走出计算机安全防范的六个误区

当我在帮朋友处理计算机安全问题的时候，总会遇到他们这样问我：我的系统上已经安装了防火墙和杀毒软件，而且都是正版的，并且天天升级病毒库，为什么还会感染***呢目前来说，不只是普通 络用户存在这样的问题，甚至一些中小企业用户也存在同样的困惑，明明已经按某种方式实施了安全防范策略，可还是会不断出现系统或 络被***而引起业务中断，以及企业内部的机密数据由于***而引起泄漏等安全事件的发现。经过对已发生的各类安全事件进行分析，从中不难发现之所以会造成这样的局面，主要是我们在安全防范过程中还存在下列六个方面的误区。 <ml:namespace prefix = o ns = “urn:schemas-microsoft-com:office:office” />

误区一：认为系统中安装了杀毒软件就应该很安全了

误导之二：过分强调技术 现在，我们在讨论计算机 络安全时，总是提出使用什么样的安全技术和安全设备来应对，对人的管理和安全管理总是不太重视。这种只强调安全防范技术的安全防范理论，在整个计算机 络安全防范过程中是不可取的。 这是由于计算机 络安全防范不是某种技术和某个产品就能解决问题的，它是人、技术和管理三者相互结合的一个持续不断的系统过程，它存在于整个系统的生命周期当中。如果只强调安全防范技术的使用，而忽略对人的控制和对安全的管理，那么，就算你使用的是最新安全技术，或者使用的安全设备的功能多么强大，***者仍然可以通过其它的方式，例如通过 会工程***，来进入我们的 络和系统。因此，只强调安全防范技术是不可取的安全防范理念。 我们应当在计算机 络安全防范过程中，使用安全技术来防范来自 络的各种安全威胁，通过加强对人的管理和培训来减少来由人带来的安全风险，以及通过制定各种管理措施来规范安全防范处理过程和明确各种责任。

误导三：安全威胁主要来自 络，以及安全事件是由系统或软件的漏洞引起的

系统和软件存在漏洞能引起***事件不假，但是，如果认为安全威胁只来自互联 ，以及认为安全风险都是由系统或软件存在漏洞引起的，那就会让整个安全防范工作偏离真正能解决安全问题的方向。 试想一下，现在在大部分的计算机系统都进行了相应的安全防范工作，例如安装了防火墙或IDS/IPS。如果一个来自 络的***者，要想从 络的另一端***这些系统，就必需完成一连串的收集信息、侦察目标，以及实施***等工作，这样得花费多少的时间才有可能达到***的目的，有时甚至花了九牛二虎之力，仍然是竹篮打水一场空。这就是说，要想从 络的另一端***一台实施了安全措施的系统并不是一件容易的事情。那些在 上大吹几十秒能攻破系统的说法是不可信的，除非，你将每次拨 得到的IP地址直接公布出去，将操作系统按默认方式安装后直接连接到 络中，且不做任何安全措施，这样才有可能轻易运行进入这样的系统，但关键是现在还有多少这样的系统存在。因此，如果***者能够通过其它更加容易的方式来达到与 络***相同的目的，例如 会工程***， 络钓鱼，那又何必每次都利用系统或应用程序漏洞来进行呢/span> 其实，现在企业最大的安全威胁是来自企业内部，例如没有实施严格的员工离职管理；在企业内部允许滥用可移动存储设备；对企业内部服务器的访问不进行严格的访问控制；对无线接入设备不加控制和管理；以及不限制员工的不正当 络操作行为，例如上 看色情视频和图片，下载盗版软件、MP3和MP4等，都有可能企业正常业务的中断和机密数据的泄漏。 从上述这此方面就可以得出，要想保护企业 络资产的安全，仅仅防范来自 络的安全威胁是不够的，还必需同时加强对企业内部的安全防范和管理。

