安全是一个整体,完整的安全解决方案不仅包括物理安全、网络安全、系统安全和应用安全等技术手段,还需要以人为核心的策略和管理支持。网络安全至关重要的往往不是技术手段,而是对人的管理。
这里需要谈到安全遵循的“木桶原理”,即一个木桶的容积决定于最短的一块木板,一个系统的安全强度等于最薄弱环节的安全强度。无论采用了多么先进的技术设备,只要安全管理上有漏洞,那么这个系统的安全一样没有保障。在网络安全管理中,专家们一致认为是“30%的技术,70%的管理”。
同时,网络安全不是一个目标,而是一个过程,且是一个动态的过程。这是因为制约安全的因素都是动态变化的,必须通过一个动态的过程来保证安全。例如,Windows操作系统经常公布安全漏洞,在没有发现系统漏洞前,大家可能认为自己的网络是安全的,实际上,系统已经处于威胁之中了,所以要及时地更新补丁。从Windows安全漏洞被利用的周期变化中可以看出:随着时间的推移,公布系统补丁到出现黑客攻击工具的速度越来越快,如表1-5所示。
表1-5 Windows漏洞被利用的周期
(www.daowen.com)
到2006年与安全漏洞关系密切的“零日攻击”现象在Internet上显著增多。“零日攻击”是指漏洞公布当天就出现相应的攻击手段。例如,2006年出现的“魔波蠕虫”(利用MS06-040漏洞)及利用Word漏洞(MS06-011漏洞)的木马攻击等。2009年“暴风影音”最新版本出现的“零日漏洞”已被黑客大范围应用。“零日漏洞”于4月30日被首次发现,其存在于暴风影音ActiveX控件中。该控件存在远程缓冲区溢出漏洞,利用该漏洞,黑客可以制作恶意网页,用于完全控制浏览者的计算机或传播恶意软件。
安全是相对的。所谓安全,是指根据客户的实际情况,在实用和安全之间找一个平衡点。
从总体上看,网络安全涉及网络系统的多个层次和多个方面,同时,也是动态变化的过程。网络安全实际上是一项系统工程,既涉及对外部攻击的有效防范,又包括制定完善的内部安全保障制度;既涉及防病毒攻击,又涵盖实时检测、防黑客攻击等内容。因此,网络安全解决方案不应仅仅提供对于某种安全隐患的防范能力,还应涵盖对于各种可能造成网络安全问题隐患的整体防范能力;同时,还应该是一种动态的解决方案,能够随着网络安全需求的增加而不断改进和完善。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。