兩步之遙保障不再遭受入侵

你的網路離安全有多遠？

　　就兩步。

　　如果一百步算過關的話，相信你已經邁出了第1-98步：你買了防火牆，買了IDS/IPS和防病毒軟體，你用上了VPN，交換機也升級為安全交換機，你讓安全廠商專家為你規劃安全部署，將各種設備聯動起來，你還讓這些安全專家為自己的員工培訓，教他們如何養成好習慣……如果這些步驟你還沒有完成，那網路還不足以抵抗中、低端"駭客"；如果這些步驟你都認真做了，努把力，再邁出下一步，假設安全對於你真的非常重要的話，比如銀行。

　　請記住一句話：Hacker attacks protected！

　　倒數第二步：安全審計

　　實際上，在倒數第三步結束之後，你已經非常清楚網路現在已經能夠進行哪些防禦了，但問題是，沒人告訴你網路還有哪些缺陷，指望那些安全產品廠商嗎？在網上可以自由下載的、著名的開源IDS軟體--Snort會給你清楚明白地講出來它會在哪些情況下出現漏報、誤報。對於那些商業產品，隨機手冊里則是一片讚歌，儘管有的產品就是把Snort裝到了不許用戶打開的硬盒子里。

　　即便很多設備廠商提供的是非常棒的產品，但安全是一體化的安全而不是局部的安全，將各種設備、不同層次的軟體捏合在一起，安全誰知道？

　　你需要一個在甲方乙方之外的第三方，客觀地評價你的網路。安全審計不是請人來研究新的攻擊，而是把現有的攻擊手段彙集起來，對你的網路進行遍歷，而且，遍歷要以模擬各種可能出現的流量模型為前提，以期發現安全拓撲的不合理以及設備自身的弱點。

　　可惜，這種安全審計機構太難求了。有這樣的軟體可以承擔一部分審計工作，花上幾個小時，它能把網路上的主機和網路設備都掃描一遍，然後給你出個報告，告訴你操作系統和應用程序等存在的弱點。也有這樣的人，成功地入侵了某大型網站（相信它是做了安全防護的），並把漏洞告訴了該網站，最後那人成了該網站的安全顧問，當然，這又涉及到了法律問題。可不可以將若干熟悉攻擊手段和安全部署的"隱士"聚集在一起，為捍衛網路安全出把力呢？據說，那些不用鑰匙卻能在半小時內捅開防盜門的"工程師"要在派出所登記，可現在還不是有專業開鎖公司網羅了一幫人才為大眾解難嗎？

　　首先可能要解決的是安全審計機構的合法性和行業規範。這樣，安全審計才可能從目前的地下轉為公開，甲方由被動審計到主動審計。安全審計人員會不會成為潛在攻擊者？相信只有當一切擺在明處后才能逐漸消除人們對安全審計工作者的恐懼和不信任心理。同時，安全審計的出現也會刺激安全方案提供商提高服務水平。令一方面，也使中、高端"駭客"縮短自己的睡眠時間或者"從良"。

　　安全審計的資質比較容易評估，就目前的安全部署水準，不發現弱點的審計肯定不是好審計！

　　安全審計幾乎在全球都存在合法化、規範化的問題。當然，安全審計一旦流行起來，某些人為了夢想成為審計專家，他從"小學生"到"研究生"這個過程中，又不知道拿了多少"肉機"來練手，這種情況，依然要靠違法必究的準則！

　　最後一步，MISSON IMPOSSIBLE！

　　總有那麼少數人，極具天賦的計算機愛好者，它們置法律於不顧，製造著每年數十億美金的損失，讓甲方們花更多的錢來進行安全部署，也使得安全廠商不停地為自己的產品打著補丁。如何能扼制他們？

　　前不久，聽說有個美國的IPS廠商具備"數字疫苗，實時接種"能力，其漏洞收集部門通過與頂級安全論壇等漏洞研究機構合作，發現未被人們發現的漏洞，並每周發送軟體更新給用戶，達到避免"零日"攻擊的目的。又聽說，該廠商目前已經被某國際著名網路設備提供商高價收購。

　　如果這個廠商真是做得很好的話，姑且算是又向前挪了小半步，這可以算是頂級"紅客"與頂級"駭客"之間的較量，但力量的對比絕不像"正"能壓"邪"說起來那麼容易！

　　安全還差兩步？其實俺也不知道。不過，最想說的是，既然審計能在"黑暗"中進行，不妨大家來思考一下是不是能把它變得可操作、可利用、可控制。