用“黑客式”思维思考安全问题

来源: 中国计算机报作者:那罡
2010/12/1 11:03:40
在RSA 2010信息安全国际论坛上,信息安全领域最具影响力的五大思想家之一赫伯特·H·汤普森指出:“黑客正在不断改变攻击方式,人们只有同样具备‘黑客式’的思维方式,从黑客的角度去看安全,才能发现潜藏的威胁。”

分享到: 新浪微博 腾讯微博
本文关键字: 网络安全 黑客 思维

在首届于中国举办的RSA 2010信息安全国际论坛上,信息安全领域最具影响力的五大思想家之一赫伯特·H·汤普森指出:“黑客正在不断改变攻击方式,人们只有同样具备‘黑客式’的思维方式,从黑客的角度去看安全,才能发现潜藏的威胁。”

黑客更关心应用

整个信息安全领域正在产生巨大的变化,信息安全的主题从终端安全、网络安全向应用安全转变。以前人们可以通过参数决定网络的安全性,而现在网络安全的评估标准是数据的安全,应用漏洞才是风险的根源。软件的安全性变得越来越重要,它正快速延伸到个人应用。以前黑客还仅仅是攻击Windows系统,而现在像Flash这样的应用才是攻击者的最爱。

赫伯特·H·汤普森表示:“信息安全领域中出现了很多非常有意思的问题,有的问题是逻辑性很强的,有的是完全没有逻辑的。对于现在的黑客来说,他们总是在不断进行改进。由于软件设计越来越复杂,我们不能再按照以前的态度去对待黑客,反而要重视一些极端的例子。而且,我们要不断地向自己提问,比如我所研究的应用和系统将会出现什么样的问题。我们要怀有这样的热情,打破以往固有的范式,像黑客一样思维。当前,在美国的大学里,我们已经开始向学生们灌输‘黑客式’的思维方式。”

当前许多关于应用安全的标准定义都仅限于应用的保密性、一致性等问题,但赫伯特·H·汤普森认为,信息安全的脆弱性更多源于应用与安全的不匹配关系。比如,软件设计者如何能够合理地使用户得到相应的信息,如何让软件起到合理的作用。

就某些方面而言,软件开发者的“坏习惯”是让应用不够安全的根源之一,绝大多数开发者在编写代码的过程中都没有考虑安全性。赫伯特·H·汤普森表示,已经有许多大型企业、机构开始对开发人员进行安全培训,培训自己的开发者正确编写安全的代码,增强开发者的安全意识。此外,现在还有对源代码进行安全漏洞扫描的工具,开发者可以利用这些工具,发现其所开发应用的安全隐患。

云计算的双面刃

EMC全球执行副总裁、RSA全球总裁亚瑟·W.·科维洛表示,新一轮经济增长的动力是云计算,但是由于安全问题没有解决,目前人们对云计算缺乏信心。解决云计算的安全问题,需要采取综合的、系统化的、内嵌的安全方式。正如黑客形成地下产业链一样,全社会的企业、厂商和政府也要协同工作,形成针锋相对的产业链,才能击败黑客犯罪集团。

CIO们往往会担心当企业业务与云结合后,要考虑更多的动态因素,以及资源的可控性。毕竟虚拟机可以在不同的物理机上通过某种机制进行转移,这一动作甚至会连带防火墙或者整个安全策略发生变化。

赫伯特·H·汤普森解释说:“云计算在给人们带来便利的同时,也会给黑客带来‘便利’。黑客可以利用云计算资源,研究出更有创新性、更高效的攻击方法。比如个性化的定制攻击,会伪装成人们的朋友、亲人,通过Twitter、Facebook、开心网等发起让人难以察觉的网络攻击。现在的IaaS和PaaS都存在一定的安全隐患,但人们已经开始关注这个问题了。 ”

责编:刘沙
vsharing 微信扫一扫实时了解行业动态
portalart 微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
    畅享IT
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map