网络安全 从我做起

 

网络安全 从我做起

记得刚刚上大三时看到了一本书，是人民邮电出版社出版的《网络安全体系结构》(《Network Security Architectures》)。这本书的作者从事网络设计十几年，后又在思科任职多年，对网络安全的体系结构有着深刻的了解。而在这本书中，他通过“设计网络安全”和“设计安全网络”两个概念为出发点，引出了一个新的观点 ―― 设计安全网络。这样的一个观点是我从未见过的，我认为这是一个很有前途的做法。可惜后来由于课业繁重，此书还未能够看完。后来，我又在网上看到了这样一个帖子《 信息安全没有终点 三防之后 网络安全落在哪？ 》，他的作者是网康科技的CEO袁沈钢先生。在这一篇网文中，他强调了人的作用，对，就是人的作用。IT界有这样一句名言：三分技术，七分管理。而管理主要出乎于人，因此人在网络安全之中起着举足轻重的地位。

这两个观点是我在这一年中看到的我个人认为最好的。我做为信息安全(网络安全方向)专业的学生，看到这两个观点，有一种新生的感觉，让我的安全观念产生了转变，不再停留在追求网络安全技术上面，而是转向培养自己的网络安全意识和网络安全的规划与管理。下面我再详细谈谈我对于安全方面的一些感悟与总结。

中国有句古话：万事开头难。的确，网络安全，是一个很广的概念，而且是一个很难真正实现的理想。因此，从我们要用到网络那一刻起，安全问题，便已经开始了，我们必须在一开始就考虑到安全的问题。这便是“设计安全网络”的观点所要考虑的一个问题。凡事预则立，不预则废，在我们设计网络的时候，我们就应该准备好让它去接受被攻击的考验。当我们要组建一个网络的时候，我们要考虑到很多问题，比如说网络的规模，以后网络是否扩展，网络建立用来做什么等等，当然除了这些内部性的问题，我们还要考虑到的就是外部性的问题，即我们周边的网络环境，因为我们建立一个网络肯定不是为了建立一个局域网，我们要建立的是一个能够很好的而且安全的与外界网络相互沟通的网络，这样以来我们便要考虑到周边的网络环境了。这些都将影响我们所要设计的网络类型。

对于准备工作，就像数据库设计一样，它也有它的一定的步骤，需要进行需求分析，需要进行系统设计等等。当一个设计成稿的时候，我们还是马虎不得，还要对它进行安全模拟测试，还需要听取多方面的意见和建议对我们的设计模型进行完善。如果这个环节做不好的话那我们就会要进行以后所谓的“设计网络安全”了，就会像庞大的WINDOWS操作系统一样，一层一层的打补丁，打完新补丁，又引发新的漏洞，然后又要打补丁，最后是新补丁旧补丁一大堆，搞的系统看起来满目疮痍，让人惨不忍睹就不太好了。而且会把系统搞的非常冗余庞大，这又何苦呢？何不在一开始的时候我们就把它设计好呢，做到缺陷最小化。当然我这里并没有任何讽刺、挖苦比尔老大的意思，他给我们做出这样一个实用的系统来我们已经感激不尽了，又怎敢对他有什么不满呢，嘿嘿^_^

对于网络的设计的确需要花去很大的心思。再设计完毕那么就开始动工了，无非就是把一些硬件按照设计方案组合起来咯。当然组合也有组合的艺术咯，而且对硬件质量的要求也要根据自己的需求，根据自己对于安全性的要求来衡量，购买适合自己的硬件设备。

当把硬件组合完毕之后就到了对网络的配置与维护阶段了。而这个阶段的痛苦将不亚于对网络的准备设计阶段。当然如果设计的好这个阶段将是轻松很多了^_^

这个阶段的配置维护要基于前面的设计。而前面的设计我们追求的是一种安全体系结构的设计。大家应该听说过“立体化安全”这个术语吧，对，我们的设计阶段主要就是要构筑一个“立体化安全”的网络体系架构。我们要考虑到方方面面的攻击，我们也要做好对来自方方面面的攻击的防御。我们要从杀毒软件、防火墙、访问控制、权限授予等等关系到网络安全方面的问题入手来构筑我们的“立体化安全”网络架构。

网络构架好了之后，我们就要根据现有的硬件和软件所存在的漏洞以及已知的攻击并根据我们网络的需求对网络进行适当的配置。让我们的风险达到最低。并且定期的对网络进行安全检测。

有人会说到这里，如此做下去不就可以了么？还会有什么安全问题吗？然而问题就在这里。我们总是想当然的认为，我们设计了一个很安全的网络，然后我们又对它进行了适当的配置，并且定期检测，这样就不会有什么大的问题了。我们的想当然可能会铸成打错，甚至会让我们的网络不堪一击。网康科技CEO袁沈钢先生说的好：“安全是一个没有终点的旅程。在追逐安全的道路上，新的安全威胁会不断出现，安全体系随时都有可能出现真正的裂痕，修补的角度和速度将决定你是否安全 …… ”是啊，在追逐安全的道路上我们将会面临很多新的挑战，如果应对不利那么你将被踢出局，终止你的旅程。

