误区一:认为系统中安装了杀毒软件就应该很安全了
如果我试着问几个计算机网络用户使用什么方法来防范木马病毒,他们肯定会毫不犹豫地回答就是使用杀毒软件。我还经常听到人们在私下谈论自己使用的是什么类型的杀毒软件,以及它们杀毒的功效等,从他们说话的口气中就可以猜出他们对杀毒软件有多么的信任。可是,杀毒软件就真如人们所期盼的这样能防范所有的已知和未知木马病毒吗?
目前,通过特征码查杀木马仍然是最快和最有效的查杀方式,一直被所有的杀毒软件所采用。利用木马的特征码来查杀它们,主要是利用木马程序中的一段或几段代码来作为表明它身份的特征码,或者通过将木马程序执行后,驻留在系统内存中的某些特征来作为表明它身份的特征码。从特征码的提取方式我们就可以知道要想查杀木马,就必先获得它们的相关特征码,而这必需在木马暴发后才能得到。因此,利用特征码查杀木马,只能对一些已经出现了的木马有效。
可是,现在大部分的木马,通过修改其编码和执行方式,对其进行加密和加壳,以便能躲过杀毒软件通过特征码方式的查杀,由此,杀毒软件开始使用一种叫作启发式杀毒的技术来应对不断出现的新木马。启发式杀毒分为静态和动态两种方式,其中动态方式能预先构造一个虚拟环境让可疑的程序运行,通过分析其行为特征,一旦发现可疑行为就被禁止。这种方式不依赖木马的特征码,对未知的木马有一定的防范效果,但是,它仍然存在许多问题,例如漏报和误报,以及会牺牲一部分系统性能作为代价,也就说启发式杀毒也不可能完全防范未知的木马病毒。
现在,一些主流的杀毒软件厂商提出了“云安全”的查杀技术,通过了解其原理,主要是通过一个客户端在用户系统中运行,监控用户系统是否感染了木马,如果检测到不正常活动,就会将这些内容提交给杀毒软件的服务器端,然后杀毒软件服务器端就会迅速对这些内容进行分析,提取木马的特征码,几分钟后就可以将特征码返回客户端进行查杀。云安全虽然解决了用户手工更新病毒库的方式,并减轻了客户端的计算量,但是,这种方式需要用户已经连接到了因特网,另外,它的杀毒处理仍然会有一段时间的延迟,而且让人怀疑云安全是否会泄漏用户的隐私,这样就有可能造成用户的主机只是变成了杀毒软件提供商的病毒库来源,而真正起到的防病毒作用却收效甚微。
从这里我们可以看出,杀毒软件到目前为止是不可能防范所有的未知木马的。而且,一些利用木马进行攻击的攻击者还会利用杀毒软件来麻痹用户,例如当木马在目标系统中运行后,只破坏杀毒软件的查杀功能,而不停止它们的运行,让用户认为杀毒软件仍在保护系统,这样,当用户发现时,一切都已经晚了。
因此,我们不能将保护系统安全的任务全部交给杀毒软件,还要对系统进行其它方面的加固,例如停止不需要的服务,提高用户权限管理,以及加强对自己网络操作行为的管理,不去不安全的网站浏览,不打开垃圾邮件,不打开QQ等即时聊天软件发过来的文件或图片,使用安全的软件等。
误导之二:过分强调技术
现在,我们在讨论计算机网络安全时,总是提出使用什么样的安全技术和安全设备来应对,对人的管理和安全管理总是不太重视。这种只强调安全防范技术的安全防范理论,在整个计算机网络安全防范过程中是不可取的。
这是由于计算机网络安全防范不是某种技术和某个产品就能解决问题的,它是人、技术和管理三者相互结合的一个持续不断的系统过程,它存在于整个系统的生命周期当中。如果只强调安全防范技术的使用,而忽略对人的控制和对安全的管理,那么,就算你使用的是最新安全技术,或者使用的安全设备的功能多么强大,攻击者仍然可以通过其它的方式,例如通过社会工程攻击,来进入我们的网络和系统。因此,只强调安全防范技术是不可取的安全防范理念。
我们应当在计算机网络安全防范过程中,使用安全技术来防范来自网络的各种安全威胁,通过加强对人的管理和培训来减少来由人带来的安全风险,以及通过制定各种管理措施来规范安全防范处理过程和明确各种责任。
误导三:安全威胁主要来自网络,以及安全事件是由系统或软件的漏洞引起的
系统和软件存在漏洞能引起攻击事件不假,但是,如果认为安全威胁只来自互联网,以及认为安全风险都是由系统或软件存在漏洞引起的,那就会让整个安全防范工作偏离真正能解决安全问题的方向。
试想一下,现在在大部分的计算机系统都进行了相应的安全防范工作,例如安装了防火墙或IDS/IPS。如果一个来自网络的攻击者,要想从网络的另一端攻击这些系统,就必需完成一连串的收集信息、侦察目标,以及实施攻击等工作,这样得花费多少的时间才有可能达到攻击的目的,有时甚至花了九牛二虎之力,仍然是竹篮打水一场空。这就是说,要想从网络的另一端攻击一台实施了安全措施的系统并不是一件容易的事情。那些在网上大吹几十秒能攻破系统的说法是不可信的,除非,你将每次拨号得到的IP地址直接公布出去,将操作系统按默认方式安装后直接连接到网络中,且不做任何安全措施,这样才有可能轻易运行进入这样的系统,但关键是现在还有多少这样的系统存在。因此,如果攻击者能够通过其它更加容易的方式来达到与网络攻击相同的目的,例如社会工程攻击,网络钓鱼,那又何必每次都利用系统或应用程序漏洞来进行呢?
