带你走出网络安全的误区
来源:51CTO 更新时间:2012-04-14

   网络安全误区重重

  实际上,很多机器都因为自己很糟糕的在线安全设置无意间在机器和系统中留下了“后门”,也就相当于给黑客打开了大门。你上网的时间越多,被别人通过网络侵入机器的可能性也就越大。

  如果黑客们在你的设置中发现了安全方面的漏洞,就会对你发起攻击,可能是一般的骚扰,如降低你的速度或者让你的机器崩溃;也可能更严重,例如打开你的机密文件、偷窃口令和信用卡密码。但是很多人并不以为然,因为他们在网络安全方面还存在很多误区:

  虚拟机很安全的误区

  虚拟机在某种意义上为我们的系统安全提供了一种新的选择,我们可以使用它来打造冗余的系统,提高企业的业务连续性水平,同时,又能降低企业的IT总体拥有成本。但是,虚拟机本身并不如我们想像的那样安全,它仍然会给我们带来新的安全风险,这些安全风险包括:

  1.虚拟机软件本身存在安全风险虚拟机软件也是一个由代码组成的程序

  与所有的程序一样,其代码中肯定会存在某些编码方面的漏洞,当这些漏洞被黑客发现后,就会给存在这些漏洞的虚拟机带来被攻击的安全风险。

  例如,处于虚拟机系统与物理主机硬件驱动程序之间的虚拟机管理控制层(就是通常所说的hypervisor),现在就已经有安全专家编写了与它具有相同功能的rootkit,它能进入系统管理层,处于一个受保护的内存段,让操作系统不能发现和访问,它们能分析所有虚拟机的IO行为,并能对虚拟机的内存段进行分析,如果还能跟一些键盘击键程序和网络工具相配合,就可以成为一个威力强大的木马程序,这样,所有的虚拟机都可以被黑客控制。

  2.物理主机存在的安全隐患可能会给其上运行的所有虚拟机带来安全风险

  物理主机作为虚拟机的承载主体,它的安全性尤其重要。现在,随着计算机硬件性能的不断提高,以及其价格的不断跳水,一台物理主机很容易就能满足在其上运行多台虚拟机的要求。但是,这种将所有鸡蛋都放到一个篮子中的做法,很容易就可以造成服务器单点失败的严重安全事故。虚拟机的这个方面与安全策略中要保证系统的稳定性和持续性是相违背的。

  除了这两个方面的安全隐患外,虚拟机与物理主机之间,虚拟机与虚拟机之间的通信同样也存在不同的安全风险。如果我们在应用虚拟机的过程中,不能很好地处理这些安全风险,那么,虚拟机带给我们的可能是一次严重的计算机安全事件。

  无线网络关闭了SSID广播,进行MAC地址过滤后就已经很安全的误区

  现在,一些有关无线网络的安全建议,大多都是告诉用户通过关闭无线网络的SSID广播,以及使用MAC地址过滤和加密来保障无线网络的安全。实际上,就算我们按这种方法做了,无线网络安全仍然是没有保障的。

  就目前来说,攻击者可以使用Net Stumbler和Kismet这样的软件来发现关闭了SSID的无线网络,并且,可以通过Aircrack这样的软件来破解无线网络的密码,这样,虽然连接要花费一定的时间,但是,连入通过这些安全手段防范的无线网络还是有可能的。

  因此,我们在使用这些无线安全防范措施的同时,还应对使用无线网络访问控制,或其它的的安全手段,例如在无线网络中加入VPN技术,来进一步提高无线网络的安全性能。

  安全防范方面的认识误区中,我们应当明白了保障网络和系统的安全,并不是某种技术和设备就可以达到的,也不可能做到绝对的安全,我们只有结合多种安全防范方法,来构建一个立体化深层次的安全防范体系,才有可能将来自企业内部和外部的安全威胁带来的风险降低到最低水平。

  网络安全误区的更多分析请读者阅读:

网络安全中过分强调技术的误区

  现在,我们在讨论计算机网络安全时,总是提出使用什么样的安全技术和安全设备来应对,对人的管理和安全管理总是不太重视。这种只强调安全防范技术的安全防范理论,在整个计算机网络安全防范过程中是不可取的。

  这是由于计算机网络安全防范不是某种技术和某个产品就能解决问题的,它是人、技术和管理三者相互结合的一个持续不断的系统过程,它存在于整个系统的生命周期当中。如果只强调安全防范技术的使用,而忽略对人的控制和对安全的管理,那么,就算你使用的是最新安全技术,或者使用的安全设备的功能多么强大,攻击者仍然可以通过其它的方式,例如通过社会工程攻击,来进入我们的网络和系统。因此,只强调安全防范技术是不可取的安全防范理念。

