马尔科斯是世界知名的安全专家,被公认为是代理防火墙的发明人,是第一个商业防火墙和早期的入侵检测系统的实现者,获得互联网安全大会(TISC)的CLUE大奖和ISSA终身成绩奖等多项奖项。马尔科斯从事安全工作已有16年之久,比商业互联网的历史还长六七年,网民多称他为“防火墙之父”。这位搞安全的老人,最近说自己在“浪费时间”。研究一下他的安全观,对我们或许有帮助。
他认为,现在人们把安全搞得很难、很复杂、很神秘、很玄、很时髦,也很前卫。人们对待网络安全就像对待火箭科学,甚至是像对待犯罪现场取证的学问一样,但事实是,计算机和网络安全真的是一件相当简单的事情。
安全不是做多复杂多聪明的事情,而是不要做些蠢事。我们想安全地做一些危险而又蠢的事情,付出的代价必然很高。现实中,这条规则是如此清楚地影响到我们的生活,吃野生动物是危险的,有带来SARS的危险;如果非要吃,付出的代价将是巨大的。
这条规则也反映在人的健康问题上,一个人吃得太多了,就会长胖,身体的健康程度就不会太好。想保持自己的健康,控制饮食可能是好办法,而不是减肥,减肥不是健康的好办法。同样的道理,要保持计算机和网络的安全,少干一些不必要的应用如聊天、游戏等,可能是最好的办法。不要指望,干很多危险的事情,将自己处于危险之中,然后再想办法来免遭威胁和保证安全。
马尔科斯说自己在“浪费时间”,原因是他从事的是“减肥”安全。等他发现了这个问题才恍然大悟,于是提出了一个有趣的理论,“低碳安全(low-carb security)”,即低碳水化合物,就像素食一样。说到素食,它肯定有效,但实际上是一个很难的选择。难就难在让人们都去吃素食,都不吃大鱼大肉。另外一个简单、经济、有效的选择是,少吃点,多锻炼。
在网络安全问题上,人们往往不是安全地去运行少数必要的网络服务,而是开放很多的不安全、不必要的服务,甚至是一些特别不安全,如隧道的应用,然后耗费大量的时间和金钱,企图把这些不安全的应用变成安全的。就像胖子一样,先痛快地大吃,变成了胖子,然后,再花钱来减肥,企图保证自己的健康。马尔科斯本身在这种模式下努力了16年,也没有看希望。最近一个网络上的帖子询问,为什么安全这东西这么难?有没有什么简单有效的办法指南?他才突然地意识到这个道理。他把这套安全理论总结为“少吃点,多锻炼”。
马尔科斯基于这套理论,对网络安全开出了安全药方。其基本的内容是:
所有缺省的安全策略是拒绝所有(Deny All),然后只准许哪些是必须的服务。尽可能少地提供服务,记录这些服务的使用日志,对应用的错误进行检测,当然你也可以进行入侵检测。了解网络上在跑些什么,如果管理员不知道网络上在跑什么东西,怎么保安全?内部尽可能隔离。隔离往往是最好的办法。不安全格式的内容尽可能不要流入内部,除非它是从可靠渠道来的。了解防火墙上流出的流量是什么,如果你了解了,你就不需要什么高级东西来判断木马、间谍软件、病毒、非授权访问等。最好全部七层都进行控制,而不只是一层,深层防御不是只在一层。不要浪费时间天天打补丁,如果你天天在大补丁,你已经被误导。移动办公隔离到一个独立的区,移动办公很好,可是不安全。防病毒软件很好,但不要指望天天升级。最好了解内部网络上使用的都是些什么软件。不要指望用户理解你的安全策略是什么,简单地说明该怎么做。安全外包是一个坏办法,除非你可以接受你的安全可以交给别人把握。
马尔科斯相信这是一个简单而强大的主意。假如你采取了这些措施,你可能永远不会被黑。
“少吃点,多锻炼,相信我,它非常有效”。