模式。绝对安全倒是实现了,可用性也降到了零。所以要保证数据和系统的安全,必须要在有效安全措施和可用性之间进行较量,并达成某种平衡。

经验之谈:

因为网络安全的重中之中就是保护好企业的数据,所以好的网络安全措施需要为数据驻留的系统和数据访问通过的网络提供保护。在大多数情况下,企业都应该实行“深度安全”措施。该措施推荐使用多层防护来应对威胁。例如,为了防止网络钓鱼攻击,公司可以对员工进行培训,提醒他们小心打开不明邮件。作为更进一步的安全措施,公司可以将这种培训与杀毒软件结合起来进行培训,如果可能的话,最好是能够检测钓鱼攻击的杀毒软件。

所有敏感的和专有的信息,而不仅仅是这些数据中一部分,都必须要考虑解决和减轻网络安全威胁。保护这些信息资产不仅必须考虑到公司的内部,还要考虑到外部供应商、承包商和其他合作伙伴。由于企业将其数据委托给系统未受充分保护的第三方供应商所导致的安全泄露事件,时常充斥各大新闻网站的头条。

说到安全措施,应该将CIA概念(即前面提到的保密性、完整性和可用性)作为一项基本要求。具体来说,安全控制必须不仅仅是为了解决数据的保密性,还要解决数据的完整性和可用性。要知道,黑客神通广大。如果他们无法获得数据,他们可能会阻止其他人的访问,或者设法破坏数据的完整性。

永远不要低估社会工程攻击和其他类似的“非技术”攻击的有效性。每个公司每天都在经受着网络钓鱼和其他手段的攻击。适当、反复的员工培训是减轻这种实质性威胁的最重要的步骤之一。

可适用的法律和标准要求企业采取合理的措施应对威胁。这意味着要进行适当的能够平衡安全性和可用性的投资。达到适当平衡是设计成功网络安全方法的关键。

原文发布时间为:七月 9, 2015
本文作者:phil
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/learn/8546.html

相关文章
|
2月前
|
存储 安全 5G
|
15天前
|
存储 安全 网络安全
云计算与网络安全:技术融合与安全挑战
随着云计算技术的飞速发展,其在各行各业的应用日益广泛。然而,随之而来的网络安全问题也日益凸显,成为制约云计算发展的重要因素。本文将从云服务、网络安全、信息安全等方面探讨云计算与网络安全的关系,分析云计算环境下的网络安全挑战,并提出相应的解决方案。
|
29天前
|
监控 安全 网络安全
企业网络安全:构建高效的信息安全管理体系
企业网络安全:构建高效的信息安全管理体系
62 5
|
1月前
|
编解码 安全 Linux
网络空间安全之一个WH的超前沿全栈技术深入学习之路(10-2):保姆级别教会你如何搭建白帽黑客渗透测试系统环境Kali——Liinux-Debian:就怕你学成黑客啦!)作者——LJS
保姆级别教会你如何搭建白帽黑客渗透测试系统环境Kali以及常见的报错及对应解决方案、常用Kali功能简便化以及详解如何具体实现
|
1月前
|
安全 网络协议 算法
网络空间安全之一个WH的超前沿全栈技术深入学习之路(8-1):主动信息收集之ping、Nmap 就怕你学成黑客啦!
网络空间安全之一个WH的超前沿全栈技术深入学习之路(8-1):主动信息收集之ping、Nmap 就怕你学成黑客啦!
|
1月前
|
网络协议 安全 NoSQL
网络空间安全之一个WH的超前沿全栈技术深入学习之路(8-2):scapy 定制 ARP 协议 、使用 nmap 进行僵尸扫描-实战演练、就怕你学成黑客啦!
scapy 定制 ARP 协议 、使用 nmap 进行僵尸扫描-实战演练等具体操作详解步骤;精典图示举例说明、注意点及常见报错问题所对应的解决方法IKUN和I原们你这要是学不会我直接退出江湖;好吧!!!
网络空间安全之一个WH的超前沿全栈技术深入学习之路(8-2):scapy 定制 ARP 协议 、使用 nmap 进行僵尸扫描-实战演练、就怕你学成黑客啦!
|
1月前
|
网络协议 安全 算法
网络空间安全之一个WH的超前沿全栈技术深入学习之路(9):WireShark 简介和抓包原理及实战过程一条龙全线分析——就怕你学成黑客啦!
实战:WireShark 抓包及快速定位数据包技巧、使用 WireShark 对常用协议抓包并分析原理 、WireShark 抓包解决服务器被黑上不了网等具体操作详解步骤;精典图示举例说明、注意点及常见报错问题所对应的解决方法IKUN和I原们你这要是学不会我直接退出江湖;好吧!!!
网络空间安全之一个WH的超前沿全栈技术深入学习之路(9):WireShark 简介和抓包原理及实战过程一条龙全线分析——就怕你学成黑客啦!
|
2月前
|
SQL 安全 网络安全
网络防线的守护者:深入网络安全与信息安全的世界
【10月更文挑战第20天】在数字时代的海洋中,网络安全和信息安全是保护我们免受信息泄露、数据窃取和隐私侵犯的重要屏障。本文将带领读者探索网络安全漏洞的成因,加密技术如何成为我们的盾牌,以及安全意识在抵御网络攻击中的核心作用。通过深入浅出的解释和生动的案例分析,我们将一起学习如何加强个人和组织的网络防御,确保数字世界的安全。
20 4
|
2月前
|
安全 物联网 网络安全
中小企业提高网络安全的五种方式
【10月更文挑战第18天】中小企业提高网络安全的五种方式:1. 小企业并非免疫;2. 定期更新软件和硬件;3. 持续教育员工;4. 启用并维护安全功能;5. 制定全面的网络安全策略。天下数据IDC提供专业的服务器解决方案及数据中心安全服务,保障企业信息安全。
38 1
|
29天前
|
云安全 安全 网络安全
云计算与网络安全:技术融合下的安全挑战与应对策略
【10月更文挑战第33天】在数字化转型的浪潮中,云计算作为支撑现代企业IT架构的核心,其安全性成为业界关注的焦点。本文从云计算服务的基本概念出发,探讨了云环境下的网络安全风险,并分析了信息安全的关键技术领域。通过对比传统网络环境与云端的差异,指出了云计算特有的安全挑战。文章进一步提出了一系列应对策略,旨在帮助企业和组织构建更为坚固的云安全防护体系。最后,通过一个简化的代码示例,演示了如何在云计算环境中实施基本的安全措施。