再聊网络安全之一

安全无小事,由安全引起的问题往往都损失巨大,谈到网络安全,往往人人自危,在网络上更是如此,安全隐患无处不在,稍不留意,就可能被钻了空子,造成重大损失和严重后果.

网络安全的重点是防御,在我的另一篇博文中已经进行了阐明,要有安全意识.打过篮球的同学都明白,一个会打球的同学,除了自身球技过得去之外,更重要的是要有配合意识,不管是在进攻端还是在防守端,配合意识都非常重要,这个意识被统称为篮球意识.具有篮球意识的同学对防守和进攻都有独到的认识和策略,这些都来源于实战.实践是检验真理的唯一标准.那么网络攻防呢,是不是一样的道理!

做到更好的网络防御,有针对性的防御,有效率的防御.需要了解攻击端常用的方法,这也是孙子兵法的要义之一,要知己知彼.从目前的网络安全领域看,除了一些经常遭受攻击的开展了互联网业务的公司,私人网络也是被攻击的对象之一,网络上肉鸡之多骇人听闻.这个情况说明网络攻击行为的规模和水平正在逐渐壮大和提高.依赖互联网提供服务的项目无不面临日益严峻的网络攻击的挑战.

这是网络危机,但也带来了很多机遇,对互联网从业人员的安全素养有了更高的要求,也诞生了一些新的职业.有攻必有防,当攻击呈现更高的攻击水平和职业化发展趋势后,防守端也一定会被动的提高防御的水平和职业化程度.一个黑一个白,其实无论黑白,都是一种技术手段和技术博弈,根本是利益的驱使,没有买卖就没有伤害,也同样适用于互联网,但互联网有其特殊性,交换是互联网的立身之本,因此,互联网也是一个利益交换体.这个系统本身存在和人为产生的缺陷和漏洞会让一盘盘涂满蜂蜜的蛋糕掉落在野外,吸引着无数昆虫和动物赶来分食.然而,这些缺陷和漏洞只要存在,就会不断掉落这些蛋糕.要想阻止继续掉落蛋糕,一个是修复所有的缺陷和漏洞,一个是避免让蛋糕掉入野外.

修复所有的技术上的缺陷和漏洞才能从根本上解决技术上的问题,这些问题其实在最初已经存在.现在做的安全工作,还的是互联网安全技术没有跟上互联网发展所带来的技术欠债,最初的网络通讯大多数都是明文传输的,我们无法保证和正在进行的通讯的两端和通讯网络上是否存在监听.后来，这个安全隐患带来的问题越来越多，普遍使用的http协议被https协议替换，在网络上传输的数据越来越多的采用加密后的密文进行传输，这给监听和篡改数据带来了很大困难，监听和篡改网络传输数据的技术门槛提高了。但安全是相对的，没有永远的安全，也没有永远有效的攻击技术，随着攻防两端的技术水平不断变化，既有的安全措施可能在未来更高水平的技术攻击下非常脆弱。

还有在网络攻防中容易被忽略的人为缺陷和漏洞，这些缺陷和漏洞与技术设计本身没有直接关系，是一些人为问题。在黑客领域鼎鼎大名的社会工程学应用技术，利用的往往是这些人为问题。安全意识和安全技术缺一不可，两者的重要性不分伯仲，相辅相成。

我相信，网络上时刻都在上演的攻防大战会越来越精彩，这种攻防博弈带来的精神快感和实实在在的物质收益会吸引无数的人参与其中，成为网络攻防大战的参与者。和平是我们所期待的，但和平不是靠祈求可以得来的。网络攻防也同样，只有更强大的盾和反击才是击溃恶意攻击的最有效手段。

这世界哪有什么岁月静好，那是因为有人在负重前行。