打破网络安全神话 安全的关键是平衡

简介: 本文讲的是打破网络安全神话 安全的关键是平衡,组织尝试解决网络安全风险的最大挑战之一就是在网络安全开展工作中所面临的众多最基本的安全误区

image

本文讲的是 打破网络安全神话 安全的关键是平衡,组织尝试解决网络安全风险的最大挑战之一就是在网络安全开展工作中所面临的众多最基本的安全误区,这些误区常常导致组织对威胁的错误评估、资源的滥用,乃至不恰当安全目标的设定。消除这些误区,揭开网络安全的神秘面纱,打破网络安全的神话,是保证组织顺利开展复杂的信息安全工作的关键。

神话一:网络安全就是保护好数据

这是对网络安全最多的一种误读,认为所谓“网络安全”就是确保数据的访问安全,确保数据不被用于未经授权的目的,确保数据不被未经授权的用户使用。这虽然无疑是网络安全的一个关键问题,但数据所在的系统和网络还要必须防止攻击。例如,拒绝服务攻击(DoS)就不是为了获取企业的敏感数据,但它却能防止包括企业客户、合作伙伴在内的其他人访问和使用这些数据。

神话二:网络安全就是保护好隐私

另外一个对网络安全常见的误解就是,网络安全就是为了保护好个人身份信息。保护个人信息显然至关重要,但其他类型的信息也必须应该能够受到保护。这些其他类型的信息包括商业秘密及其他知识产权(如公司的软件产品源代码)、竞争信息(如客户和供应商列表)、定价和市场数据、公司财务信息等等。确保列入供应商和商业合作伙伴关系的所有形式的保密和专有信息受到保护尤为重要。

神话三:网络安全就是保护好机密

那么这么说,网络安全就是保护好机密,确保数据未被泄露了,比如,数据既没有被未经授权的用户使用,也没有被用于未经授权的目的?其实不然。因为真正的数据安全,必须确保其保密性,必须确保其完整性,必须确保其需要时的可用性,即信息安全圈著名的CIA原则。

C——“保密性”(Confidentiality):指保护数据不受未经授权的访问,并且未被泄露。

I——“完整性”(Integrity):指数据的准确信值得信赖,没有受到未经授权的变更。几年前,就有一家著名的黑客杂志刊登过一篇文章,指导那些觉得自己即将被解雇的员工如何给他们的雇主一点颜色看看。文章特别提到了几种方法,雇员不费吹灰之力就可以让公司的数据面目全非,如更改主要供应商的账户号码、更改发货地址等等。。

A——“可用性”(Availability):指在需要时数据可供访问和使用。只维护了数据的保密性和完整性,而当用户需要的时候,却无法访问和使用,那一切就等于零。例如,DoS攻击就是在不破坏数据的保密性和完整性的情况下,专门让系统和数据无法访问和使用的攻击手段。

神话四:黑客都是技术高手

这是企业专注于制定针对专业黑客的安全措施、防止具有高度熟练编程能力和技术的个人或实体进行攻击时最常见的一个错误。然而,这样的技能已经不再是黑客的先决条件。如今,即使没有什么技术知识的人也可以在网上找到简单易用而又能对企业带来巨大伤害的黑客工具。这样人在黑客社区有时被称作“脚本小子”,因为他们不需要真正的黑客知识。也有各种现成的书籍,可以快速培养新手关于黑客方面的技术。甚至有本畅销书竟然有一章叫《如何三十分钟成为一名黑客》。

最后,如今黑客使用的最有效的攻击手段之一社会工程攻击根本就不需要任何的技术能力。相反,做为一名高效的社会工程师,所需要的不过是自信和对人性的了解。社会工程攻击最普遍的形式之一就是钓鱼攻击,即黑客发送虚假邮件索取敏感信息,或在邮件中包含安装可影响公司网络恶意软件的附件。最近钓鱼攻击和其他社会工程技术进行协同在世界范围内攻击银行机构,造成了3亿美元乃至可能高达10亿美元的损失。

神话五:可以实现100%的安全

最后,对网络安全最常见的认识误区之一还有就是可以实现绝对的完全,并且绝对安全是法律规定或行业行业惯例。这都是不对的。法律和行业惯例对企业的要求也都要合情合理。不对规定绝对的安全,而且也是不现实的。研究表明,即使规定企业将整体预算提高九倍,也只能解决95%的威胁。这需要企业提高整体安全预算之中只有95%的威胁。在大多数情况下,这样的预算增加对于整个企业来说是得不偿失的。

关于安全措施有一个基本的矛盾:随着安全防护的增加,安全系统的可用性却在下降。也就是说,越安全的系统越没有使用价值。例如,要实现一台移动设备如智能手机的绝对安全。首先需要将设备设置为飞行模式,并将设备锁定在安全模式。绝对安全倒是实现了,可用性也降到了零。所以要保证数据和系统的安全,必须要在有效安全措施和可用性之间进行较量,并达成某种平衡。

经验之谈:

因为网络安全的重中之中就是保护好企业的数据,所以好的网络安全措施需要为数据驻留的系统和数据访问通过的网络提供保护。在大多数情况下,企业都应该实行“深度安全”措施。该措施推荐使用多层防护来应对威胁。例如,为了防止网络钓鱼攻击,公司可以对员工进行培训,提醒他们小心打开不明邮件。作为更进一步的安全措施,公司可以将这种培训与杀毒软件结合起来进行培训,如果可能的话,最好是能够检测钓鱼攻击的杀毒软件。

