在IT安全方面,企业通常有两种不同的目标:任务性目标(mission)和强制性目标(compulsory)。任务性目标的实现直接关系到企业创收与增加利润;强制性目标的实现则主要是出于谨慎和遵守规则的考虑。购置保险就是强制性目标的一个例子。公司购买责任保险以降低可能的损失。很多公司十分重视任务性目标的实现,将其置于很高的优先级,而不是强制性目标。网络安全是强制性业务目标的另一个例子。当现有的网络防御措施不足以抵抗精心设计的攻击时,一些公司会自然地选择进行风险分析(risk analysis),并继而以此来决定在网络安全方面的支出。有时,网络的规模和复杂性使得符合成本效益的防御实际上无法抵御风险。所以有的公司干脆选择了放任风险的存在。
也许你的公司的网络防御焦点是放在检测和防范攻击上的,但是,仅仅阻挡网络访问或关闭边界是不够的。这些防御措施不可能是完全可靠的、全自动化的或是能全面应对各种潜在攻击的。任何从事安全行业的专业人员都知道内部威胁和外部威胁同样严重,然而大多数防御措施都不是面向内部威胁的。目前,在一个拥有5万结点的网络中,要在每一个端口都实现入侵防护、病毒防范、内容过滤、流量分析以及应用行为分析是不经济、不现实的。即使公司财力充足,能做到这点,也还会需要更多的防御措施。因为上述网络防御措施不可避免地会存在一些漏洞,而这些漏洞可能会被利用且直接用于攻击该公司。例如,众所周知的绕过入侵检测系统的方法中,加密就是其中较为简单的一种。采用加密的应用软件能很好地降低攻击的成功率。
解决这些漏洞的唯一出路就是采用基本的防范策略,该策略的做法就是移除每一个防御失效的结点。大多数网络安全策略依赖于边界防御(perimeter)和/或链接防御(bolt-on defense),但如果这些防御措施失效,就会导致主机向各种漏洞利用手段完全打开大门。这就是网络过度开放所导致的最糟糕的情况。用户觉得安全,但并不是真正的安全,需要增加额外的安全防御措施,其中一项就是主机必须加强防御,排除各种可能被利用的漏洞。
