|
|
neil mcallister撰文,列举了过去30年失败的25项it技术,其中“安全”竟然位居榜首。该文作者写到:“在个人计算机被广泛应用的30年里,安全状况看起来越来越差,计算机病毒、蠕虫就像感冒一样常见,web、e-mail、及时消息给各种犯罪活动提供了前所未有的机会。我们现在是将一个数字世界建造在了一个不安全的基础之上,安全问题的解决困难重重”。
neil mcallister作为“信息安全”圈外人的观点可能过于悲观了,但我们扪心自问,在大家都越来越重视信息安全,安全技术和安全产品都日新月日异的今天,为什么安全问题还是层出不穷呢?在信息安全的道路上,沿着原路继续走,肯定是死路一条,那么我们是该向左走,还是向右走?
icsa首席科学家、赛门铁克防病毒软件的最早发明人peter tippett 在“dark reading”的新闻报告中说:“现在到了信息安全专家们该醒一醒、停止浪费精力的时候了, 安全专家需要改变传统的思考方式”。
peter tippet认为:“业界在脆弱性研究、测试、软件补丁上花的时间太多,但实际上只有3%的被发现和利用”。实际上,现代的信息技术不可能从根本上杜绝技术漏洞的出现,如果信息安全建立发现和根除所有漏洞上,就像在现实世界中要消灭所有病原体一样不可能。”peter tippet还举了一个例子:汽车开了一个天窗,有人发现可以射一支箭穿过天窗杀死司机,尽管可能性很小,但确实能够做到。由于能够将人“杀死”,所以这个漏洞应是“关键”的。那汽车厂是否应该安装一个“箭头偏转”装置来弥补这个漏洞呢?
可见信息安全的前提不应该是“发现并弥补所有的漏洞”,而应是在存在漏的前提下,开展信息安全保障工作。 那么我们应该如何开展信息安全保障工作呢?”
peter tippet还是以汽车作了一个类比:很多人都试图找到一种100%的信息安全的保护措施,一旦措施发生失效的情况,就认为没用,甚至废除该措施。但现实世界中,汽车安全带只有阻止50%的死亡事故的发生。显然对每一种安全措施应该抱有一种正确的态度,既不能过分依赖,也不能随便否定其作用。
peter tippet还谈到一个很有趣的研究成果:只有8%的机构将其路由器(内置防火墙)的默认设置改为“禁止内部信息流”,设置外部信息流默认为“禁止”的就更少。但这种简单的设置,会大大改善网络安全的情况。
综上所述,现在安全界太热衷于揭示漏洞和脆弱性了,却缺乏风险的观念;太关注单台计算机的防护,而忽视了对整个系统的防护;过分追求安全过程的“完美”,却忽视了很多基本的、有效的操作。我们需要重新反思自己的工作方式,换种思路做安全。
|
|
发表于 2013-2-22 13:20:01
