馬爾科斯是世界知名的安全專家,被公認為是代理防火墻的發明人,是第一個商業防火墻和早期的入侵檢測系統的實現者,獲得互聯網安全大會(TISC)的CLUE大獎和ISSA終身成績獎等多項獎項。馬爾科斯從事安全工作已有16年之久,比商業互聯網的歷史還長六七年,網民多稱他為“防火墻之父”。這位搞安全的老人,最近說自己在“浪費時間”。研究一下他的安全觀,對我們或許有幫助。
他認為,現在人們把安全搞得很難、很復雜、很神秘、很玄、很時髦,也很前衛。人們對待網絡安全就像對待火箭科學,甚至是像對待犯罪現場取證的學問一樣,但事實是,計算機和網絡安全真的是一件相當簡單的事情。
安全不是做多復雜多聰明的事情,而是不要做些蠢事。我們想安全地做一些危險而又蠢的事情,付出的代價必然很高。現實中,這條規則是如此清楚地影響到我們的生活,吃野生動物是危險的,有帶來SARS的危險;如果非要吃,付出的代價將是巨大的。
這條規則也反映在人的健康問題上,一個人吃得太多了,就會長胖,身體的健康程度就不會太好。想保持自己的健康,控制飲食可能是好辦法,而不是減肥,減肥不是健康的好辦法。同樣的道理,要保持計算機和網絡的安全,少干一些不必要的應用如聊天、游戲等,可能是最好的辦法。不要指望,干很多危險的事情,將自己處于危險之中,然后再想辦法來免遭威脅和保證安全。
馬爾科斯說自己在“浪費時間”,原因是他從事的是“減肥”安全。等他發現了這個問題才恍然大悟,于是提出了一個有趣的理論,“低碳安全(low-carb security)”,即低碳水化合物,就像素食一樣。說到素食,它肯定有效,但實際上是一個很難的選擇。難就難在讓人們都去吃素食,都不吃大魚大肉。另外一個簡單、經濟、有效的選擇是,少吃點,多鍛煉。
在網絡安全問題上,人們往往不是安全地去運行少數必要的網絡服務,而是開放很多的不安全、不必要的服務,甚至是一些特別不安全,如隧道的應用,然后耗費大量的時間和金錢,企圖把這些不安全的應用變成安全的。就像胖子一樣,先痛快地大吃,變成了胖子,然后,再花錢來減肥,企圖保證自己的健康。馬爾科斯本身在這種模式下努力了16年,也沒有看希望。最近一個網絡上的帖子詢問,為什么安全這東西這么難?有沒有什么簡單有效的辦法指南?他才突然地意識到這個道理。他把這套安全理論總結為“少吃點,多鍛煉”。
馬爾科斯基于這套理論,對網絡安全開出了安全藥方。其基本的內容是:
所有缺省的安全策略是拒絕所有(Deny All),然后只準許哪些是必須的服務。盡可能少地提供服務,記錄這些服務的使用日志,對應用的錯誤進行檢測,當然你也可以進行入侵檢測。了解網絡上在跑些什么,如果管理員不知道網絡上在跑什么東西,怎么保安全?內部盡可能隔離。隔離往往是最好的辦法。不安全格式的內容盡可能不要流入內部,除非它是從可靠渠道來的。了解防火墻上流出的流量是什么,如果你了解了,你就不需要什么高級東西來判斷木馬、間諜軟件、病毒、非授權訪問等。最好全部七層都進行控制,而不只是一層,深層防御不是只在一層。不要浪費時間天天打補丁,如果你天天在大補丁,你已經被誤導。移動辦公隔離到一個獨立的區,移動辦公很好,可是不安全。防病毒軟件很好,但不要指望天天升級。最好了解內部網絡上使用的都是些什么軟件。不要指望用戶理解你的安全策略是什么,簡單地說明該怎么做。安全外包是一個壞辦法,除非你可以接受你的安全可以交給別人把握。
馬爾科斯相信這是一個簡單而強大的主意。假如你采取了這些措施,你可能永遠不會被黑。
“少吃點,多鍛煉,相信我,它非常有效”。
