大部分的业界人士都认为许多网站缺乏足够的安全。而最主要的问题不是安全技术、安全工具或者是安全产品上的缺乏,而是网络管理人员、企业经理人和用户对安全知识的无知。
虽然攻击者不断尝试各种新方法想搞垮我们得到了提高的网络安全,但事实上完全没有必要如此费尽心机来攻击,因为有很大一部分的网站只有最初级的安全保护措施。许多公司至今都还没搞清安全问题的危害性和加强安全系统的重要性。不论是系统管理员还是企业经理人都需要这方面的知识,因为只有企业从上到下都认识到并注意实施,才有真正的安全。
主要的非技术原因有:
1、对分布式计算方式很难进行中央控制
当今网络的安全策略和实施步骤都是集中制定而分布实施。而在过去,计算机系统是集中控制的,也就是说一个企业只有一名管理员可以控制和操作计算机与网络--一台机器,一个系统管理员。
今天,每一个操作桌面电脑、手提电脑的用户就是一个系统管理员。因此,单个用户必须分别实施经集中制定的安全策略--比如说使用反病毒工具、禁用Java等等。通常,这些系统都与企业网络相连,这样即使只有一个用户缺乏防备,病毒就可能感染整个网络,并影响到每一个人。如果企业网连到互联网上,缺乏防备的用户就很可能使整个地区的用户容易受到攻击。
软件功能的增强使我们很难找到有效的保护措施,因此即使是非常简单的系统的管理也变得越来越复杂。例如,Word的宏病毒保护功能就经常不经意地跳出一个令人讨厌的对话框来,IE的缺省设也允许各种cookies和ActiveX,而不考虑先前版本的设置。
虽然系统管理员仍然对路由器、防火墙、防病毒墙、信息服务器等进行中心控制,系统还是很脆弱。网络管理员仍然要不断根据组织的业务需要和用户的个人需要来评估系统的安全性。
2、用户不把安全当回事
许多人认为安全只是网络管理员的事情;在一个的政治组织中,加强系统安全被指为那些掌握了信息系统的团体试图获得更多的控制。太多的用户认为安全保护妨碍了他们的工作。这种认识产生的原因经常是由于网络管理人员和公司管理人员没有注意解释实施安全策略的原因。
当网络与国际互联网相连接时,许多用户没有认识到在网络空间里他们不再处于一个物理的地址上。一个物理上非常安全的网络连接到互联网上时,其网络资源就不再局限在某一物理地点上,而是在整个网络空间中。
连接到互联网上与连接到一个内部网相比,其运行逻辑和信任机制都完全不同。比如说Finger 就是Aparnet上一个非常有用的工具,可以报告当前使用的主机和其操作,还提供远程计算机的其他有用信息。在今天的互联网上,Finger因为同样的原因成为了一种潜在的危险武器:它为攻击者提供了太多的信息。
同时,不论在什么地方,物理地址的安全都是重要的。许多公司把重点放在了如何防范来自网络空间的危险而对放置机器的物理范围的安全没有足够的重视。防火墙就好比马其诺防线,法国人为了防范二战前的德国,在其东部边界修建了坚固的防线。后来二战中德国人绕过马其诺防线,从法国北部和空中侵入了法国。防火墙可以防范外部的攻击,却却一般不会注意自己的用户对外部的攻击。一切攻击必有来处,防火墙可以而且也应该防止两方面的危险。
