防火墙之父十六年悟出安全之"道"
2008-04-02 10:56:57来源:互联网 阅读 ()
他认为,现在人们把安全搞得很难、很复杂、很神秘、很玄、很时髦,也很前卫。人们对待网络安全就像对待火箭科学,甚至是像对待犯罪现场取证的学问一样,但事实是,计算机和网络安全真的是一件相当简单的事情。
安全不是做多复杂多聪明的事情,而是不要做些蠢事。我们想安全地做一些危险而又蠢的事情,付出的代价必然很高。现实中,这条规则是如此清楚地影响到我们的生活,吃野生动物是危险的,有带来SARS的危险;如果非要吃,付出的代价将是巨大的。
这条规则也反映在人的健康问题上,一个人吃得太多了,就会长胖,身体的健康程度就不会太好。想保持自己的健康,控制饮食可能是好办法,而不是减肥,减肥不是健康的好办法。同样的道理,要保持计算机和网络的安全,少干一些不必要的应用如聊天、游戏等,可能是最好的办法。不要指望,干很多危险的事情,将自己处于危险之中,然后再想办法来免遭威胁和保证安全。
马尔科斯说自己在“浪费时间”,原因是他从事的是“减肥”安全。等他发现了这个问题才恍然大悟,于是提出了一个有趣的理论,“低碳安全(low-carb security)”,即低碳水化合物,就像素食一样。说到素食,它肯定有效,但实际上是一个很难的选择。难就难在让人们都去吃素食,都不吃大鱼大肉。另外一个简单、经济、有效的选择是,少吃点,多锻炼。
在网络安全问题上,人们往往不是安全地去运行少数必要的网络服务,而是开放很多的不安全、不必要的服务,甚至是一些特别不安全,如隧道的应用,然后耗费大量的时间和金钱,企图把这些不安全的应用变成安全的。就像胖子一样,先痛快地大吃,变成了胖子,然后,再花钱来减肥,企图保证自己的健康。马尔科斯本身在这种模式下努力了16年,也没有看希望。最近一个网络上的帖子询问,为什么安全这东西这么难?有没有什么简单有效的办法指南?他才突然地意识到这个道理。他把这套安全理论总结为“少吃点,多锻炼”。
马尔科斯基于这套理论,对网络安全开出了安全药方。其基本的内容是:
所有缺省的安全策略是拒绝所有(Deny All),然后只准许哪些是必须的服务。尽可能少地提供服务,记录这些服务的使用日志,对应用的错误进行检测,当然你也可以进行入侵检测。了解网络上在跑些什么,如果管理员不知道网络上在跑什么东西,怎么保安全?内部尽可能隔离。隔离往往是最好的办法。不安全格式的内容尽可能不要流入内部,除非它是从可靠渠道来的。了解防火墙上流出的流量是什么,如果你了解了,你就不需要什么高级东西来判断木马、间谍软件、病毒、非授权访问等。最好全部七层都进行控制,而不只是一层,深层防御不是只在一层。不要浪费时间天天打补丁,如果你天天在大补丁,你已经被误导。移动办公隔离到一个独立的区,移动办公很好,可是不安全。防病毒软件很好,但不要指望天天升级。最好了解内部网络上使用的都是些什么软件。不要指望用户理解你的安全策略是什么,简单地说明该怎么做。安全外包是一个坏办法,除非你可以接受你的安全可以交给别人把握。
马尔科斯相信这是一个简单而强大的主意。假如你采取了这些措施,你可能永远不会被黑。
“少吃点,多锻炼,相信我,它非常有效”。
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇:宽带接入防火墙技术发展趋势综述
下一篇:微软SP2的IPv6安全性思考
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash