從對付海盜經驗領悟出網路安全思維？

對於網路安全， 大家經常會有不同的想法，Wired雜誌的專欄作家Peter Singer 和 Allan Friedman最近總結了網路安全常見的5個想法：

想法 1: 網路安全的挑戰與人類歷史很相似

人們經常會覺得跟不上全球資訊時代的日新月異步伐。其實仔細想想，在維多利亞時代人們是如何看待通訊從馬車時代進入到電報時代，進而到無線電時代就明白了，這一類變化並非目前所獨有。

回顧歷史能夠令我們了解到如何適應目前的變化。這裡我們指的並不是僅僅瞭解Internet歷史，而是包括瞭解IT領域以外的歷史發展。比如說，在考慮政府應該在資訊時代的角色時，我們可以研究一下歷史上的一些例子。如疾病控制中心的例子。公共衛生領域的例子可以告訴我們預防的重要性，人們的衛生意識和衛生知識的重要性，以及可信的資訊共用的重要性。在考慮如何對付網路犯罪甚至是背後國家支援的網路犯罪行為時，我們不妨可以借鑒歷史上對付海盜的經驗，各國政府在海上追蹤海盜，搗毀海盜的黑市和網路，建立國際間海上行為準則等。在為了公共利益需要規範一些私人公司的行為時，我們也不妨借鑒一下人們在治理環境污染方面所採取的法律與經濟手段。

當然，網路安全與這些領域並不完全一樣， 不過， 我們所碰到的很多問題其實並不算是新問題。

想法 2: 我們每天都面對幾百萬次網路攻擊

這話是退休的美國軍隊情報局亞歷山大將軍在2010年美國國會就中國對美國進行網路攻擊作證時講的話。有趣的是，中國的領導人也在用同樣的話指責美國。這些話是對的，但也是毫無意義的。

計算每次攻擊或者多少惡意軟體就好像是在數細菌的數量一樣，你很容易就得到一個巨大的數字，而你真正需要關心的是影響究竟有多大和源頭在哪裡，而且，這些數字經常會誤導我們，很多所謂的攻擊統計只是對系統的探查，這些幾百萬的探查在還沒有進行實質攻擊前就被基本的防禦系統比如防火牆， IDS/IPS記錄下來， 這些行為與真正的攻擊記錄混在一起都被記成了一次網路攻擊。這就好像我們把間諜們使用手槍，恐怖分子放炸彈， 發射導彈都統計為攻擊，僅僅是因為它們都採用了火藥？！LOL:)

一個正確的方式應該是根據攻擊的影響對這些攻擊進行分級，關注那些高風險的攻擊行為，研究它們的特點，找到它們的源頭。

想法 3: 這是一個技術問題

在網路安全領域，有很多技術/工具或者技術層面的新知，但是網路安全更著重的是「人」。如果企業或者個人不去加強自身的安全意識，採用多好的技術也不能達到真正的安全。

對此，最重要的事我們首先要改變我們對網路安全的恐懼和無知，這樣的恐懼和無知會使我們試圖靠一個完美的技術方案來保護我們的資訊系統。只要我們在使用Internet, 我們就存在著被網路犯罪分子攻擊的可能性。關鍵是我們面對網路攻擊如何處理。“保持冷靜”是關鍵，這一點對企業高層和媒體尤其重要。媒體經常會報導電力系統如何遭受攻擊，華爾街如何遭受攻擊，其實，每年因為松鼠導致的電力系統故障有好幾百次，而導致NASDAQ停機也有過兩次，如果我們能夠對於網路攻擊不再恐懼，我們才能夠更好的處理網路安全風險。

想法 4: 網路安全方面，最好的防禦就是防守

五角大樓的將軍們總是提到那些小孩坐在家裡的地下室就能夠發動一場大規模殺傷性戰爭。五角大樓甚至發佈了報告聲稱網路攻擊在“可預見的將來”將會成為戰爭的主要形式。因而，五角大樓每年花在網路攻擊方面的研究經費是網路防禦研究的2.5倍。

事實上，情況沒有那麼簡單。Stuxnet 是用來攻擊伊朗核設施的武器。通過它，人們認識到網路攻擊的嚴重威脅，不過，也使得人們認識到，進行網路攻擊並不像小孩般便能搞定的，它需要非常高的技術能力和專業素質。製造Stuxnet需要情報分析，對核子物理設施的理解以及很高的IT技能。

更重要的是，最好的防禦是進攻並不是一個正確的戰略。現在的世界已經不是冷戰時期的雙邊關係，你很容易分清敵我。現在的情況錯綜複雜，攻擊者的類型五花八門。這就像如果你想保護你的玻璃窗不被扔雞蛋，你不能沖出去把鄰居家小孩，路過的路人或者恐怖分子都去打一頓。儘管聽起來不那麼有衝擊力，但是無論是欖球比賽還是網路安全， 最好的防守就是防守。

想法 5: 駭客是互聯網的最大威脅

在互聯網上確實有壞人，但是如果我們自己不小心，小病也會變成大病。互聯網依靠一個相互信任的生態系統而存在。我們面臨的威脅也是來自多方面的，從盜竊Target的網路犯罪集團， 到NSA收集公民隱私， 到GFW, 到俄羅斯的8萬2千個惡意網站。這些都對互聯網的可信、公開以及自治理念構成嚴重威脅。相比之下，駭客所帶來的威脅只是很少的一部分。