网络安全之责任与技术
simeon
本文精简版本发表于网管员世界200805b刊
    进入2008年后,经过CHI、熊猫、网银大盗等病毒洗礼后,普通大众也意识到“狼”来了,网络安全不再是与自己无关,QQ账号被盗、游戏装备被盗、网站挂马等等网络安全时间时有发生。有网络的地方就有安全防御与被***风险,安全贵在技术,重在责任。网络安全制度和网络安全意识是保障网络安全的两扇大门,很多公司跟个人签订了安全责任书,但责任书大多是走走形式,落到实处较少,与其签订责任书,还不如多加强员工的安全意识,安全意识决定安全行为。国内的安全意识相对国外有一定差距,当然制度上面也存在差距,看看目前我国网络安全现状:毫不夸张的说80%的网站都曾经被挂过网页***,50%的网站都被***控制过。就目前来说网络安全威胁主要来自三个方面:纯技术威胁-0Day,这个是客观存在的,无法完全消除,谁掌握,谁就能攻克存在漏洞的网络和计算机系统。第二个方面程序安全漏洞是程序设计人员设计上的bug,这种bug多见于网站系统,例如SQL诸如***,XSS跨站与蠕虫病毒***等,这些漏洞是可以修补的,第三个方面是来自针对人的弱点的社会工程学***,网络钓鱼是其中最为常见的一种***方式;当然还有一些其他安全威胁。网络安全威胁从来都是存在的,是无法彻底消除的,只能尽可能的将其风险降到最低,降到公司(个人)可以接受的范围。在很多安全事故中,由于管理员的配置上或者管理上的疏忽大意,结果导致了国家/公司/个人巨大的经济损失。安全防御技术已经比较成熟,我们的安全就缺在意识,缺在责任。我国有一句谚语:没有三年不漏的茅草房。原义是指真相总有一天会大白,在网络的***和防御中,网络***是有痕迹可循,日志、文件等等,查看这些细节就可以知道是否遭受了***,是否已经被控制过,这一切仅仅需要一点点的责任心。当然我国的完全现状也跟网络安全投入有关,很多公司每年对网络安全的投入不足整个预算的1%,很多主管都认为网络安全不值得投入,先将资金投入到有用的地方,以后再投入,从而轻视或者忽略网络安全的投入,这种做法是不对的,每一个公司都有核心,都有商业机密,试想公司的商业机密常常处于安全的风险之中,还能称之为机密吗?因此我认为网络安全需要公司持续投入,建立完善的安全制度和安全响应方案,管理员加强自身学习和责任感,并不断加强和培养员工的安全意识,让公司每一个员工在意识和行动都成为了安全的“卫士”,这样网络安全***事件就会少很多,网络也就安全了很多。