直通屏山 | 福建 | 时评 | 大学城 | 台海 | 娱乐 | 体育 | 国内 | 国际 | 专题 | 网事 | 福州 | 厦门 | 莆田 | 泉州 | 漳州 | 龙岩 | 宁德 | 南平 | 三明
您所在的位置:东南网>国内>社会> 正文

新华网评:网络安全能力需要用什么检验?

2014-11-24 15:20:08杜跃进来源:新华网责任编辑:陈玮我来说两句
分享到:

杜跃进

网络安全的本质是攻防对抗。既然是对抗,就有对手,既然有对手,就有动机和谋略,至于对手为达到某一目的所采用的具体方法,则是非常多变的了。

很多人还没有真正认识到网络安全的这一特点。在网络安全对抗中,完全局限于具体技术方法层面的兵来将挡,就会始终陷于被动;忽略对手主观能动性的特点,认为存在某种可以一劳永逸解决问题的“银子弹”,则早晚会吃大亏。网络安全工作中更需要的不是自然科学规律,而是孙子兵法。我们不但需要了解对手的各种攻击技术,更需要理解“白开心”、“淘黑金”、“纯小偷”和“大玩家”们的不同。

技术和环境的变化会彻底改变攻防战法与安全态势。在今天全球高度互联的信息社会下,任何一个小的产品或者系统,都开放在全球不同动机的攻击者面前。这些产品或系统的任何一个设计漏洞、管理员或用户的任何一个不当使用或者疏忽,都可能被某个角落里的攻击者所利用,用于窃取隐私、盗窃金钱、甚至杀人越货。唯一的问题就是,你会不会成为目标,以及什么时候成为目标。如果心存侥幸觉得自己永远不会是目标,那就大错特错了:每个人都有很高的可能成为达成最终目标所利用的对象(你可能要为此而承担一些责任),每个人都有更高的可能“城门失火、殃及池鱼”—因为关键基础设施受到攻击而损害自己的利益或安全。

因此,鸵鸟思想是非常要不得的。禁止研究某个系统或者产品的漏洞缺陷,不能让安全防护方尽量多尽量早地发现问题和消除隐患,得益的是不受本国法律管辖的世界其他地方的攻击者(本国境内的违法者当然也是受益者,总之就是便宜了坏人);通过封闭研发的方式,寄希望于攻击者不知道系统是怎么实现的从而无法攻击,同样是十分脆弱和危险的,因为对这种保密的效果自己是无从知晓的,从而可能导致自己觉得安全实际早已被人掌握的安全假象。而且只要系统投入使用,攻击者就可以开始研究找到攻击方法,而封闭研发欠缺真正的攻防考验,往往更加脆弱;以为找过“权威”队伍进行过安全检查、符合强制的安全标准就可以高枕无忧了,这是忘记了攻击者的方法可能不是从“权威”那里学的,长期实战的攻击者的能力也不见得比所谓的“权威”队伍低;等等。

“是骡子是马,拉出来遛遛”,这是网络安全能力检验的一条基本思路。追求实效的安全竞赛,就是这一思想的重要践行。“XP挑战赛”中,主流XP安全防护产品直接面对全社会的研究人员的挑战,很多厂商从中找到了改进产品的新方法,持续下去的话,这些产品就会在不断的锤炼中成为真正的强者;“GeekPwn”、“XCTF”等比赛,则是通过社会研究人员寻找更多产品的安全问题、通过实战对抗培养和发现实战人才的重要活动。这些做法,也是国际上通行的最佳实践。我们需要的是改变观念、完善规则和机制,让我们的网络安全能力不断得到实实在在的提升。

打印|收藏|发给好友【字号
心情版
相关评论
今日热词
更多>>福建今日重点
更多>>国际国内热点
关于我们| 广告服务| 网站地图| 网站公告|
国新办发函[2001]232号 闽ICP备案号( 闽ICP备05022042号) 互联网新闻信息服务许可证 编号:35120170001 网络文化经营许可证 闽网文〔2019〕3630-217号
信息网络传播视听节目许可(互联网视听节目服务/移动互联网视听节目服务)证号:1310572 广播电视节目制作经营许可证(闽)字第085号
网络出版服务许可证 (署)网出证(闽)字第018号 增值电信业务经营许可证 闽B2-20100029 互联网药品信息服务(闽)-经营性-2015-0001
福建日报报业集团拥有东南网采编人员所创作作品之版权,未经报业集团书面授权,不得转载、摘编或以其他方式使用和传播
职业道德监督、违法和不良信息举报电话: 0591-87095403(工作日9:00-12:00、15:00-18:00)举报邮箱: jubao@fjsen.com福建省新闻道德委举报电话: 0591-87275327