【51CTO.com 獨家特稿】當(dāng)我在幫朋友處理計算機(jī)安全問題的時候，總會遇到他們這樣問我：我的系統(tǒng)上已經(jīng)安裝了防火墻和殺毒軟件，而且都是正版的，并且天天升級病毒庫，為什么還會感染木馬呢？就目前來說，不只是普通網(wǎng)絡(luò)用戶存在這樣的問題，甚至一些中小企業(yè)用戶也存在同樣的困惑，明明已經(jīng)按某種方式實施了安全防范策略，可還是會不斷出現(xiàn)系統(tǒng)或網(wǎng)絡(luò)被攻擊而引起業(yè)務(wù)中斷，以及企業(yè)內(nèi)部的機(jī)密數(shù)據(jù)由于入侵而引起泄漏等安全事件的發(fā)現(xiàn)。經(jīng)過對已發(fā)生的各類安全事件進(jìn)行分析，從中不難發(fā)現(xiàn)之所以會造成這樣的局面，主要是我們在安全防范過程中還存在下列六個方面的誤區(qū)。

誤區(qū)一：認(rèn)為系統(tǒng)中安裝了殺毒軟件就應(yīng)該很安全了

如果我試著問幾個計算機(jī)網(wǎng)絡(luò)用戶使用什么方法來防范木馬病毒，他們肯定會毫不猶豫地回答就是使用殺毒軟件。我還經(jīng)常聽到人們在私下談?wù)撟约菏褂玫氖鞘裁搭愋偷臍⒍拒浖?，以及它們殺毒的功效等，從他們說話的口氣中就可以猜出他們對殺毒軟件有多么的信任?？墒牵瑲⒍拒浖驼嫒缛藗兯谂蔚倪@樣能防范所有的已知和未知木馬病毒嗎？

目前，通過特征碼查殺木馬仍然是最快和最有效的查殺方式，一直被所有的殺毒軟件所采用。利用木馬的特征碼來查殺它們，主要是利用木馬程序中的一段或幾段代碼來作為表明它身份的特征碼，或者通過將木馬程序執(zhí)行后，駐留在系統(tǒng)內(nèi)存中的某些特征來作為表明它身份的特征碼。從特征碼的提取方式我們就可以知道要想查殺木馬，就必先獲得它們的相關(guān)特征碼，而這必需在木馬暴發(fā)后才能得到。因此，利用特征碼查殺木馬，只能對一些已經(jīng)出現(xiàn)了的木馬有效。

可是，現(xiàn)在大部分的木馬，通過修改其編碼和執(zhí)行方式，對其進(jìn)行加密和加殼，以便能躲過殺毒軟件通過特征碼方式的查殺，由此，殺毒軟件開始使用一種叫作啟發(fā)式殺毒的技術(shù)來應(yīng)對不斷出現(xiàn)的新木馬。啟發(fā)式殺毒分為靜態(tài)和動態(tài)兩種方式，其中動態(tài)方式能預(yù)先構(gòu)造一個虛擬環(huán)境讓可疑的程序運(yùn)行，通過分析其行為特征，一旦發(fā)現(xiàn)可疑行為就被禁止。這種方式不依賴木馬的特征碼，對未知的木馬有一定的防范效果，但是，它仍然存在許多問題，例如漏報和誤報，以及會犧牲一部分系統(tǒng)性能作為代價，也就說啟發(fā)式殺毒也不可能完全防范未知的木馬病毒。

現(xiàn)在，一些主流的殺毒軟件廠商提出了“云安全”的查殺技術(shù)，通過了解其原理，主要是通過一個客戶端在用戶系統(tǒng)中運(yùn)行，監(jiān)控用戶系統(tǒng)是否感染了木馬，如果檢測到不正?；顒?，就會將這些內(nèi)容提交給殺毒軟件的服務(wù)器端，然后殺毒軟件服務(wù)器端就會迅速對這些內(nèi)容進(jìn)行分析，提取木馬的特征碼，幾分鐘后就可以將特征碼返回客戶端進(jìn)行查殺。云安全雖然解決了用戶手工更新病毒庫的方式，并減輕了客戶端的計算量，但是，這種方式需要用戶已經(jīng)連接到了因特網(wǎng)，另外，它的殺毒處理仍然會有一段時間的延遲，而且讓人懷疑云安全是否會泄漏用戶的隱私，這樣就有可能造成用戶的主機(jī)只是變成了殺毒軟件提供商的病毒庫來源，而真正起到的防病毒作用卻收效甚微。

