您好:歡迎來到大同基礎教育網!
 您的位置:首頁 >> 專題報道 >> 双色球几点开奖

五種錯誤的網絡安全觀

作者:任曉龍 來源: 發表日期:2019-04-08 訪問數:0 

在對信息系統進行安全管理之前,信息管理者首先要做的是樹立正確的網絡安全觀。只有在正確的網絡安全理念指導下,信息管理者才能對網絡系統安全進行有效管理。網絡安全一定要摒棄絕對化、靜態化、技術化、片面化和極端化等幾種錯誤觀念。


一、 絕對化:期望零風險


信息系統本身具有很大的“脆弱性”,信息系統依賴的硬件、信息系統應用的IT技術(軟件方面)、信息系統的建設和使用過程都存在著大量的風險因素,這類風險客觀長期存在,既有有形的風險(設備、環境)、也有無形的風險(行為、道德)。信息系統安全管理的目標只能是將風險控制在一定的范圍內,而不是實現絕對的安全。那種要求系統服務商承諾軟件系統功能無差錯,要求系統服務商承擔系統錯誤造成的損失和影響的做法都是不科學的。其實不僅是網絡安全,任何類型的安全都是如此。對于投資安全來說,世界上不是也沒有穩賺不賠的生意嗎?


為了追求絕對的安全,一些組織采用了物理隔離的方式。物理隔離能保證絕對安全嗎?當然不能。不要忘記,IT基礎設施只是信息系統的一部分,各種利益相關者如操作人員也是信息系統的組成之一。某些國家的情報機構已經開發出了一種可以讓處于氣隙系統電腦感染的工具。這種工具檢測到有U盤連接之后,會首先感染U盤,然后再通過U盤將病毒擺渡到氣隙系統中的計算機上。如果操作人員安全意識淡薄,拿著連接過互聯網的U盤連接到氣隙系統的計算機上,則信息系統的安全閘門可能就會轟然倒下。因此,即便信息系統的IT基礎設備被物理隔離,仍舊要加強信息安全管理。2009年7月至2010年9月間,伊朗核設施遭受了Stuxnet病毒的攻擊。位于伊朗納坦茲的濃縮鈾工廠首先遭到了攻擊,其用于濃縮鈾材料的離心機受到了嚴重的破壞,近20%的離心機因此報廢,進而導致濃縮鈾的產量下降了30%。Stuxnet病毒是世界上首個專門針對工業控制系統編寫的破壞性病毒,其傳播方式有別于一般的計算機病毒,除了經由互聯網傳播外,還可以通過USB設備來感染未接入互聯網的計算機。只要被Stuxnet病毒感染的U盤連接計算機后,這種病毒會在不需要任何操作的情況下,取得工業電腦系統的控制權。


二、片面化:只關注外部威脅


在進行信息系統安全管理時,人們的主要精力往往重點關注來自外部的安全威脅,如網絡滲透、黑客攻擊等,卻忽視來自內部的安全威脅。但是縱觀IT史上那些重大的信息安全事件,大部分都是由于內部人士誤操作或者蓄意發起。

2017年2月28號,號稱“亞馬遜AWS最穩定”的云存儲服務S3出現“超高錯誤率”的宕機事件。由于美國許多大型網站如Snapchat、Twitter等都是基于亞馬遜的云存儲服務,結果,美國半個互聯網都跟著癱瘓了。AWS后來給出了確切的解釋:一名程序員在調試系統的時候,運行了一條原本打算刪除少量服務器的腳本,結果輸錯了一個字母,導致大量服務器被刪。為了修復這個錯誤,亞馬遜不得不重啟整個系統,最終導致了震驚全球的Amazon S3宕機4個小時事件。


三、靜態化:期待一勞永逸


在解決安全問題的過程中,不可能一勞永逸。安全產品、安全技術需要隨著攻擊手段的發展而不斷地升級,并且需要管理人員來日常運營維護,否則安全防護會成為稻草人,馬奇諾防線,在變化的攻擊手段前不堪一擊。因此唯一的長效安全機制就是安全的持續改進,針對變化的安全形勢和矛盾的持續調整。


四、極端化:為保安全犧牲業務目標


信息系統的目標是為了支撐企業組織的的業務,信息系統安全管理的目標是為了確保信息系統的正常運行,為企業組織實現業務目標提供信息支撐。因此,確保信息系統的安全只是手段,而不是目標,不能為了信息系統的安全而影響到信息系統的正常使用,更不能影響到企業目標的實現。


五、技術化:安全是IT技術人員的事情


網絡安全不單單是IT技術人員的事,它涉及到企業組織的方方面面,是一項系統工程,需要技術與管理雙管齊下。例如,盡管信息系統在設計過程中,綜合采用多種高級的加密算法來實現用戶訪問控制和權限管理,但是如果用戶沒用養成良好的安全意識,在登錄系統后隨意離開電腦,或者將自己的用戶名和密碼隨便貼在電腦顯示器邊緣,那無論采用任何高級的安全技術也不能確保信息系統的安全。(以上信息來源于安全眼)

上一篇新聞:

下一篇新聞:

    

舉辦單位:大同市電化教育館  

地址:山西省大同市育才北路179號    郵箱:[email protected]    聯系方式:0352-2537438

技術支持:鄭州威科姆科技股份有限公司

晉ICP備18001045號    晉公網安備 14020202000129號