您的位置: 网界网 > 安全 > 正文

贵公司安全措施失效的五个原因

2009年12月15日 13:21:25 | 作者:阿风 编译 | 来源:51CTO | 查看本文手机版

摘要:因特网安全行业出现过各种各样失败的安全解决方案。虽然也有例外,但是一个人可以根据事情失败的原因学到一些通用的原理。下面则是一些这方面意见的总结。“安全措施的好坏只取决于最薄弱环节的强度”。这可能是最著名的格言。...

标签
安全措施
入侵检测
网络安全

因特网安全行业出现过各种各样失败的安全解决方案。虽然也有例外,但是一个人可以根据事情失败的原因学到一些通用的原理。下面则是一些这方面意见的总结。

最薄弱环节

安全措施的好坏只取决于最薄弱环节的强度”。这可能是最著名的格言。然而令人惊讶的是,很多安全措施都是因为这个而失败的,因为最薄弱的环节往往不能很明显的看出来。加密业务的几个例子很好的证明了这一点。拿你可以找到的具有最长密钥长度的最好加密算法做例子。我们假设它百分之百安全。那么在选择加密键值的时候你使用同样级别的技术了吗?如果你的加密键值是基于一个密码,举个例子,可能只是基于一个位数较少的数字,然后通过加密软件扩充到位数更多的密钥。然而,它的安全性能还是取决于那个较少位数的数字,比你想象的要脆弱的多。

然后就是你怎么拿这个密钥跟别人通信的问题。很多时候,通信交流是最薄弱的环节。一个经典的例子就是OTP的使用,这个东西在第二次世界大战时期就已经开始用了。OTP密钥基本上跟普通加密的文档一样长,因此能够证明OTP可以提供完美的安全。那么真是这样的吗?不是的,弱点存在于你怎么跟别人通信交流这个OTP的过程中,以及你以后怎样使用它。

即使你给别人发送了一个携带那个密钥的消息而且保证没有被破解,然而一旦在运行过程中出现普通的问题都会让这个过程变得非常的脆弱。如果由于某些原因,你不止一次的使用了某些OTP,那么就会有简单的解密方法允许第三方破译并阅读你的交流内容。美国能够破译苏联的一个间谍网络靠的就是这个原理。就像你所看到的,弱点经常存在于安全措施主要部分(你知道或者认为非常稳固的)的周边。

行业标准vs专用解决方案

使用专用解决方案可能会有些优点由于“无名安全(隐蔽运作安全)”,但是使用没有广泛验证的解决方案会很危险。加密又是一个很好的例子。

使用像AES这样的行业标准意味着很多的专家已经研究过这个算法,而且没有发现严重的问题。如果他们确实发现过问题,你也会知道。拿第一代的WiFi加密方法做例子。这个方法很快就被发现存在严重的漏洞。由于他是一个标准,所以很快就被禁止了,并且被更加强有力的方法代替。尤其是要警惕那些不公开算法而对其技术实力信口开河的的供应商。——51CTO鲜橙加冰:以前一直觉得公共安全算法没有自己写的安全,后来发现自己写的未经严格论证过的算法,在职业破解人员面前完全不堪一击,一反就反出来了。

文不对题

如果想使安全措施有效,那么你需要清楚的确定到底是什么问题。否则,你最后只能发现你自己有一个好的方案但是却不能解决你的真正问题。以防火墙为例。虽然它对于某些问题来说是较好的解决方案,但是如果你有个数据库在防火墙后面运行,那么它将不能阻止应用层的攻击,比如SQL渗透。这些虽然是普通的危险攻击,但是大多数防火墙技术都不能搞定他们,这个问题需要专门的解决方案。

12
[责任编辑:李夏艳 li_xiayan@cnw.com.cn]