從這里我們可以看出，殺毒軟件到目前為止是不可能防范所有的未知木馬的。而且，一些利用木馬進(jìn)行攻擊的攻擊者還會利用殺毒軟件來麻痹用戶，例如當(dāng)木馬在目標(biāo)系統(tǒng)中運(yùn)行后，只破壞殺毒軟件的查殺功能，而不停止它們的運(yùn)行，讓用戶認(rèn)為殺毒軟件仍在保護(hù)系統(tǒng)，這樣，當(dāng)用戶發(fā)現(xiàn)時，一切都已經(jīng)晚了。

因此，我們不能將保護(hù)系統(tǒng)安全的任務(wù)全部交給殺毒軟件，還要對系統(tǒng)進(jìn)行其它方面的加固，例如停止不需要的服務(wù)，提高用戶權(quán)限管理，以及加強(qiáng)對自己網(wǎng)絡(luò)操作行為的管理，不去不安全的網(wǎng)站瀏覽，不打開垃圾郵件，不打開QQ等即時聊天軟件發(fā)過來的文件或圖片，使用安全的軟件等。

誤導(dǎo)之二：過分強(qiáng)調(diào)技術(shù)

現(xiàn)在，我們在討論計算機(jī)網(wǎng)絡(luò)安全時，總是提出使用什么樣的安全技術(shù)和安全設(shè)備來應(yīng)對，對人的管理和安全管理總是不太重視。這種只強(qiáng)調(diào)安全防范技術(shù)的安全防范理論，在整個計算機(jī)網(wǎng)絡(luò)安全防范過程中是不可取的。

這是由于計算機(jī)網(wǎng)絡(luò)安全防范不是某種技術(shù)和某個產(chǎn)品就能解決問題的，它是人、技術(shù)和管理三者相互結(jié)合的一個持續(xù)不斷的系統(tǒng)過程，它存在于整個系統(tǒng)的生命周期當(dāng)中。如果只強(qiáng)調(diào)安全防范技術(shù)的使用，而忽略對人的控制和對安全的管理，那么，就算你使用的是最新安全技術(shù)，或者使用的安全設(shè)備的功能多么強(qiáng)大，攻擊者仍然可以通過其它的方式，例如通過社會工程攻擊，來進(jìn)入我們的網(wǎng)絡(luò)和系統(tǒng)。因此，只強(qiáng)調(diào)安全防范技術(shù)是不可取的安全防范理念。

我們應(yīng)當(dāng)在計算機(jī)網(wǎng)絡(luò)安全防范過程中，使用安全技術(shù)來防范來自網(wǎng)絡(luò)的各種安全威脅，通過加強(qiáng)對人的管理和培訓(xùn)來減少來由人帶來的安全風(fēng)險，以及通過制定各種管理措施來規(guī)范安全防范處理過程和明確各種責(zé)任。

誤導(dǎo)三：安全威脅主要來自網(wǎng)絡(luò)，以及安全事件是由系統(tǒng)或軟件的漏洞引起的

系統(tǒng)和軟件存在漏洞能引起攻擊事件不假，但是，如果認(rèn)為安全威脅只來自互聯(lián)網(wǎng)，以及認(rèn)為安全風(fēng)險都是由系統(tǒng)或軟件存在漏洞引起的，那就會讓整個安全防范工作偏離真正能解決安全問題的方向。

試想一下，現(xiàn)在在大部分的計算機(jī)系統(tǒng)都進(jìn)行了相應(yīng)的安全防范工作，例如安裝了防火墻或IDS/IPS。如果一個來自網(wǎng)絡(luò)的攻擊者，要想從網(wǎng)絡(luò)的另一端攻擊這些系統(tǒng)，就必需完成一連串的收集信息、偵察目標(biāo)，以及實施攻擊等工作，這樣得花費多少的時間才有可能達(dá)到攻擊的目的，有時甚至花了九牛二虎之力，仍然是竹籃打水一場空。這就是說，要想從網(wǎng)絡(luò)的另一端攻擊一臺實施了安全措施的系統(tǒng)并不是一件容易的事情。那些在網(wǎng)上大吹幾十秒能攻破系統(tǒng)的說法是不可信的，除非，你將每次撥號得到的IP地址直接公布出去，將操作系統(tǒng)按默認(rèn)方式安裝后直接連接到網(wǎng)絡(luò)中，且不做任何安全措施，這樣才有可能輕易運(yùn)行進(jìn)入這樣的系統(tǒng)，但關(guān)鍵是現(xiàn)在還有多少這樣的系統(tǒng)存在。因此，如果攻擊者能夠通過其它更加容易的方式來達(dá)到與網(wǎng)絡(luò)攻擊相同的目的，例如社會工程攻擊，網(wǎng)絡(luò)釣魚，那又何必每次都利用系統(tǒng)或應(yīng)用程序漏洞來進(jìn)行呢？