  我们应当在计算机网络安全防范过程中,使用安全技术来防范来自网络的各种安全威胁,通过加强对人的管理和培训来减少来由人带来的安全风险,以及通过制定各种管理措施来规范安全防范处理过程和明确各种责任。

  安全威胁主要来自网络,以及安全事件是由系统或软件的漏洞引起的误区

  系统和软件存在漏洞能引起攻击事件不假,但是,如果认为安全威胁只来自互联网,以及认为安全风险都是由系统或软件存在漏洞引起的,那就会让整个安全防范工作偏离真正能解决安全问题的方向。

  试想一下,现在在大部分的计算机系统都进行了相应的安全防范工作,例如安装了防火墙或IDS/IPS。如果一个来自网络的攻击者,要想从网络的另一端攻击这些系统,就必需完成一连串的收集信息、侦察目标,以及实施攻击等工作,这样得花费多少的时间才有可能达到攻击的目的,有时甚至花了九牛二虎之力,仍然是竹篮打水一场空。这就是说,要想从网络的另一端攻击一台实施了安全措施的系统并不是一件容易的事情。

  那些在网上大吹几十秒能攻破系统的说法是不可信的,除非,你将每次拨号得到的IP地址直接公布出去,将操作系统按默认方式安装后直接连接到网络中,且不做任何安全措施,这样才有可能轻易运行进入这样的系统,但关键是现在还有多少这样的系统存在。

  因此,如果攻击者能够通过其它更加容易的方式来达到与网络攻击相同的目的,例如社会工程攻击,网络钓鱼,那又何必每次都利用系统或应用程序漏洞来进行呢?其实,现在企业最大的安全威胁是来自企业内部,例如:

  没有实施严格的员工离职管理;

  在企业内部允许滥用可移动存储设备;

  对企业内部服务器的访问不进行严格的访问控制;

  对无线接入设备不加控制和管理;

  不限制员工的不正当网络操作行为:上网看色情视频和图片,下载盗版软件、MP3和MP4;

  这些威胁都有可能导致企业正常业务的中断和机密数据的泄漏。

  从上述这此方面就可以得出,要想保护企业网络资产的安全,仅仅防范来自网络的安全威胁是不够的,还必需同时加强对企业内部的安全防范和管理。

  加密的数据在网络中传输时不会被截取和破译的误区

  相信绝大多数用户对此是深信不疑的,可是,现在的事实恰恰与此相反的,加密后的数据,一样可以被截取和破译。

  攻击者是否能得到在网络中传输的经过加密了的机密数据,关键只是在于它使用的是什么类型的网络嗅探技术。如果攻击者使用的是像Ettcap之类的网络嗅探软件,那么,只要攻击者能够在某个局域网环境中安装了这类软件,那么,一些通过SSL加密了的数据仍然可以被他截获和解码。

  当然,嗅探软件解密的好与坏主要与数据在加密时所使用的加密算法的加密强度也有很大的关系,使用的加密算法越强,解码就越难,数据也就越安全。我在这里说加密的数据也不安全,并不是说我们不能应用加密来保护数据的安全,应用加密仍然是保护数据安全的主要方法之一。

  这样说的原因只是在提醒大家,在应用数据加密的同时,还应当使用其它的一些安全防范手段,来确保网络中不会出现在上述所示的网络嗅探器,尤其是无线网络,如果我们没有将它们的安全防范工作做得足够好,哪些通过有线或无线网络传输的加密了的数据仍然会被攻击者获取和解密。

  网络安全误区的更多分析请读者阅读:

 为何其他网络连接,自认为安全的误区

  对,连接INTERNET是要上网的,但是可以上网的独立机器,与一台商业网络中心的机器相比,所使用的网络协议仍然有一些甚至全部相同,而一台商业网络中心的机器还可能安装了公共防火墙或者有专门负责安全的人员。与此形成强烈对比的是一些用于家庭、办公室、小公司的个人用机确是门户大开,完全没有防范黑客的能力。这种威胁是很现实的:如果你使用了cablemodem或是DSL连接上网,而且在网上的时间很长,一天里也许就会有2-4个卑鄙的黑客企图攻击你。

  使用拨号上网,自认为安全的误区

  每次当你开始拨号上网,你使用的IP地址都会不同,也就是动态IP,所以相比静态IP的用户而言。黑客是很难找到你,但是有一些黑客软件已经发展到可以在1个小时以内逐个扫描上万个IP地址的能力,所以只要黑客使用了这些工具,即使是拨号上网的用户也可能受到攻击。

  使用了防病毒软件,自认为安全的误区

  一个好的病毒软件确实是在线安全不可或缺的部分,但是也是很小的一个部分。它能够通过检测病毒和类似的问题保护你,但是它们对防范黑客、对带有恶意的“合法”程序却无能为力。