其实,现在企业最大的安全威胁是来自企业内部,例如没有实施严格的员工离职管理;在企业内部允许滥用可移动存储设备;对企业内部服务器的访问不进行严格的访问控制;对无线接入设备不加控制和管理;以及不限制员工的不正当网络操作行为,例如上网看色情视频和图片,下载盗版软件、MP3和MP4等,都有可能企业正常业务的中断和机密数据的泄漏。
从上述这此方面就可以得出,要想保护企业网络资产的安全,仅仅防范来自网络的安全威胁是不够的,还必需同时加强对企业内部的安全防范和管理。
误导四:加密的数据在网络中传输时不会被截取和破译
相信绝大多数用户对此是深信不疑的,可是,现在的事实恰恰与此相反的,加密后的数据,一样可以被截取和破译。
攻击者是否能得到在网络中传输的经过加密了的机密数据,关键只是在于它使用的是什么类型的网络嗅探技术。如果攻击者使用的是像Ettcap之类的网络嗅探软件,那么,只要攻击者能够在某个局域网环境中安装了这类软件,那么,一些通过SSL加密了的数据仍然可以被他截获和解码。
当然,嗅探软件解密的好与坏主要与数据在加密时所使用的加密算法的加密强度也有很大的关系,使用的加密算法越强,解码就越难,数据也就越安全。我在这里说加密的数据也不安全,并不是说我们不能应用加密来保护数据的安全,应用加密仍然是保护数据安全的主要方法之一。这样说的原因只是在提醒大家,在应用数据加密的同时,还应当使用其它的一些安全防范手段,来确保网络中不会出现在上述所示的网络嗅探器,尤其是无线网络,如果我们没有将它们的安全防范工作做得足够好,哪些通过有线或无线网络传输的加密了的数据仍然会被攻击者获取和解密。
误导五:虚拟机很安全
虚拟机在某种意义上为我们的系统安全提供了一种新的选择,我们可以使用它来打造冗余的系统,提高企业的业务连续性水平,同时,又能降低企业的IT总体拥有成本。但是,虚拟机本身并不如我们想像的那样安全,它仍然会给我们带来新的安全风险,这些安全风险包括:
1.虚拟机软件本身存在安全风险虚拟机软件也是一个由代码组成的程序,与所有的程序一样,其代码中肯定会存在某些编码方面的漏洞,当这些漏洞被黑客发现后,就会给存在这些漏洞的虚拟机带来被攻击的安全风险。例如,处于虚拟机系统与物理主机硬件驱动程序之间的虚拟机管理控制层(就是通常所说的hypervisor),现在就已经有安全专家编写了与它具有相同功能的rootkit,它能进入系统管理层,处于一个受保护的内存段,让操作系统不能发现和访问,它们能分析所有虚拟机的IO行为,并能对虚拟机的内存段进行分析,如果还能跟一些键盘击键程序和网络工具相配合,就可以成为一个威力强大的木马程序,这样,所有的虚拟机都可以被黑客控制。
2.物理主机存在的安全隐患可能会给其上运行的所有虚拟机带来安全风险
物理主机作为虚拟机的承载主体,它的安全性尤其重要。现在,随着计算机硬件性能的不断提高,以及其价格的不断跳水,一台物理主机很容易就能满足在其上运行多台虚拟机的要求。但是,这种将所有鸡蛋都放到一个篮子中的做法,很容易就可以造成服务器单点失败的严重安全事故。虚拟机的这个方面与安全策略中要保证系统的稳定性和持续性是相违背的。
除了这两个方面的安全隐患外,虚拟机与物理主机之间,虚拟机与虚拟机之间的通信同样也存在不同的安全风险。如果我们在应用虚拟机的过程中,不能很好地处理这些安全风险,那么,虚拟机带给我们的可能是一次严重的计算机安全事件。
误导六:无线网络关闭了SSID广播,进行MAC地址过滤后就已经很安全
现在,一些有关无线网络的安全建议,大多都是告诉用户通过关闭无线网络的SSID广播,以及使用MAC地址过滤和加密来保障无线网络的安全。实际上,就算我们按这种方法做了,无线网络安全仍然是没有保障的。
就目前来说,攻击者可以使用NetStumbler和Kismet这样的软件来发现关闭了SSID的无线网络,并且,可以通过Aircrack这样的软件来破解无线网络的密码,这样,虽然连接要花费一定的时间,但是,连入通过这些安全手段防范的无线网络还是有可能的。
因此,我们在使用这些无线安全防范措施的同时,还应对使用无线网络访问控制,或其它的的安全手段,例如在无线网络中加入VPN技术,来进一步提高无线网络的安全性能。
通过对上面所述的这六个在安全防范方面的认识误区的了解,我们应当明白了保障网络和系统的安全,并不是某种技术和设备就可以达到的,也不可能做到绝对的安全,我们只有结合多种安全防范方法,来构建一个立体化深层次的安全防范体系,才有可能将来自企业内部和外部的安全威胁带来的风险降低到最低水平。