微点交流论坛 - 微点软件使用交流 - 计算机应用安全理念之我见

御剑临风.
禁止访问

积分 625
发帖 659
注册 2009-4-10

#1 计算机应用安全理念之我见

笔者也是搞软件开发的，在嵌入领域，有的地方安全性可靠性要求很高。

安全分为内安全(safe)和外安全(security)，两方面都必须重视。安全的两个手段：1是访问控制；2是加密。

加密最重要的，特别是要信任一种加密形式或者软件，这是我们行动的准则。

示例1：

笔者曾经把一个木马源码，拿新版本的编译器编译，提交到在线杀毒引擎，除了2个启发式（含Antivir）较高查出外，没有其他杀毒软件认出。后来上载到样本区，测试过后将样本上传给卡巴斯基，kaspersky 第二天就能查杀该毒了。这说明杀毒软件还是存在传统方式（特征码）判定。如果越来越多的软件具有HIPS，那么会更有效；存在的问题是用户不善于使用HIPS。

示例2：

马尔科斯是世界知名的安全专家，被公认为是代理防火墙的发明人，是第一个商业防火墙和早期的入侵检测系统的实现者。他认为，现在人们把安全搞得很难、很复杂、很神秘、很玄、很时髦，也很前卫。但事实是，计算机和网络安全真的是一件相当简单的事情。我很认同他的观点。

安全不是做多复杂多聪明的事情，而是不要做些蠢事。我们想安全地做一些危险而又蠢的事情，付出的代价必然很高。现实中，这条规则是如此清楚地影响到我们的生活，吃野生动物是危险的，有带来SARS的危险；如果非要吃，付出的代价将是巨大的。　

在网络安全问题上，人们往往不是安全地去运行少数必要的网络服务，而是开放很多的不安全、不必要的服务，甚至是一些特别不安全，如隧道的应用，然后耗费大量的时间和金钱，企图把这些不安全的应用变成安全的。就像胖子一样，先痛快地大吃，变成了胖子，然后，再花钱来减肥，企图保证自己的健康。马尔科斯本身在这种模式下努力了16年，也没有看希望。最近一个网络上的帖子询问，为什么安全这东西这么难？有没有什么简单有效的办法指南？他才突然地意识到这个道理。他把这套安全理论总结为“少吃点，多锻炼”。

马尔科斯基于这套理论，对网络安全开出了安全药方。其基本的内容是：

所有缺省的安全策略是拒绝所有（Deny All），然后只准许哪些是必须的服务。尽可能少地提供服务，记录这些服务的使用日志，对应用的错误进行检测，当然你也可以进行入侵检测。了解网络上在跑些什么，如果管理员不知道网络上在跑什么东西，怎么保安全？内部尽可能隔离。隔离往往是最好的办法。不安全格式的内容尽可能不要流入内部，除非它是从可靠渠道来的。了解防火墙上流出的流量是什么，如果你了解了，你就不需要什么高级东西来判断木马、间谍软件、病毒、非授权访问等。最好全部七层都进行控制，而不只是一层，深层防御不是只在一层。不要浪费时间天天打补丁，如果你天天在大补丁，你已经被误导。移动办公隔离到一个独立的区，移动办公很好，可是不安全。防病毒软件很好，但不要指望天天升级。最好了解内部网络上使用的都是些什么软件。不要指望用户理解你的安全策略是什么，简单地说明该怎么做。安全外包是一个坏办法，除非你可以接受你的安全可以交给别人把握。

马尔科斯相信这是一个简单而强大的主意。假如你采取了这些措施，你可能永远不会被黑。

“少吃点，多锻炼，相信我，它非常有效”。

※ ※ ※ 本文纯属【御剑临风.】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-4-13 19:35

lsj301
银牌会员

积分 1388
发帖 1382
注册 2009-3-16
来自甘肃兰州

#2

说的在理啊，知道自己需要什么，然后做什么，往往弄来一大堆不需要的东西，到头来却危害了自己。

※ ※ ※ 本文纯属【lsj301】个人意见，与【微点交流论坛】立场无关※ ※ ※

我们一直在默默支持微点!

2009-4-13 20:26

mamsds
银牌会员

积分 1373
发帖 1360
注册 2008-3-15
来自乌克兰

#3

哎，关键是我不想花很多时间来监视电脑运作，所以我选择微点！！！

※ ※ ※ 本文纯属【mamsds】个人意见，与【微点交流论坛】立场无关※ ※ ※

Vi Veri Veniversum Vivus Vici.

2009-4-13 21:30

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号