文章目录
由业务应用研发转岗到安全系统建设已经有两年的时间,期间通过各种培训、交流及自主学习,我对网络安全有了十分深刻的认识,深切的感受到网络安全的重要性。同时也意识到,大部分应用研发和运维人员,对网络安全的认识十分不足,往往存在以下认知误区:
误区1:我们的应用程序通过了安全扫描和渗透测试后没有漏洞了
大部分的应用开发人员都会认为我们的应用程序通过了各种安全扫描工具的扫描和专业人员的渗透测试,那么程序就没有漏洞了,这是一种错误的认识。
安全扫描和渗透测试十分依赖工具和人员素质,这两个因素直接影响安全扫描和渗透测试的质量。即使最优秀的安全工程师,也无法确保可以发现、修复程序所有的缺陷。事实上漏洞本身是客观存在且无法彻底清除的。可以说从计算机诞生开始,缺陷就存在于IT系统的各个环节,而且一直存在,只不过在它被人发现、利用之前,我们不知道而已。比如2014年4月爆发的“心脏滴血”安全事件,引发这个事件的程序缺陷,在事件爆发前两年就已经存在了。由此,我们可以认为,漏洞是不可避免的,网络攻击是必然的。
误区2:部署在内网且被防火墙及各种安全防护系统保护的应用是安全的
正如“漏洞是不可避免的”,事实上并没有绝对的安全。缺陷是互联网的基因,一直存在于IT系统的各个环节,我们无法明确知道哪个缺陷会在什么时候被利用。而且,除了程序上的未知缺陷,没有人可以保证所有的已知漏洞都已经被修复,也没有人可以保证内部人员完全可靠,甚至没有人可以保证没有攻击者潜伏在我们内部。攻击往往发生在被我们忽视的地方,理论上所有的防御手段都会被突破,再多的网络安全防御措施,都无法完全保证我们不被攻击和入侵。网络安全防御的重大意义在于延缓攻击和及时发现处置攻击。
误区3:网络攻击的危害主要是经济损失
很多人对于网络攻击的危害认识并不充分,仍然停留在经济损失,数据损失等层面,其实不然。
2015年以前我们看到的网络安全事件都是和个人用户、获取不法利益相关,多数以小额财产损失为主,后果尚可接受。比如:2007年的“熊猫烧香”、2014年的“心脏滴血” 影响的基本都是电脑和网站,最严重的基本也就是电子钱包被盗。
但是随着信息化的普及和深入,物联网、大数据、云计算、人工智能等技术的不断发展和应用,网络空间和物理世界的界限已经逐渐模糊。网络安全已经和国家安全、社会稳定、人民的衣食住行融为一体。网络攻击可以导致社会瘫痪、国家动荡,对人民生活、社会财产、国家安全等造成难以估量的损失。未来,一次网络攻击产生的影响和效果可能不亚于一场战争。
正因如此,全球已有120多个国家开始建设自己的网络部队,网络军备竞赛已经向全球蔓延。不远的未来网络战很可能会是国家竞争的主要手段。而威胁情报、漏洞、网络攻击工具等都是各国争相储备网络战武器。
网络安全已经是人民生产生活和社会发展的重要基础,没有网络安全就没有国家安全!
误区4:网络安全是安全部门考虑的事和应用研发人员关系不大
网络安全为人民、网络安全靠人民。网络安全人人有责,每个人都是社会、企业中的一员,也是网络空间的一个节点,网络安全和我们每个人息息相关。
人一直都是网络安全防御体系中最大的弱点,俗话说“不怕神一样的对手,就怕猪一样的队友”。 社会工程学作为网络攻击的重要手段屡屡得手。我们的一时疏忽大意,如:使用简单密码、泄露关键信息、点击不明链接等,都会让我们变成攻击者的跳板和帮凶。
信息系统的建设和维护者,更是责任重大,我们的安全意识和职业技术水平直接关乎系统的建设质量和安全水平。不小心留下的程序缺陷、未及时修复的安全漏洞很可能变成攻击者手中的“武器”。
网络安全遵循木桶原理,体系中最薄弱的点,决定了整个体系的安全水平。只有我们每个人都提高安全意识和相关职业技能、团结协作才能有效保障网络安全。
结语
新时代,网络安全已经成为国家战略的重要组成部分,应用研发和运维人员作为网络安全防御体系的基础和支撑部分,发挥着十分重要的作用。只有正确认识网络安全,切实提高网络安全意识和专业技能,才能为新时代网络安全体系建设提供更有力支撑。愿与君同勉!
1069
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