所有敏感的和专有的信息,而不仅仅是这些数据中一部分,都必须要考虑解决和减轻网络安全威胁。保护这些信息资产不仅必须考虑到公司的内部,还要考虑到外部供应商、承包商和其他合作伙伴。由于企业将其数据委托给系统未受充分保护的第三方供应商所导致的安全泄露事件,时常充斥各大新闻网站的头条。

说到安全措施,应该将CIA概念(即前面提到的保密性、完整性和可用性)作为一项基本要求。具体来说,安全控制必须不仅仅是为了解决数据的保密性,还要解决数据的完整性和可用性。要知道,黑客神通广大。如果他们无法获得数据,他们可能会阻止其他人的访问,或者设法破坏数据的完整性。

永远不要低估社会工程攻击和其他类似的“非技术”攻击的有效性。每个公司每天都在经受着网络钓鱼和其他手段的攻击。适当、反复的员工培训是减轻这种实质性威胁的最重要的步骤之一。

可适用的法律和标准要求企业采取合理的措施应对威胁。这意味着要进行适当的能够平衡安全性和可用性的投资。达到适当平衡是设计成功网络安全方法的关键。

原文发布时间为:七月 9, 2015
本文作者:phil
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/learn/8546.html

相关文章
|
6天前
|
安全 Linux 网络安全
自学黑客(网络安全)
【7月更文挑战第18天】
15 5
|
6天前
|
安全 网络安全 数据安全/隐私保护
智能家居安全:如何保护你的智能设备免受网络威胁
【7月更文挑战第18天】随着物联网技术的飞速发展,智能家居设备已逐渐成为我们日常生活的一部分。然而,随之而来的安全问题也日益突出。本文将深入探讨智能家居设备面临的主要安全风险,并提供一系列实用的防护措施。文章不仅会分析黑客攻击的常见手段,还会介绍如何通过强化密码策略、定期更新固件、使用VPN等方法来提高家庭网络安全性。此外,还将分享一些关于智能家居设备的安全最佳实践,帮助读者构建一个更加安全的智能生活环境。
25 4
|
6天前
|
安全 网络安全 数据安全/隐私保护
数字时代的守护者:网络安全与信息安全的现代挑战
【7月更文挑战第18天】在数字化浪潮不断推进的今天,网络安全与信息安全已成为全球关注的焦点。本文旨在深入探讨网络安全漏洞的成因、影响及其防御策略,同时对加密技术的原理和应用进行剖析,并强调提升个人与企业的安全意识的重要性。文章将通过案例分析,揭示网络威胁的多样性和复杂性,并提出相应的对策,以期为读者提供一套全面的网络安全知识框架。
|
11天前
|
存储 安全 网络安全
云计算与网络安全:探索云服务的安全挑战与策略
【7月更文挑战第13天】随着云计算技术的快速发展,越来越多的企业和个人开始依赖云服务来存储和处理数据。然而,这也带来了一系列的网络安全问题,包括数据泄露、服务中断和恶意攻击等。本文将深入探讨云计算环境中的网络安全挑战,并提出相应的防护措施和最佳实践,旨在帮助读者更好地理解和应对这些安全风险。
|
19天前
|
人工智能 安全 算法
数字时代的守护者:网络安全漏洞与加密技术的较量
在数字化浪潮的推动下,网络安全成为了维系现代社会运转的关键。本文深入探讨了网络安全的薄弱环节——安全漏洞,以及对抗网络威胁的盾牌——加密技术。通过分析当前网络安全面临的挑战,本文旨在提升公众的安全意识,并分享防范网络攻击的有效策略。
|
19天前
|
存储 安全 网络安全
云计算与网络安全:技术融合下的安全挑战与对策
随着云计算技术的飞速发展,其在提供便利和效率的同时,也带来了前所未有的安全风险。本文将深入分析云计算服务中的网络安全威胁,并探讨信息安全领域的应对策略,以期为云服务用户提供一个更加安全的网络环境。
|
20天前
|
云安全 安全 网络安全
云计算与网络安全:技术融合下的安全挑战与应对策略
在数字化转型的浪潮中,云计算作为一种强大的技术推动力,正日益成为企业IT架构的核心。然而,随着云服务模式的普及,网络安全问题也变得愈加复杂。本文旨在深入探讨云计算环境下网络安全的挑战,并基于最新的研究成果和统计数据,提出有效的安全策略和技术解决方案。通过对云计算环境中潜在风险的系统分析,结合先进的网络安全技术,如加密算法、身份认证机制等,文章将阐述如何在享受云计算带来的便利的同时,保障数据的安全性和完整性。
|
20天前
|
存储 安全 网络安全
云端守护者:云计算时代的网络安全策略
【7月更文挑战第4天】在数字化浪潮中,云计算以其灵活性和可扩展性成为企业数字化转型的重要推手。然而,随着数据和应用逐渐迁移到云端,网络安全问题也变得日益严峻。本文将深入探讨云计算与网络安全的交织点,分析云服务中的安全风险,并针对这些挑战提出有效的防御措施。文章旨在为读者提供一套全面的云计算网络安全指南,帮助企业构建更加坚固的信息安全防线。
17 1
|
2天前
|
机器学习/深度学习 云安全 安全
云计算与网络安全:技术演进与安全挑战
随着云计算技术的迅猛发展,其在各行各业的应用日益广泛。云服务提供了灵活性、可扩展性和成本效益等优势,但同时也带来了新的网络安全威胁和隐私泄露风险。本文将探讨云计算环境下的网络安全问题,分析当前云服务的安全机制,并讨论如何通过技术创新和策略调整来增强信息安全。 【7月更文挑战第22天】
5 0
|
5天前
|
安全 算法 网络安全
网络安全与IP安全网络安全
网络安全与IP安全网络安全
12 0

热门文章

最新文章