在网络安全领域，有哪些秘密还不为人知？

网络安全有何秘密？继最近发生的重大安全事件如LexisNexis和万士达卡的遭遇之后，有必要问一下怎样才能确保网络安全？不是人人都知道的秘密又有哪些？ 

马库斯·希尔兹（Marcus Shields）是一家专门从事数字信任服务的加拿大公司——Soltrus的企业产品经理，他说：“其实没有什么秘密可言。有好多工作企业应当去做，但没有去做。归根结底，这主要取决于常识。”

常识存在的问题在于，它不是非常具有普遍性。因而，任何企业为确保网络安全都能采取的一些基本防御措施很可能成了安全领域讳莫如深的秘密——至少在你采用这些措施、把它们当作日常安全程序一部分之前是这样的。

秘密一：评估威胁和风险

希尔兹说：“我总是惊讶于有那么多的公司没有进行威胁和风险评估。它们不知道自己有哪些资产，因而不知道哪些环节比较易受攻击。”

的确，安全本该降低风险、堵住漏洞。但除非你知道自己面临哪些风险、需要堵住哪些漏洞，否则无法真正有效地做到这点。希尔兹说，总的来讲，企业在进行威胁和风险评估方面的工作一直比较到位，但许多（恐怕是大部分）企业对哪些东西连到了网络上一无所知，更不用说哪些是最大的安全漏洞了。

这一问题涉及两方面：首先是网络本身自然发展的方式。设备和系统通常数量激增，以解决迫在眉睫的业务需求，但很少考虑到长远的安全问题；另一个问题则涉及安全本身的性质。

希尔兹说：“安全往往是被动的，就好比‘我们刚受到了攻击’，或者‘某某人刚受到了攻击，所以我们总得采取措施，不妨去买个安全设备吧。’企业把目光集中在自认为有可能发生的风险上，却不知道实际上具体面临哪些风险，而这根本就不够。”

秘密二：制订安全政策

尽管人们一直在谈论需要安全方面的程序和监管，但可能让人大跌眼镜的是：安全政策不是那么普遍。希尔兹说：“你会非常惊讶地发现，真正制订政策的企业其实寥寥无几。大多数企业只是订有差强人意的使用政策，规定‘不得浏览色情内容，或者不得利用公司的系统干私活’，但这不是真正的安全政策。”

问题在于，一旦威胁和风险评估找到了安全漏洞，你就需要政策来不断堵住这些漏洞。希尔兹说：“鉴于你已知道了面临哪些风险，你就可以告诉给员工们。你可能要聘请一家公司来为你制订政策，这不需要太多的费用。”

秘密三：了解细节

最可靠的安全有赖于清楚地知道你的系统是如何工作的。一旦威胁和风险评估了网络如何受到危及以及被什么机制危及，企业就要开始不断查找自身的漏洞。最大的安全秘密之一——之所以说是秘密，是因为它不是明显涉及安全——就是你要清楚地知道进出企业网络的通信机制，还需要有工具不断了解这些机制。

希尔兹说：“不管何时出现一种新机制，譬如VoIP或者即时通信，它都能成为攻击机制。VoIP之所以还没有被大范围地利用，就是因为它还没有得到广泛的应用。另一方面，你根本不能说‘我用不着为VoIP安全担心，因为我还没有部署’，因为这种想法并没有考虑到下载了Skype客户软件的员工。”

结论就是，通信带来的绝不仅仅是信息，对安全还算重视的任何组织都要认真观察谁在使用哪些通信方式。就连即时通信（IM）也有可能成为感染及攻击的机制。希尔兹说：“IM充斥着诸多病毒，它们是不法分子喜欢下手的对象。”

秘密四：安全到家

对网络自身的了解，这一问题变得越来越复杂，因为最不为人知的安全秘密之一就是，企业网络并不是到企业这一层就算完事。绝不能再忽视员工在家里的行为。譬如说，你可以禁止在办公室使用IM，但如果员工把IM客户软件装在可以通过虚拟专用网（VPN）登录到企业网络的家用电脑上，那根本就无济于事。

希尔兹说：“IT部门一直在说，他们无法观察每台家用电脑，但单单这样还不够到位。这没有明确的答案，不过企业必须积极采取措施。从理论上讲，你可以说，如果你希望员工通过Citrix访问公司办公网络，那么就要像许多公司对使用移动电话给予补贴那样，对使用防病毒和防间谍软件给予补贴。”

秘密五：明智对待移动设备

同样的问题适用于从便携式电脑到智能电话的众多移动设备。问题在于，这些设备中功能再弱的设备也在变得越来越智能。希尔兹说：“譬如说，Java电话这种终端设备可能会成为严重的安全问题。如果其中一个Java电话被感染，你该如何处理它？如何防止它感染其他设备？”

希尔兹承认，移动设备的安全问题处理起来仍很困难。Blackberry设备采用了基本的电子邮件加密功能，但其他许多设备连这种级别的保护都没有。那么，这方面有什么秘密呢？希尔兹说：“其实没有什么秘密。你必须开始想方设法尽量减小风险，尽管方向还不明确。这基本上依靠常识。”