網絡信息安全最常見的五個誤解
目前,網絡信息安全已成為一個新的熱點。要建立正確的安全觀,增強網站的安全性,首先要糾正五個常見錯誤觀點:
一、“我的網站使用了SSL加密,所以很安全”
單靠SSL加密無法保障網站的全部安全。網站啟用SSL加密后,表明該網站發送和接收的信息都經過了加密處理,可以確保網站數據在傳輸過程中不被竊取或篡改,但是SSL無法保障作為數據存儲介質或運行載體的用戶服務器或網站程序的安全。許多網站采用了128位SSL加密,但還是有可能被黑客攻破,比如用戶的網站程序存在漏洞,黑客可以利用后門上傳木馬程序等造成網站被入侵或篡改等嚴重后果。
二、“我的網站有防火墻,所以很安全”
防火墻有訪問過濾機制,雖然許多網上商城、政府網站、BBS等網站都安裝了防火墻,但網站信息安全依然脆弱,偽裝攻擊依然防不勝防。防火墻通過設置“訪客名單”,可以把惡意訪問排除在外,只允許善意的訪問者進來。但是,如何鑒別善意訪問和惡意訪問是一個問題。訪問者一旦被允許,后續的安全問題就不是防火墻能應對了。
三、“我用了漏洞掃描工具沒發現任何問題,所以很安全”
目前漏洞掃描工具已經被廣泛使用,便于查找一些明顯的網絡安全漏洞。但是,大部分工具無法對網站上所加載的或提供下載的應用程序進行檢測。漏洞掃描工具通過將響應信息與一些漏洞進行對比,一旦發現可疑之處即報出安全漏洞預警。目前,新版本的漏洞掃描工具一般能發現網站90%以上的常見安全問題,但這種工具對網站應用程序也依然有很多無能為力的地方。
四、“我每年都會對網站進行安全評估,所以很安全”
一般而言,網站應用程序的代碼變化速度很快。每年針對網站進行安全評估的工作非常必要,但評估時的情況可能與當前實時情況又有很大不同。網站應用程序只要有任何改動,都會出現新的安全問題隱患。
大多數網站運營者喜歡在周末、優惠節或重大節日期間對網站上的功能進行優化升級,例如:中國的春節、國慶、雙十一等等。此外,經營性網站考慮到提高產品或服務銷量,擴大網站影響力等實際利益,往往會在網站上增加許多新頁面、新功能,但卻忽略了相應增加的安全風險。實際上,網站運營者應該在網站開發的各個階段,都安排專業的安全人員進行動態監管巡查。
五、“我網站的安全問題是網站管理員造成的”
或許網站管理員管理不及時確實會造成一些安全風險問題,但有些安全問題,網站管理員也完全無法預料和掌控。比如說,應用程序的源代碼可能最初從其它渠道獲得;或者公司可能會做一些定制開發,與原有程序整合,這其中也可能會出現問題;再或者有兩個開發人員共同開發一個項目,他們分別開發的代碼都沒有問題,但整合在一起也可能出現安全漏洞。所以,很必要的一點是:加強員工尤其是程序開發、網站建設/維護/管理、軟件采購等崗位上員工的安全意識。此方法確實可以在一定程度上改進代碼的質量。
《網絡安全法》的實施就像是給互聯網這匹飛奔的野馬套上“韁繩”,我們需要對它有全新的認識。需要從物理安全、應用安全、網絡安全、數據安全等多個方位對企業及其相關網絡信息進行加固,保障網站及業務的安全穩定運行。詳情點擊:http://www.kcschuchen.com/wfindex



