业界动态
你的位置:首页 > 行业动态 > 业界动态

网络安全防护工作对企业和个人电脑安全的重要性

来源:龙虎鹰师网安  点击量:
在经过将近20年的努力尝试,以及数十上百亿美元的投资之后,为何我们依然做不好网络安全?而且网络安全居然看上去变得越来越差。要想解释这个问题,我们不仅要着眼于技术层面的东西。的确,网络安全看上去是一个需要用技术解决的问题,例如我们到现在还不知道要如何编写没有bug的代码。但是如果我们把眼界再放宽一些的话,我们就会发现,就算解决了技术问题,网络安全依然很难做好:


 网络安全不仅是个技术问题
 网络世界的规则与现实世界不一样
 网络安全法律、政策和实施手段还不发达
第一个原因——网络安全不仅是个技术问题,它还关乎很多其他因素,例如经济、人类哲学等等,我在以前的文章中讨论过这个问题,这里就不再赘述了。我们今天具体来谈谈另外两个因素。


网络世界的规则与现实世界不同
这里的规则,我指的并不是社会规则,而是网络空间的物理和数学规则。互联网是一个用光速来扩散信息的地方,现实世界中的距离、国界和临近程度等概念在网络上都会变得不一样,这对安全形成了巨大的影响。


首先,在互联网上人与人之间的距离被大大缩小了,网络上的任何一个人都有可能在任何一个地方对你发起攻击。其次,网络空间没有现实世界中的国界这么一说,只有路由器、防火墙和网关。在现实世界中,临近程度是通过物理位置判断的,而在网络中,它是靠谁通过哪个路径进行连接来判断的。


这样一来,现实世界中的模式在网络上无法适用。例如,在现实世界中,政府会负责保证国界的安全。然而在网络空间中,每个人都站在国境线上。如果每个人都在国境线上工作和生活,我们如何能让政府来保证国境线的安全?在现实世界中,犯罪是有物理地点的——你必须要在一个地方偷了什么东西,这样警察才能对罪犯进行制裁。然而在网络中,你可以出现在任何一个地方实施犯罪,因此本地警察无法对罪犯做出有效的管辖和制裁。


网络的这个特性可以说是一把双刃剑,企业可以利用它来获取更多的消费者,但是同时也让坏人有了可乘之机。


法律与政策框架
其次,站在法律和政策的角度来看,网络依然是一个新兴的东西。现代的互联网和数组空间仅仅存在了25年的时间,而且在这个过程中还在不断的变化、迭代。于是,我们还没有完整的做好对于网络监管的政策和法律框架。对于下面一些关键的问题,我们甚至还没有找到清晰的答案:


 谁才应该对网络安全防护履行职责?政府还是私人机构?
 当企业处理我们的数据的时候,他们应该遵循什么样的标准?
 各个行业的监管者如何做好网络安全工作?
 哪些行为是政府、企业和个人可以做的?哪些行为是绝对不能做的?
 谁应该对软件的缺陷负责?
如何让个人和企业在国际范围内各尽其责?
对于这些问题,有些人已经开始在寻求答案了。例如,我们不能指望政府保护线上的每一家企业,这是不现实的,我们也不希望这样,因为这种做法势必会影响我们做生意的方式。另外,我们也不能指望大多数企业和组织来解决这个问题。那么我们如何才能突破这个窘境?


或许我们应该从灾难反映那里取经,然后根据状况的不断变化,用灵活的方式来制定责任人。在进行灾难反映的时候,抢先预备和第一反应是出现在本地层面上的,如果灾难的级别超过了本地政府的处理能力,那么事件会稳步上报,最终国家政府介入。我们也可以将这种机制引入到网络安全工作中来——企业和组织负责自己网络的安全,但是如果证明了某一次攻击的规模达到了全国级,那么政府就可以介入。


如果我们还是认为网络安全是一个技术问题,我们就会继续不断撞墙。只有认清了网路安全的本质,我们才能有所进步。