总有人问我,我们的网络安全吗?我也常常在自问,什么样的网络是安全的,几个月前,我曾问过一个有近20年经验的网络专家,他是cisco认证的security CCIE和R&S的CCIE。我问他,究竟有没有一种办法对网络安全做一个量化的评估,他没有回答,对我笑了一笑,我当时很纳闷......
        网络安全是什么,数据加密?访问控制列表?防火墙?端口安全?×××?如果这样答,我相信一个资深的网络工程师可以轻松的部署10种以上的安全技术,但是这样,网络就安全了吗。如果不是,那什么样的网络是安全的,有人说,拔了网线的主机就是安全的,还有人更搞笑,说把机器关了一定安全。关于这个问题,美国有个知名的***有过答案,他曾经因为盗取国家机密被美国全球通缉,后来他写了一本书,书中他讲到,关了机器就真的安全?其实只要找个借口让你同事把机器开起来就可以了......
        有一部电影,里面有个女主角总是穿着雨衣又戴着太阳眼镜,她说那是因为她永远都不知到什么时候会下雨,而什么时候又会出太阳。安全这个概念从来都不是绝对的,就好像天气一样。而人们却总喜欢通过所谓的安全技术在潜意识里的获得虚假的安全感,做着一出又一出的安全梦,殊不知所谓的安全,其实就像房地产和娱乐圈一样泡沫,当有一天泡沫破碎从梦中醒来,却又把责任怪罪于技术的薄弱。
        网络安全,它不是一个技术问题,或者说,不单单是一个技术问题。举个例子,很多人为了保证口令的强度而设置一个复杂的密码,却又因为怕忘记而把它以明文的形式写在文本中......又比如很多公司为了保证网络安全,花了大把银子采购了大量的安全设备部署了一系列的网络安全措施,却把机房和机柜的钥匙随意的插在门上,回头又到处的去炫耀自己的设备。这就好像是刚开学的小学生,天真的以为换了新书包新铅笔去上学,一切都变的不一样了......
        可能你还记得老师曾为动名词的含义进行讲解,也许她会这么举例,名词是表示一个客观存在的事物,就好像“人”就是一个名词,但是我更倾向于佛家的说法,佛家曾说,“人”是一个动词,它代表一个生物一系列的过程,生老病死,喜怒哀乐,网络安全何尝不是如此,它从来都不是一副挂在墙上的画,而更像是一部刚开始播放的电影,谁都不会知道结局会怎么样......
        那网络安全是什么?我个人认为,它是以各种技术为基础,通过人和管理的结合,所部署的一整套以实现安全作为目的的策略,而作为一个网络安全工程师的责任,从来都不是构建一个安全的网络,因为你永远都不知道什么时候会下雨,而什么时候又会出太阳。而所谓的量化评估,仅仅不过是通过现有的经验去和你的策略做比较,得出一个让你满足于虚假安全感的数字罢了......