四种错误的网络安全观!时刻威胁着网络安全!
发布时间 : 2019-04-12
随着互联网迅速发展,越来越多的组织为了提升自身的网络安全保护,采取了不少的措施,不过首先要做的,应该是树立正确的网络安全观。只有在正确的网络安全理念指导下,信息管理者才能对网络系统安全进行有效管理。
为了确保网络安全,一定要摒弃绝对化、片面化、静态化、技术化这四种错误的观念。
一、绝对化:期望零风险
信息系统本身具有很大的“脆弱性”,信息系统依赖的硬件、信息系统应用的IT技术(软件方面)、信息系统的建设和使用过程都存在着大量的风险因素,这类风险客观长期存在,既有有形的风险(设备、环境)、也有无形的风险(行为、道德)。
信息系统安全管理的目标只能是将风险控制在一定的范围内,而不是实现绝对的安全。
为了追求绝对的安全,一些组织采用了物理隔离的方式。但是IT基础设施只是信息系统的一部分,而操作人员也是信息系统的组成之一。
某些国家的情报机构开发出了一种可以让系统电脑感染的工具。这种工具检测到有U盘连接之后,会首先感染U盘,然后再通过U盘将病毒传输到计算机上。如果操作人员安全意识淡薄
,拿着连接过互联网的U盘连接到计算机上,则信息系统的安全闸门可能就会轰然倒下。因此,即便信息系统的IT基础设备被物理隔离,仍旧要加强信息安全管理。
2009年7月,伊朗核设施遭受了Stuxnet病毒的攻击,其用于浓缩铀材料的离心机受到严重的破坏,近20%的离心机因此报废,进而导致浓缩铀的产量下降了30%。
Stuxnet病毒是世界上首个专门针对工业控制系统编写的破坏性病毒,其传播方式有别于一般的计算机病毒,除了经由互联网传播外,还可以通过USB设备来感染未接入互联网的计算机。只要被Stuxnet病毒感染的U盘连接计算机后,这种病毒会在不需要任何操作的情况下,取得工业电脑系统的控制权。
二、片面化:只关注外部威胁
在进行信息系统安全管理时,人们的主要精力往往重点关注来自外部的安全威胁,如网络渗透、黑客攻击等,却忽视来自内部的安全威胁。但是纵观IT史上那些重大的信息安全事件,大部分都是由于内部人士误操作或者蓄意发起。
内部人员更难以防范。首先,内部人员对企业有更深的了解,如果内部人员想要对企业造成损坏,他们可以做得迅速而高效。
2017年2月28号,号称“亚马逊AWS最稳定”的云存储服务S3出现“超高错误率”的宕机事件。由于美国许多大型网站如Snapchat、Twitter等都是基于亚马逊的云存储服务,结果,美国半个互联网都跟着瘫痪了。
AWS后来给出了确切的解释:一名程序员在调试系统的时候,运行了一条原本打算删除少量服务器的脚本,结果输错了一个字母,导致大量服务器被删。为了修复这个错误,亚马逊不得不重启整个系统,最终导致了震惊全球的Amazon
S3宕机4个小时事件。
三、静态化:期待一劳永逸
在解决安全问题的过程中,不可能一劳永逸。安全产品、安全技术需要随着攻击手段的发展而不断地升级,并且需要管理人员来日常运营维护,否则安全防护会成为稻草人,在变化的攻击手段前不堪一击。
因此唯一的长效安全机制就是安全的持续改进,针对变化的安全形势和矛盾的持续调整。
四、技术化:安全是IT技术人员的事情
网络安全不单单是IT技术人员的事,它涉及到企业组织的方方面面,是一项系统工程,需要技术与管理双管齐下。
例如,尽管信息系统在设计过程中,综合采用多种高级的加密算法来实现用户访问控制和权限管理,但是如果用户没用养成良好的安全意识,在登录系统后随意离开电脑,或者将自己的用户名和密码随便贴在电脑显示器边缘,那无论采用任何高级的安全技术也不能确保信息系统的安全。
归根结底,网络安全最关键的还是人,不论是技术、设备还是管理都离不开人的因素,所以对人员的培养也是至关重要的。
组织机构必须不断对员工进行教育和培训,指导员工树立好正确的网络安全观念,网络安全系数才能真正的提升,做到真正的固若金汤。