对于网络安全, 经常会有人有这样或者那样的误区, Wired杂志的专栏作家Peter Singer 和 Allan Friedman最近总结了网络安全常见的5个误区:
误区1: 网络安全的挑战是我们所不曾遇到过的
人们经常会觉得跟不上全球信息时代的日新月异变化的脚步。 不过, 其实, 仔细想想, 在维多利亚时代人们是如何看待通讯从马车时代进步到电报时代,进而到无线电时代就明白了, 这一类变化并非目前所独有。
回顾历史能够指导我们如何来适应当前的变化。 这里我们指的并不是仅仅了解一下Internet的历史, 而且包括了解IT领域以外的历史发展。 比如说, 在考虑政府应该在信息时代的角色时, 我们可以研究一下历史上的一些例子。 如疾病控制中心的例子。 公共卫生领域的例子可以告诉我们预防的重要性, 人们的卫生意识和卫生知识的重要性, 以及可信的信息共享的重要性。 在比如, 在考虑如何对付网络犯罪甚至是背后国家支持的网络犯罪行为的时候, 我们不妨可以借鉴历史上对付海盗的经验, 各国政府在海上追踪海盗, 捣毁海盗的销赃市场和网络, 建立国际间海上行为准则等。 在为了公共利益需要规范一些私人公司的行为时, 我们也不妨借鉴一下人们在治理环境污染方面所采取的法律与经济手段。
当然, 网络安全与这些领域并不完全一样, 不过, 我们所碰到的很多问题其实并不算是新问题。
误区2: 我们每天都面对几百万次网络攻击
这话是退休的美国军队情报局的亚历山大将军在2010年美国国会就中国对美国进行网络攻击作证时讲的话。 有趣的是, 中国的领导人也在用同样的话指责美国。 这些话是对的, 但也是毫无意义的。
计算每次攻击或者多少恶意软件就好像是在数细菌的数量一样, 你很容易就得到一个巨大的数字, 而你真正需要关心的是影响究竟有多大和源头究竟在哪里, 而且, 这些数字经常会误导我们, 很多所谓的攻击数字统计的只是对系统的探查, 这些几十上百万的探查在还没有进行实质攻击前就被基本的防御系统比如防火墙, IDS/IPS记录下来, 这些行为与真正的攻击记录混在一起都被记成了一次网络攻击。 这就好像我们把小孩子扔鞭炮, 间谍们使用手枪, 恐怖分子放炸弹, 军队发射导弹都统计为攻击, 仅仅因为它们都采用了火药。
一个正确的方式应该是根据攻击的影响对这些攻击进行分级, 关注那些高风险的攻击行为, 研究它们的特点, 找到它们的源头。
误区3: 这是一个技术问题
在网络安全领域, 有很多技术工具或者技术层面的补丁, 但是网络安全更重要的是人和激励机制。 如果企业或者个人不去加强自身的安全意识, 采用多好的技术也不能达到真正的安全。
对此, 最重要的事我们首先要改变我们对网络安全的恐惧和无知, 这样的恐惧和无知会使我们试图靠一个完美的技术方案来保护我们的信息系统。 只要我们在使用Internet, 我们就存在着被网络犯罪分子攻击的可能性。 关键是我们面对网络攻击如何处理。 “保持冷静”是关键, 这一点对企业高层和媒体尤其重要。 媒体经常会报道电力系统如何遭受攻击, 华尔街如何遭受攻击, 其实, 每年因为松鼠导致的电力系统故障有好几百次, 而导致NASDAQ停机也有过两次, 如果我们能够对于网络攻击不再恐惧, 我们才能够更好的处理网络安全的风险。
误区4:网络安全方面,最好的防御是进攻
五角大楼的将军们总是提到那些喝着红牛的小屁孩儿坐在家里的地下室就能够发动一场大规模杀伤性战争。 五角大楼甚至发布了报告声称网络攻击在“可预见的将来”将会成为战争的主要形式。 因而, 五角大楼每年花在网络攻击方面的研究经费是网络防御研究的2.5倍。
事实上, 情况远没有那么简单。 “震网”是用来攻击伊朗核设施的数字武器。 通过它, 人们认识到了网络攻击的严重威胁, 不过, 也使得人们认识到, 进行网络攻击并不像想象的那样喝着红牛就能搞定的, 它需要非常高的技术能力和专业素质。 制造“震网“需要情报分析, 对核物理设施的理解以及很高的IT技能。
更重要的是, 最好的防御是进攻并不是一个正确的战略。 现在的世界已经不是冷战时期的双边关系, 你很容易分清敌我。 现在的情况错综复杂, 攻击者的类型五花八门。 这就像如果你想保护你的玻璃窗不被扔鸡蛋, 你不能冲出去把邻居家小孩, 路过的路人或者恐怖分子都去暴打一顿。 尽管听起来不那么有冲击力, 但是无论是橄榄球比赛还是网络安全, 最好的防守就是防守。
误区5: 黑客是互联网的最大威胁
在互联网上确实有坏人, 但是如果我们自己不小心, 小病也会变成大病。 互联网依靠一个相互信任的生态系统而存在。 我们面临的威胁也是来自多方面的, 从盗窃Target的网络犯罪集团, 到NSA收集公民隐私, 到GFW, 到俄罗斯的8万2千个恶意站点。 这些都对互联网的可信, 公开, 以及自治理念的严重威胁。 相比之下, 黑客所带来的威胁只是很少的一部分。