在经历了病毒的肆虐、黑客攻击的扫荡，防病毒、防黑客成为安全的主旋律，成为安全体系建设的首选目标。当铺天盖地的广告、无孔不入的病毒、大规模的网络钓鱼和间谍软件随着垃圾邮件一起涌入我们的网络之后，防垃圾邮件成为安全体系的必要补充。然而，安全真的就是防病毒、防黑客、防垃圾邮件这么简单么？

“三防”并不是马其诺防线，如果它不能够与时俱进，那么它也终究被淘汰。曾经的病毒大多通过硬件进行传播，比如通过软盘、拷贝光盘等。而现在你还经常见到这样的病毒吗？没有了，因为病毒知道与时俱进，它们都在跟随科技的脚步，总是用最新最快的手段进行传播。再看看现在，大部分木马和病毒都是通过移动硬盘、优盘、通过网络或者是软件的漏洞进行传播。但他们能成气候吗？我们现在的杀毒软件，木马查杀软件都很多了已经。只要病毒厂商反应够迅速，我们病毒库更新够及时，那么我们就会幸免于难。而在这样的一场反击战中，谁起了核心作用呢？对，是人。如果我们不能够及时了解的最新的病毒状况，不能够下载到最新的病毒库，那么面对最新的病毒，如果我们的网络安全体系不够坚固的话，那我们只好束手就擒了。可悲的是，大部分网络不能够很好的防御最新病毒的攻击。

说到底新病毒的出现还是基于我们网络出现的漏洞，因为有了这些漏洞的存在才有了他们生存的机会。而这些漏洞当中有很多还是那些曾经的漏洞，只是因为管理人员的疏忽，才会给了病毒以机会。因此，人在病毒的传播中起了至关重要的作用。

随着技术的发展，当病毒已经再也没有新的技术可言之时。无聊的木马和病毒制造者们开始寻找新的漏洞，新的方向。正如现实网络中的表现一样，他们已经找到了新的漏洞 ―― 人。

我们来看一看现实中的例子吧。他们充分的利用了人的好奇心和贪小便宜的心理。先说生活中的例子吧，有人应该在ATM上面被骗过吧，还有前些日子看到一个报道，说是有人吃康师傅方便面中奖了，然后打电话咨询被人骗去了几千块钱。还有一些贫困生的家长，因为接到子女出事情需要汇钱的电话，立刻将钱汇过去，结果被骗。而这中间是人的意识出了问题，所以才给某些不法分子以可乘之机，让他们能够从中获利。

现在我们再转到我们的互联网上面来。相信大部分网民都有个QQ号吧。在QQ上面你经常会遇到些什么呢？或许你不会遇到有信息告诉你，你中大奖了，这个谎话太容易被识破了。但很多人都会遇到一些信息后面跟着一个网址的，或是色诱，或是财诱，总之他们的目标就是让你能够点击他们给你的网址。而那个网址的背后就是一个木马或病毒，当你点击那个链接以后，如果你没有开杀毒软件或者是你的杀毒软件够垃圾，那么木马程序便会悄无声息的自动下载到你的电脑上面，然后伺机而动，盗走他想要的QQ密码或是其他网游的密码等信息。有的甚至会在你的电脑上面打开一个后门，这样以后它的主人便可以轻而易举的到你的电脑上面来观光了。恐怖吧？通过QQ除了发送一些QQ尾巴外，他还可以直接发送木马或是病毒文件如果你接收了就等着中招吧。还有网页上面的一些信息，让你下载什么什么东西之类的，我想这些很多人都经历过吧。漠视它的存在就是了，千万不要点击。

然而事实并不乐观。还是有不少网民禁不住诱惑，总是想看看图片、视频或是链接背后有什么诱人的东西。所以呢，我们应该提高自己的安全意识，不为诱惑所动容，只点自己所需要的。网络安全从我做起，如果每个人都能够做到，那么诱人的东西将不再诱人，网络安全，也将取得很大的进步。所以说，提高人的安全意识才是迫在眉睫。

写了这么多东西，都快不知道自己在说些什么了，也不知道自己有没有把自己的观点表达清楚，最后再总结一些吧。关于网络安全的建设就像软件工程中做一个软件一样，准备阶段和维护阶段用的时间最长，也是最不起眼的重要角色，而普遍认为的重中之重的coding部分只是微小的一小部分。因此，关于网络安全，我们应该主要思想花在准备和维护上。在准备方面，我们需要去设计和构建一个尽可能安全的网络体系结构。而在维护方面，我们应该对人这一个重要因素进行管理，提高人的安全意识，把由人而引起的安全问题降到最低。

网络安全，从我做起。构建安全的网络体系结构，提高自身的安全意识。

PS ：大半夜写的，不知道有没有错误，没有进行校对，有问题看到的说出来！！^_^