其實，現(xiàn)在企業(yè)最大的安全威脅是來自企業(yè)內(nèi)部，例如沒有實施嚴(yán)格的員工離職管理；在企業(yè)內(nèi)部允許濫用可移動存儲設(shè)備；對企業(yè)內(nèi)部服務(wù)器的訪問不進(jìn)行嚴(yán)格的訪問控制；對無線接入設(shè)備不加控制和管理；以及不限制員工的不正當(dāng)網(wǎng)絡(luò)操作行為，例如上網(wǎng)看色情視頻和圖片，下載盜版軟件、MP3和MP4等，都有可能企業(yè)正常業(yè)務(wù)的中斷和機(jī)密數(shù)據(jù)的泄漏。

從上述這此方面就可以得出，要想保護(hù)企業(yè)網(wǎng)絡(luò)資產(chǎn)的安全，僅僅防范來自網(wǎng)絡(luò)的安全威脅是不夠的，還必需同時加強(qiáng)對企業(yè)內(nèi)部的安全防范和管理。

誤導(dǎo)四：加密的數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時不會被截取和破譯

相信絕大多數(shù)用戶對此是深信不疑的，可是，現(xiàn)在的事實恰恰與此相反的，加密后的數(shù)據(jù)，一樣可以被截取和破譯。

攻擊者是否能得到在網(wǎng)絡(luò)中傳輸?shù)慕?jīng)過加密了的機(jī)密數(shù)據(jù)，關(guān)鍵只是在于它使用的是什么類型的網(wǎng)絡(luò)嗅探技術(shù)。如果攻擊者使用的是像Ettcap之類的網(wǎng)絡(luò)嗅探軟件，那么，只要攻擊者能夠在某個局域網(wǎng)環(huán)境中安裝了這類軟件，那么，一些通過SSL加密了的數(shù)據(jù)仍然可以被他截獲和解碼。

當(dāng)然，嗅探軟件解密的好與壞主要與數(shù)據(jù)在加密時所使用的加密算法的加密強(qiáng)度也有很大的關(guān)系，使用的加密算法越強(qiáng)，解碼就越難，數(shù)據(jù)也就越安全。我在這里說加密的數(shù)據(jù)也不安全，并不是說我們不能應(yīng)用加密來保護(hù)數(shù)據(jù)的安全，應(yīng)用加密仍然是保護(hù)數(shù)據(jù)安全的主要方法之一。這樣說的原因只是在提醒大家，在應(yīng)用數(shù)據(jù)加密的同時，還應(yīng)當(dāng)使用其它的一些安全防范手段，來確保網(wǎng)絡(luò)中不會出現(xiàn)在上述所示的網(wǎng)絡(luò)嗅探器，尤其是無線網(wǎng)絡(luò)，如果我們沒有將它們的安全防范工作做得足夠好，哪些通過有線或無線網(wǎng)絡(luò)傳輸?shù)募用芰说臄?shù)據(jù)仍然會被攻擊者獲取和解密。

誤導(dǎo)五：虛擬機(jī)很安全

虛擬機(jī)在某種意義上為我們的系統(tǒng)安全提供了一種新的選擇，我們可以使用它來打造冗余的系統(tǒng)，提高企業(yè)的業(yè)務(wù)連續(xù)性水平，同時，又能降低企業(yè)的IT總體擁有成本。但是，虛擬機(jī)本身并不如我們想像的那樣安全，它仍然會給我們帶來新的安全風(fēng)險，這些安全風(fēng)險包括：

