今日更新
技术新闻
精彩专题
IBM软件技术专区
微软开发专区
技术文档中心
编程语言
网络通信
网络安全
LINUX/UNIX
软件工程与管理
数据库开发
WEB开发
企业应用与开发
移动开发
资源中心
原创专栏
开放系统世界
人才与培训
技术天地论坛
厂商列表
社区推荐

· 女性身体内部人体受孕..
· 十部顶级的变态与情色..
· 感情放纵让我毁了两个..
· 当我撞见姐姐和男友在..
· 卖淫少女惨遭泄愤民工..
· 偷拍街上的走光mm绝对..
· 百度打击google的广告
· 港娱乐圈与黑社会揭秘
赛迪网>>技术应用>>上首页
关键字: 马尔科斯
来  源: 赛迪网-中国计算机报
防火墙之父十六年悟出安全之"道"
作者:万平国 发文时间:2004.11.10
  马尔科斯是世界知名的安全专家,被公认为是代理防火墙的发明人,是第一个商业防火墙和早期的入侵检测系统的实现者,获得互联网安全大会(TISC)的CLUE大奖和ISSA终身成绩奖等多项奖项。马尔科斯从事安全工作已有16年之久,比商业互联网的历史还长六七年,网民多称他为“防火墙之父”。这位搞安全的老人,最近说自己在“浪费时间”。研究一下他的安全观,对我们或许有帮助。

  他认为,现在人们把安全搞得很难、很复杂、很神秘、很玄、很时髦,也很前卫。人们对待网络安全就像对待火箭科学,甚至是像对待犯罪现场取证的学问一样,但事实是,计算机和网络安全真的是一件相当简单的事情。

  安全不是做多复杂多聪明的事情,而是不要做些蠢事。我们想安全地做一些危险而又蠢的事情,付出的代价必然很高。现实中,这条规则是如此清楚地影响到我们的生活,吃野生动物是危险的,有带来SARS的危险;如果非要吃,付出的代价将是巨大的。

  这条规则也反映在人的健康问题上,一个人吃得太多了,就会长胖,身体的健康程度就不会太好。想保持自己的健康,控制饮食可能是好办法,而不是减肥,减肥不是健康的好办法。同样的道理,要保持计算机和网络的安全,少干一些不必要的应用如聊天、游戏等,可能是最好的办法。不要指望,干很多危险的事情,将自己处于危险之中,然后再想办法来免遭威胁和保证安全。

  马尔科斯说自己在“浪费时间”,原因是他从事的是“减肥”安全。等他发现了这个问题才恍然大悟,于是提出了一个有趣的理论,“低碳安全(low-carb security)”,即低碳水化合物,就像素食一样。说到素食,它肯定有效,但实际上是一个很难的选择。难就难在让人们都去吃素食,都不吃大鱼大肉。另外一个简单、经济、有效的选择是,少吃点,多锻炼。

  在网络安全问题上,人们往往不是安全地去运行少数必要的网络服务,而是开放很多的不安全、不必要的服务,甚至是一些特别不安全,如隧道的应用,然后耗费大量的时间和金钱,企图把这些不安全的应用变成安全的。就像胖子一样,先痛快地大吃,变成了胖子,然后,再花钱来减肥,企图保证自己的健康。马尔科斯本身在这种模式下努力了16年,也没有看希望。最近一个网络上的帖子询问,为什么安全这东西这么难?有没有什么简单有效的办法指南?他才突然地意识到这个道理。他把这套安全理论总结为“少吃点,多锻炼”。

  马尔科斯基于这套理论,对网络安全开出了安全药方。其基本的内容是:

  所有缺省的安全策略是拒绝所有(Deny All),然后只准许哪些是必须的服务。尽可能少地提供服务,记录这些服务的使用日志,对应用的错误进行检测,当然你也可以进行入侵检测。了解网络上在跑些什么,如果管理员不知道网络上在跑什么东西,怎么保安全?内部尽可能隔离。隔离往往是最好的办法。不安全格式的内容尽可能不要流入内部,除非它是从可靠渠道来的。了解防火墙上流出的流量是什么,如果你了解了,你就不需要什么高级东西来判断木马、间谍软件、病毒、非授权访问等。最好全部七层都进行控制,而不只是一层,深层防御不是只在一层。不要浪费时间天天打补丁,如果你天天在大补丁,你已经被误导。移动办公隔离到一个独立的区,移动办公很好,可是不安全。防病毒软件很好,但不要指望天天升级。最好了解内部网络上使用的都是些什么软件。不要指望用户理解你的安全策略是什么,简单地说明该怎么做。安全外包是一个坏办法,除非你可以接受你的安全可以交给别人把握。

  马尔科斯相信这是一个简单而强大的主意。假如你采取了这些措施,你可能永远不会被黑。

  “少吃点,多锻炼,相信我,它非常有效”。

(T113)




赛迪网推出“IT博客”,花不到一分钟就完成注册
评论】 【推荐】 【 】 【打印】 【关闭

·Linux专区· ·黑客攻防·
· Linux下添加硬盘、分区、格式化任务详解
· FreeBSD服务器的安装与优化之优化篇
· 初学者入门:FreeBSD服务器的安装与优化
· 金企鹅杯两岸四地开源软件大赛圆满结束
· 如何提高Linux系统安全性的十大招数
· 构筑Linux防火墙之为个人用户设置防火墙
· 谁更安全?黑客眼中的防火墙与路由器
· 识破骗局 练就识别QQ活动真伪火眼金睛
· 应用安全大有可为:目的、挑战、总结
· 道高一尺魔高一丈:安全防御的动感魅力
· 警惕网络“内”院起火 积极谋求安内之路
· HHCTRL漏洞被黑客利用 疯狂传播木马
·中国信息化· ·成功案例·
· ERP普及化是饮鸩止渴 精细化才是应用之道
· 赛门铁克第八期《互联网安全威胁报告》解析
· 抢食“数字工商” 国产中间件杀出血路
· 从IBM等操作系统的发展看软件创新的启示
· 服务成就蓝色快车 品牌是怎样炼成的?
· 三大技术应用大会合为一体甲骨文上演三重奏
· 南阳教育城域网 拆掉学校间的“围墙”
· 金算盘助申意美步入信息化快车道
· 不为人知的索尼信息化 谁是幕后英雄?
· InforBus/Q在穗高速路联网收费系统中的应用
· J2EE构建最新金融理念和运作模式的网上银行
· 食品安全令人担心 信息化能否保驾护航
*姓  名: 更多资料 了解方案 认识厂商
*单位名称:
*联系电话:
*电子邮件:
    
◆ 相关文章   ◆ 站内热点推荐
· 网管员论坛
· 开发者之家
· WLAN无限未来
· 我是如何掉进C#的……
· 中国“人件”非正式调查

   
合作网站: IBM dW中国网站 LinuxAID 软件工程专家网 中国系统分析员 UMLChina MATRIX Mobile2008 JavaResearch 华储网 UML软件工程组织 中国JAVA手机网 JAVA中文站 金山在线 海量科技