网络安全的本质涵盖多个方面,包括漏洞、对抗、信任、风险管理、人的意识、成本和管理。但核心可归纳为对数据的CIA(机密性、完整性和可用性)的防护能力和风险管理。安全不仅是技术问题,也是意识、成本和管理的结合,其中,风险管理最为接近本质,因为它涉及到对业务价值与风险损失的权衡。安全意识的培养和管理措施的实施同样重要,而安全成本的投入与攻击成本相比往往更高。最后,理解并保护好数据的机密性、完整性和可用性是网络安全的核心任务。
随着国家的重视,法律制度的出台,最近几年国内网络安全特别火,每年各地都会举行各种网络安全大会,甚至国家都设立“中国国家网络安全宣传周”,为了“共建网络安全,共享网络文明”而开展的主题活动,于每年9月第三周在全国各省区市统一举行。那网络安全的本质到底是什么呢?相信这个在很多人眼里是不一样的。有人说安全是漏洞;有人说安全是对抗;有人说安全是信任;有人说安全是风险;有人说安全是人的安全是意识;有人说安全是成本;有人说安全是管理等等。
那到底什么是网络安全呢?从字面看网络安全分为两词,一个是网络,一个是安全。在汉语词典中,网络特指由电子元件组成的电路系统。安全是:没有危险;不受威胁;不出事故。在“网络安全法”中:网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,简称就是信息加工系统。下面我们来逐步分析市场上主流的观点。
一、安全是漏洞
有人提出网络安全的本质是漏洞,在很多安全研究人员眼里安全就是漏洞。那什么是漏洞呢?漏洞主要只指安全方面的问题,具体是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。原因可以是bug,也可能设计本意如此。比如勒索病毒利用的SMB漏洞,就是软件功能实现上存在错误,导致勒索病 毒可以通过445端口感染局域网的windows主机,原因就是Bug;比如很多软件有后门,这些后门就是设计的本意,如果这些后门用在合法的事情上,比如远程排错,这个就没有问题,所以这个后门是不是问题取决于使用者的主观因素。抛开主观因素,总体上来说,漏洞是Bug的一种,也就是说,你可以把漏洞称作Bug,但你不能把Bug称作漏洞。所以,很多做开发人眼中的漏洞就是bug,解决bug问题就是修改bug,解决漏洞问题就是打补丁,补丁的本质就是修改bug。
安全是漏洞观点就说如果所有的产品没有漏洞或者有漏洞我及时修复了,就不会有安全问题, 解决了漏洞就解决了安全问题。所以这也是很多公司频繁做渗透测试,做安全服务的原因。甚至有很多公司出台有漏洞不让产品上架的制度,也不管这个漏洞的重要程度,是否能利用,是否有条件利用等。但很不幸的是,漏洞每天都在产生。根据CVE/CNNVD公开漏洞库显示,目前平均每个月有10000个漏洞,每天平均就有300个,所以漏洞几乎是消灭不完的。但这么多的漏洞怎么处理呢?对漏洞的判断,一个最重要的原则就是是否有公开的PoC代码样本。有无PoC样本这一点太重要了,能挖漏洞的人不多,能写EXP的人也不多,大部分人是拿来主义和修正主义,如果一个漏洞找了几天都没有看到任何的PoC在互联网上公布,正常情况下大概率不会有太大的问题,要优先解决有PoC的漏洞。
虽然很多安全问题和漏洞有关系,但也有些安全问题和漏洞没有太大的关系,比如在很多公司,有合法的人利用合法权限做了非法的事情这个就不是漏洞问题。这个就是人的问题,或者说是管理的问题。所以安全就是漏洞是不全面的,漏洞只是安全的一个层面。
二、安全是对抗
有人提出网络安全的本质是对抗,对抗的本质是攻防两端能力的较量。在全球互联的时代,技术及环境和以前发生了根本的改变。任何一个放在互联网上的产品或者系统,都开放在全球所有人面前。这些产品或系统的任何一个漏洞、弱口令,不合理配置,管理员/用户的一个不当使用行为或者疏忽等,都可能被某个角落里的攻击者所利用,用于窃取隐私、盗窃金钱,或者加密数据。比如这几年非常猖獗的勒索病毒。
现在的很多法律是禁止做一些未授权的安全行为,比如扫描渗透等,但这些法律法规大多数只对本国生效,在全球互联网的时代根本没有办法限制其他地方的攻击者。通过封闭研发的方式,比如自己定义一些私有协议,希望攻击者不知道系统是怎么实现的从而无法攻击,同样是十分脆弱和危险的,因为对这种私有的效果自己是不清楚的,从而可能导致自己觉得安全实际早已被人掌控的假象。
只要系统投入使用,攻击者就可以研究并找到攻击方法,而封闭研发欠缺真正的攻防考验,往往更加脆弱。“是骡子是马拉出来遛遛”,这是网络安全能力检验的一条基本思路。追求实效
最低0.47元/天 解锁文章
扫一扫
406
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