误导四：加密的数据在 络中传输时不会被截取和破译

相信绝大多数用户对此是深信不疑的，可是，现在的事实恰恰与此相反的，加密后的数据，一样可以被截取和破译。 ***者是否能得到在 络中传输的经过加密了的机密数据，关键只是在于它使用的是什么类型的 络嗅探技术。如果***者使用的是像Ettcap之类的 络嗅探软件，那么，只要***者能够在某个局域 环境中安装了这类软件，那么，一些通过SSL加密了的数据仍然可以被他截获和解码。 当然，嗅探软件解密的好与坏主要与数据在加密时所使用的加密算法的加密强度也有很大的关系，使用的加密算法越强，解码就越难，数据也就越安全。我在这里说加密的数据也不安全，并不是说我们不能应用加密来保护数据的安全，应用加密仍然是保护数据安全的主要方法之一。这样说的原因只是在提醒大家，在应用数据加密的同时，还应当使用其它的一些安全防范手段，来确保 络中不会出现在上述所示的 络嗅探器，尤其是无线 络，如果我们没有将它们的安全防范工作做得足够好，哪些通过有线或无线 络传输的加密了的数据仍然会被***者获取和解密。

误导五：虚拟机很安全

虚拟机在某种意义上为我们的系统安全提供了一种新的选择，我们可以使用它来打造冗余的系统，提高企业的业务连续性水平，同时，又能降低企业的IT总体拥有成本。但是，虚拟机本身并不如我们想像的那样安全，它仍然会给我们带来新的安全风险，这些安全风险包括： 1、 虚拟机软件本身存在安全风险

虚拟机软件也是一个由代码组成的程序，与所有的程序一样，其代码中肯定会存在某些编码方面的漏洞，当这些漏洞被***发现后，就会给存在这些漏洞的虚拟机带来被***的安全风险。例如，处于虚拟机系统与物理主机硬件驱动程序之间的虚拟机管理控制层（就是通常所说的hypervisor），现在就已经有安全专家编写了与它具有相同功能的rootkit，它能进入系统管理层，处于一个受保护的内存段，让操作系统不能发现和访问，它们能分析所有虚拟机的IO行为，并能对虚拟机的内存段进行分析，如果还能跟一些键盘击键程序和 络工具相配合，就可以成为一个威力强大的***程序，这样，所有的虚拟机都可以被***控制。

2、 物理主机存在的安全隐患可能会给其上运行的所有虚拟机带来安全风险 物理主机作为虚拟机的承载主体，它的安全性尤其重要。现在，随着计算机硬件性能的不断提高，以及其价格的不断跳水，一台物理主机很容易就能满足在其上运行多台虚拟机的要求。但是，这种将所有鸡蛋都放到一个篮子中的做法，很容易就可以造成服务器单点失败的严重安全事故。虚拟机的这个方面与安全策略中要保证系统的稳定性和持续性是相违背的。     除了这两个方面的安全隐患外，虚拟机与物理主机之间，虚拟机与虚拟机之间的通信同样也存在不同的安全风险。如果我们在应用虚拟机的过程中，不能很好地处理这些安全风险，那么，虚拟机带给我们的可能是一次严重的计算机安全事件。

误导六：无线 络关闭了SSID广播，进行MAC地址过滤后就已经很安全

现在，一些有关无线 络的安全建议，大多都是告诉用户通过关闭无线 络的SSID广播，以及使用MAC地址过滤和加密来保障无线 络的安全。实际上，就算我们按这种方法做了，无线 络安全仍然是没有保障的。 就目前来说，***者可以使用NetStumbler和Kismet这样的软件来发现关闭了SSID的无线 络，并且，可以通过Aircrack这样的软件来破解无线 络的密码，这样，虽然连接要花费一定的时间，但是，连入通过这些安全手段防范的无线 络还是有可能的。 因此，我们在使用这些无线安全防范措施的同时，还应对使用无线 络访问控制，或其它的的安全手段，例如在无线 络中加入***技术，来进一步提高无线 络的安全性能。 通过对上面所述的这六个在安全防范方面的认识误区的了解，我们应当明白了保障 络和系统的安全，并不是某种技术和设备就可以达到的，也不可能做到绝对的安全，我们只有结合多种安全防范方法，来构建一个立体化深层次的安全防范体系，才有可能将来自企业内部和外部的安全威胁带来的风险降低到最低水平。