1.虛擬機(jī)軟件本身存在安全風(fēng)險

虛擬機(jī)軟件也是一個由代碼組成的程序，與所有的程序一樣，其代碼中肯定會存在某些編碼方面的漏洞，當(dāng)這些漏洞被黑客發(fā)現(xiàn)后，就會給存在這些漏洞的虛擬機(jī)帶來被攻擊的安全風(fēng)險。例如，處于虛擬機(jī)系統(tǒng)與物理主機(jī)硬件驅(qū)動程序之間的虛擬機(jī)管理控制層（就是通常所說的hypervisor），現(xiàn)在就已經(jīng)有安全專家編寫了與它具有相同功能的rootkit，它能進(jìn)入系統(tǒng)管理層，處于一個受保護(hù)的內(nèi)存段，讓操作系統(tǒng)不能發(fā)現(xiàn)和訪問，它們能分析所有虛擬機(jī)的IO行為，并能對虛擬機(jī)的內(nèi)存段進(jìn)行分析，如果還能跟一些鍵盤擊鍵程序和網(wǎng)絡(luò)工具相配合，就可以成為一個威力強(qiáng)大的木馬程序，這樣，所有的虛擬機(jī)都可以被黑客控制。

2.物理主機(jī)存在的安全隱患可能會給其上運(yùn)行的所有虛擬機(jī)帶來安全風(fēng)險

物理主機(jī)作為虛擬機(jī)的承載主體，它的安全性尤其重要。現(xiàn)在，隨著計算機(jī)硬件性能的不斷提高，以及其價格的不斷跳水，一臺物理主機(jī)很容易就能滿足在其上運(yùn)行多臺虛擬機(jī)的要求。但是，這種將所有雞蛋都放到一個籃子中的做法，很容易就可以造成服務(wù)器單點失敗的嚴(yán)重安全事故。虛擬機(jī)的這個方面與安全策略中要保證系統(tǒng)的穩(wěn)定性和持續(xù)性是相違背的。

除了這兩個方面的安全隱患外，虛擬機(jī)與物理主機(jī)之間，虛擬機(jī)與虛擬機(jī)之間的通信同樣也存在不同的安全風(fēng)險。如果我們在應(yīng)用虛擬機(jī)的過程中，不能很好地處理這些安全風(fēng)險，那么，虛擬機(jī)帶給我們的可能是一次嚴(yán)重的計算機(jī)安全事件。

誤導(dǎo)六：無線網(wǎng)絡(luò)關(guān)閉了SSID廣播，進(jìn)行MAC地址過濾后就已經(jīng)很安全

現(xiàn)在，一些有關(guān)無線網(wǎng)絡(luò)的安全建議，大多都是告訴用戶通過關(guān)閉無線網(wǎng)絡(luò)的SSID廣播，以及使用MAC地址過濾和加密來保障無線網(wǎng)絡(luò)的安全。實際上，就算我們按這種方法做了，無線網(wǎng)絡(luò)安全仍然是沒有保障的。

就目前來說，攻擊者可以使用NetStumbler和Kismet這樣的軟件來發(fā)現(xiàn)關(guān)閉了SSID的無線網(wǎng)絡(luò)，并且，可以通過Aircrack這樣的軟件來破解無線網(wǎng)絡(luò)的密碼，這樣，雖然連接要花費一定的時間，但是，連入通過這些安全手段防范的無線網(wǎng)絡(luò)還是有可能的。

因此，我們在使用這些無線安全防范措施的同時，還應(yīng)對使用無線網(wǎng)絡(luò)訪問控制，或其它的的安全手段，例如在無線網(wǎng)絡(luò)中加入VPN技術(shù)，來進(jìn)一步提高無線網(wǎng)絡(luò)的安全性能。

通過對上面所述的這六個在安全防范方面的認(rèn)識誤區(qū)的了解，我們應(yīng)當(dāng)明白了保障網(wǎng)絡(luò)和系統(tǒng)的安全，并不是某種技術(shù)和設(shè)備就可以達(dá)到的，也不可能做到絕對的安全，我們只有結(jié)合多種安全防范方法，來構(gòu)建一個立體化深層次的安全防范體系，才有可能將來自企業(yè)內(nèi)部和外部的安全威脅帶來的風(fēng)險降低到最低水平。

【51CTO.COM 獨家特稿，轉(zhuǎn)載請注明出處及作者！】

【編輯推薦】

1. McAfee統(tǒng)一安全訪問繼續(xù)領(lǐng)跑網(wǎng)絡(luò)安全領(lǐng)域
2. 安全集成與簡單管理 全面了解Forefront安全方案
3. 大型企業(yè)信息安全管理之道