千萬別被99%的網絡安全所矇蔽,要問清楚,那1%的不安全會是什麼。
如今,企業用戶對防火牆、防病毒等名詞早已耳熟能詳,隨之而來的是網絡安全公司如雨後春筍般冒了出來,安全產品也開始魚龍混雜。
很多用戶在出大價錢配備了各種網絡安全產品後,安全廠商或系統集成商都會拍著胸脯對客戶說:好了,這下你們的網絡 就安全了。可是看看那些被攻擊的系統:Yahoo、美國中情局、Amazon……,究竟憑什麼說網絡是安全的,或者是99%安全的呢?那1%的不安全可能 會是什麼原因造成的?如果出現系統被攻破的情況,責任應該由誰來負?
很多時候責任分擔不如利潤分配那麼清楚。在系統出現安全問題時,企業客戶會被告知:沒有絕對的安全。安全方案部署 公司要做的就是把產品放在那裡、完成配置、為用戶培訓,然後把錢裝在兜裡,不用承擔任何風險,所有的風險要用戶來擔,為什麼?就是因為安全是相對的。往往 在出事之後,企業會被告知,一道防火牆不夠,要兩道;在某某地方還要放個IDS;網絡管理員的業務水平要提高,等等。總之,把自己摘得乾乾淨淨。
有旁觀者說:用戶也應該提高自己的安全知識,自己的眼睛亮一些,知道該用什麼產品,有先進的安全理念。沒錯,對於系統安全來說,這也很重要。但是,用戶花了錢,用戶買到了什麼?
用戶有可能買的是一整套的安全方案,包括產品及其部署、培訓和維護。可是因為集成商方案設計的疏忽,導致攻擊者輕鬆繞過防火牆。有的用戶買的是單一的安全產品,可是由於該設備運行過程中出現死機或漏報,使用戶蒙受損失。
這些都應該有明確的責任界定,方案或產品提供者承諾了什麼。在出現問題時,如果在責任範圍內,就應該賠償損失。
在這個鏈條上,我們還有若干環節需要完善。首先,甲方乙方在責任劃分上需要細化。可是,用戶對技術細節可能並不瞭 解,難免在責任分擔上不知如何下手,這時就需要資質良好的第三方諮詢機構的幫助。再有,出現因網絡安全問題引發的法律糾紛時,就像法醫分析遇害者的死因一 樣,有關部門應能夠給出準確的分析報告。當然,有些網絡,由於安全方案的不完備、管理者的疏忽,一旦被攻破,常常是無跡可尋。因此,單從這個角度看,就應 該在部署方案之前把日誌、報警等任務作為責任提出來。
其實網絡安全就像坐飛機,一旦發生了意外,總要處理後事,追究責任,是誰的責任就要由誰來承擔。
事實上,用戶的錢不是用來防範未知攻擊的,絕大部分攻擊的規律是已知的,只要責任分配明晰,它們都是可控的,事後也是可以分清責任的。網絡安全的相對性不能成為逃避責任的藉口。
千萬別被99%的網絡安全所矇蔽,問清楚,那1%是什麼。
留言列表