  使用了防火墙,自认为安全的误区

  防火墙是很有用处,但是如果你的机器总是采用一些不够安全的方式接收和发送数据,而你又仅仅依靠一些附加的程序提供安全,这就等于把所有的蛋放在一个篮子里,一旦防火墙软件出现bug或者有漏洞,那你很危险了。

  另外,防火墙对于病毒一类的软件完全没有防范能力,尤其是那些带有恶意的悄悄地向你的机器发送或提取数据的程序。最后,一些防火墙软件还可能帮倒忙,因为它们的厂商在广告中把产品的特点介绍出去,可能招致一些专门针对它们弱点的攻击。

  当我在帮朋友处理计算机安全问题的时候,总会遇到他们这样问我:我的系统上已经安装了防火墙和杀毒软件,而且都是正版的,并且天天升级病毒库,为什么还会感染木马呢?

  就目前来说,不只是普通网络用户存在这样的问题,甚至一些中小企业用户也存在同样的困惑,明明已经按某种方式实施了安全防范策略,可还是会不断出现系统或网络被攻击而引起业务中断,以及企业内部的机密数据由于入侵而引起泄漏等安全事件的发现。经过对已发生的各类安全事件进行分析,从中不难发现之所以会造成这样的局面,主要是我们在安全防范过程中还存在下列六个方面的误区。

  认为系统中安装了杀毒软件就应该很安全了的误区

  如果我试着问几个计算机网络用户使用什么方法来防范木马病毒,他们肯定会毫不犹豫地回答就是使用杀毒软件。我还经常听到人们在私下谈论自己使用的是什么类型的杀毒软件,以及它们杀毒的功效等,从他们说话的口气中就可以猜出他们对杀毒软件有多么的信任。可是,杀毒软件就真如人们所期盼的这样能防范所有的已知和未知木马病毒吗?

  目前,通过特征码查杀木马仍然是最快和最有效的查杀方式,一直被所有的杀毒软件所采用。利用木马的特征码来查杀它们,主要是利用木马程序中的一段或几段代码来作为表明它身份的特征码,或者通过将木马程序执行后,驻留在系统内存中的某些特征来作为表明它身份的特征码。

  从特征码的提取方式我们就可以知道要想查杀木马,就必先获得它们的相关特征码,而这必需在木马暴发后才能得到。因此,利用特征码查杀木马,只能对一些已经出现了的木马有效。

  可是,现在大部分的木马,通过修改其编码和执行方式,对其进行加密和加壳,以便能躲过杀毒软件通过特征码方式的查杀,由此,杀毒软件开始使用一种叫作启发式杀毒的技术来应对不断出现的新木马。

  启发式杀毒分为静态和动态两种方式,其中动态方式能预先构造一个虚拟环境让可疑的程序运行,通过分析其行为特征,一旦发现可疑行为就被禁止。这种方式不依赖木马的特征码,对未知的木马有一定的防范效果,但是,它仍然存在许多问题,例如漏报和误报,以及会牺牲一部分系统性能作为代价,也就说启发式杀毒也不可能完全防范未知的木马病毒。

  现在,一些主流的杀毒软件厂商提出了“云安全”的查杀技术,通过了解其原理,主要是通过一个客户端在用户系统中运行,监控用户系统是否感染了木马,如果检测到不正常活动,就会将这些内容提交给杀毒软件的服务器端,然后杀毒软件服务器端就会迅速对这些内容进行分析,提取木马的特征码,几分钟后就可以将特征码返回客户端进行查杀。

  云安全虽然解决了用户手工更新病毒库的方式,并减轻了客户端的计算量,但是,这种方式需要用户已经连接到了因特网,另外,它的杀毒处理仍然会有一段时间的延迟,而且让人怀疑云安全是否会泄漏用户的隐私,这样就有可能造成用户的主机只是变成了杀毒软件提供商的病毒库来源,而真正起到的防病毒作用却收效甚微。

  从这里我们可以看出,杀毒软件到目前为止是不可能防范所有的未知木马的。而且,一些利用木马进行攻击的攻击者还会利用杀毒软件来麻痹用户,例如当木马在目标系统中运行后,只破坏杀毒软件的查杀功能,而不停止它们的运行,让用户认为杀毒软件仍在保护系统,这样,当用户发现时,一切都已经晚了。

  因此,我们不能将保护系统安全的任务全部交给杀毒软件,还要对系统进行其它方面的加固,例如停止不需要的服务,提高用户权限管理,以及加强对自己网络操作行为的管理,不去不安全的网站浏览,不打开垃圾邮件,不打开QQ等即时聊天软件发过来的文件或图片,使用安全的软件等。