杜跃进-网络安全的若干误区.pdf

网络安全的若干误区 杜跃进 2014年9月25 日 CNCC@郑州 起因 • 好事：现在重视安全了，人人都在说安全 • 担心：如果对安全的理解出现了重大问题的话， 我们可能会绕道太进，甚至走错方向 • 考虑：有些误区为什么总是存在？能否从根本 上迚行一下分析？ 目的：帮助大 家去说服别人； 试图让更多人 真正摆脱误区 “安全”的螺旋式迚化 数据安全 系统安全 系统安全 数据安全 网络安全 数据安全：最早的起源 • 安全的原始需求，来自于战场 • 带动的安全领域，是加解与解密的对抗 • 对抗的位置，主要在信息传递的过程 中，而不在信息的产生和使用环节 • 因为 • 不可能（深入敌营且能传出/ 系统封闭） 在当初的环境 • 不实用（无法快速获得即时信息） 下，这是正确 的，但是… • 对抗焦点：更强的算法/ 更强的破译能力 误区1 ：加密能解决一切问题 • 环境变化带来沧海桑田，固若金汤变成不堪一击 • 通用计算机+ 计算机网络的广泛使用，改变了原来的 “不可能”和“不实用” • 加解密设备变得开放、通用；存在进程访问的机会 • 于是，绕过“加密/ 破密”的战线成了另一条捷径 • 这时候依然认为网络安全 就是加密解密，就很危险了 系统安全：新的战场，新的分支 • “另类”的一批人，“另 类”的一批事 • 不按常理出牌 • 需要逆向思维，重视具体 实现 • 你可以设想得很完美，但 是每一行代码都可能是成 败关键 • 从数学家的游戏，变成工 程师的游戏 • 对抗的焦点：技术实现和 逻辑设计方面的疏忽和漏 洞 • 对抗的位置：计算机系统 在当初的环境 中 下，这是正确 的，但是… 误区2 、3 ：安全就是保护计算机系统；软件和 系统是自己的就安全了 • PC 机+ 局域网时代，我们面对的威胁主要是病毒 • 传播慢 • 攻击者不能精密控制 • 动机单纯（那个时代的 “破坏”，尚没有太多回报价值） • 过去的特点是，系统和网络间相互依赖关系和环节少 • 系统独立； 网络独立； 业务独立； • 但是今天的网络社会下，过去的特点已经不复存在了，如果这时候依 然局限于独立计算机系统、切分网络单元的思想来迚行风险分析和保 护加固，是看不见很多真正的威胁的； • 如果这时候还认为只要控制了设备硬件和系统软件就能保证安全，是 十分危险的 网络安全：“你不再是一个人” • 社会化和网络化的时代，一切变得相互依赖 • 2005 年关于网络钓