网络安全 频道

十条基本错误引正安全维护

  6. 低估了测试的重要性:即使安全方面的专家也不是了解全部,他们也有其专长的领域。同行评议(peer review)是在安全方面被认为是最可靠的保证,只有在外部的安全专家对计划进行评估后,才能确认它是不是真正的象纸面上描述的那么有效。

  7. 高估的加密重要性:许多安全软件开发商经常犯的错误就是低估测试的重要性,而高估了加密的重要性。他们在形式上进行了同行评议,但更多的关注是放在了安全策略上。而安全研究中最根本的柯克霍夫原则中已经指出,任何制度的安全依靠的都是系统本身的设计,而不是添加的安全策略。

  8. 识别要求很容易被伪造:凡是涉及到的传真签名、或发送影印或扫描身份证的安全措施,基本上都只是一个摆设;在这种情况下,不可能会有真正的安全。因为,到目前为止,副本实在是太容易被伪造了。实际上,象签名和身份证这样的验证手段,唯一的出路是提高副本的质量。换句话说,就是只有副本不能被伪造,才能保证安全的有效。

  9. 不必要的重复:很多情况下,安全商提供的所谓的新软件,实际上已经存在了,并没有什么真正的理由显示必须这么做。许多软件供应商的新软件并没有什么更新的功能和需求。新软件往往没有进行足够的测试,这样的话,会有很多错误的存在。因此,在安装新的软件之前,考虑为什么要这样做,这样会带来什么好处是最重要的。并且,要了解是不是可以在已有软件上安装补丁就可以达到相同的效果,从而不必重新创建全新的替代系统。

  10. 为了所谓的安全感放弃安全:这是一个非常荒谬的错误,我都没有办法进行解释。它也是如此的普遍,以至于我不能将它移出列表。人们将自己的私人隐私领域向任何告诉他们“相信我,我是一个专家”的人开放,并且他们这样做是心甘情愿地,热切地,而且往往不进行思考。 “证书颁发机构”告诉你谁应该被信任,从而剥夺你对信任的决定权;电子邮箱服务供应商提供对服务器的加密和解密,从而剥夺你选择端对端加密以及控制自己的密钥的权力;操作系统未经你的同意决定如何执行,从而剥夺你保护自己免于受到移动恶意代码的能力。不要放弃自己对安全的控制,而托付给第三方。当然,你不能自己编写一个良好的安全工具或者安全策略,但这并不意味着这个工具或者策略可以摆脱你的控制,自行其事。

0
相关文章