站务联系
组织尝试解决网络安全风险的最大挑战之一,就是在网络安全开展工作中所面临的众多最基本的安全误区,这些误区常常导致组织对威胁的错误评估、资源的滥用,乃至不恰当安全目标的设定。消除这些误区,揭开网络安全的神秘面纱,打破网络安全的神话,是保证组织顺利开展复杂的信息安全工作的关键。
神话一:网络安全就是保护好数据
这是对网络安全最多的一种误读,认为所谓“网络安全”就是确保数据的访问安全,确保数据不被用于未经授权的目的,确保数据不被未经授权的用户使用。这虽然无疑是网络安全的一个关键问题,但数据所在的系统和网络还要必须防止攻击。例如,拒绝服务攻击(DoS)就不是为了获取企业的敏感数据,但它却能防止包括企业客户、合作伙伴在内的其他人访问和使用这些数据。
神话二:网络安全就是保护好隐私
另外一个对网络安全常见的误解就是,网络安全就是为了保护好个人身份信息。保护个人信息显然至关重要,但其他类型的信息也必须应该能够受到保护。这些其他类型的信息包括商业秘密及其他知识产权(如公司的软件产品源代码)、竞争信息(如客户和供应商列表)、定价和市场数据、公司财务信息等等。确保列入供应商和商业合作伙伴关系的所有形式的保密和专有信息受到保护尤为重要。
神话三:网络安全就是保护好机密
那么这么说,网络安全就是保护好机密,确保数据未被泄露了高防服务器温州,比如,数据既没有被未经授权的用户使用,也没有被用于未经授权的目的?其实不然。因为真正的数据安全,必须确保其保密性高防服务器温州,必须确保其完整性,必须确保其需要时的可用性,即信息安全圈著名的CIA原则。
C——“保密性”(Confidentiality):指保护数据不受未经授权的访问,并且未被泄露。
I——“完整性”(Integrity):指数据的准确性值得信赖,没有受到未经授权的变更。几年前,就有一家著名的黑客杂志刊登过一篇文章,指导那些觉得自己即将被解雇的员工如何给他们的雇主一点颜色看看。文章特别提到了几种方法,雇员不费吹灰之力就可以让公司的数据面目全非,如更改主要供应商的账户号码、更改发货地址等等。
A——“可用性”(Availability):指在需要时数据可供访问和使用。只维护了数据的保密性和完整性,而当用户需要的时候,却无法访问和使用,那一切就等于零。例如,DoS攻击就是在不破坏数据的保密性和完整性的情况下,专门让系统和数据无法访问和使用的攻击手段。
神话四:黑客都是技术高手
这是企业专注于制定针对专业黑客的安全措施、防止具有高度熟练编程能力和技术的个人或实体进行攻击时最常见的一个错误。然而,这样的技能已经不再是黑客的先决条件。如今,即使没有什么技术知识的人也可以在网上找到简单易用而又能对企业带来巨大伤害的黑客工具。这样人在黑客社区有时被称作“脚本小子”,因为他们不需要真正的黑客知识。也有各种现成的书籍,可以快速培养新手关于黑客方面的技术。甚至有本畅销书竟然有一章叫《如何三十分钟成为一名黑客》。
最后,如今黑客使用的最有效的攻击手段之一社会工程攻击根本就不需要任何的技术能力。相反,做为一名高效的社会工程师,所需要的不过是自信和对人性的了解。社会工程攻击最普遍的形式之一就是钓鱼攻击,即黑客发送虚假邮件索取敏感信息,或在邮件中包含安装可影响公司网络恶意软件的附件。最近钓鱼攻击和其他社会工程技术进行协同在世界范围内攻击银行机构,造成了3亿美元乃至可能高达10亿美元的损失。
神话五:可以实现100%的安全
对网络安全最常见的认识误区之一还有就是可以实现绝对的安全,并且绝对安全是法律规定或行业惯例。这都是不对的。法律和行业惯例对企业的要求也都要合情合理。研究表明,即使规定企业将整体预算提高9倍,也只能解决95%的威胁。这需要企业提高整体安全预算之中只有95%的威胁。在大多数情况下,这样的预算增加对于整个企业来说是得不偿失的。
