你可能为加密网络安全和数据安全采取了许多措施,如安装了防火墙、反病毒的软硬件,还有UTM……,但一些简单的行为或观念却有可能让你将所有的安全措施都付诸东流。
有没有这样一种方法:列出能使一个受到完善保护系统的安全性拱手让出的所有方面。当然没有。一般用户犯的这种错误多的不计其数。因此,笔者的题目所谓的五个方面也不过是九牛一毛而已,这几根“毛”也只不过是最常见的。但它们却向我们展示了这些看似不起眼的小动作却有可能将辛辛苦苦构建的安全大门亲手破坏。
不信,请看:
一、轻信:这里的轻信不仅指轻信别人,还可以指以下几种情况:轻信某种品牌,如认为有了某种防病毒软件系统就不可能感染病毒;轻信某种并不信任用户的安全系统;轻信自己的判断能力,过度相信自己构建的安全措施的绝对可靠。这些都是安全性的大敌。要记住,安全是相对的。
二、无知:这与上一条有相通之处。正是因为无知才容易轻信。我们多数人可能知道模糊性并非安全性。这并不是说我们并不设法将模糊性用作安全性,有时我们甚至并不知道我们所做的事情。一个很现实的例子就是我们对谷歌和雅虎的索引Flash内容效果的认识。这种索引表明,许多敏感信息都被天真地编码进入了Flash对象中,这就有可能被一些深谙此道的人所利用。许多人创建了安全过滤,却没有认识到他们实际上是在依靠模糊性而非安全性。许多情况下,问题就在于用户并没有真正理解所使用的技术,他们认为固若金汤的一些东西有时只不过是对某种技术的模糊认识。因此,请不要再犯同样的错误。请努力地理解你所使用的技术的真正含义,拒绝模糊!
三、不安全的邮件。有些人通过电子邮件发送企业的秘密资料,有些网站提供通过电子邮件恢复口令的方法。可想而知,如果这些邮件没有加密,那么你就是在将密码交给想得到它们的任何人。因此,请为你的邮件传输加密!但是,加密就安全吗?
四、不安全的加密。不要以为加密就是治愈安全病的灵丹妙药,它也有可能是不安全的。为了让OpenPGP加密可用,并且能够保护通信,你必须能够解密所收到的任何加密消息。为了保障它的安全性,你必须保持私钥的私密性,以及密码短语的私密性。如果你维护私钥的计算机没有得到恰当的安全保护,如果你加密和解密的消息的计算机并没有采取恰当的安全保护措施,那么你的加密的安全性又从何谈起呢?有些系统比其它系统更容易遭受安全破坏,从而损害用户私钥的安全性。如非授权的访问可能准许某人将你的私钥复制下来,并对你的密码短语发动一种离线的强力攻击,而键盘记录程序可以在用户键入密码短语时捕获之。更糟的是,在你用别人的计算机进行加密时,你对拥有管理员访问权的人员所设置的安全措施知之甚少,甚至不知道这些安全措施是否值得完全相信。从根本上说,如果你的加密密钥不太强健的话,那么你最好不要通过纯文本通信。至少你应当知道,如果是通过纯文本通信的话同,这种通信是否可以防护在线窃听。
五、明知不可为而为之。这可不是一句赞美的话,笔者的意思是要劝你认识到应当明智地选择自己的战斗。不要打一场不可能赢的战争。不要将大量的精力耗费在不可能有效保护的东西上。如果保障不可能安全的东西是你的企业模式中的必须做的事情,那么你可能需要重新思考一下这种企业模式,不仅仅是因为这样一种企业模式中的固有缺陷,而且因为你用以保障不可能安全的所有努力都从保障所有其它方面的措施中转移而来。企业应当将有限的时间和金钱用在可实现的东西上!
前面说过,这五个方面并不是一个完整的列表。但你可以用这五个方面对照检查自己的企业,不要犯这些错误,绝非危言耸听。好好考虑一下,虽然这些问题未必出现在你的企业身上,但你可以考虑笔者遗漏的其它方面。面对日益严重的威胁,你不但应当像黑客一样思考,还应当学会像一个安全专家一样思考。因为一些看似无关紧要的动作可能引起不可预知的灾难。三思而后行!
