【IT168 评论】连日来，“棱镜门”引发了全球网络空间安全问题的大讨论，在围观或声讨“棱镜门”的同时，对于企业的IT掌舵人来说，则更需要评估自身的安全状况和弥补漏洞。为此，我们专门采访了锐捷网络安全产品总监王福光先生，王福光向企业用户建议，企业需要重新审视自身的网络安全防御系统，并及时纠正错误，回到正确的航线上来。

▲锐捷网络安全产品总监王福光

　　误区一：安全防御不能仅关注“安全设备”

　　“安全是一个木桶，要找出短板……”简单回忆最基础信息安全知识之后，都会想起木桶理论。但实际上，这一理论首先告诉我们的，就是要对安全有一个“完整的视野”，不能仅仅局限在安全设备上。

　　今天，病毒泛滥、操作系统漏洞“每日一补”，这些都让企业的网络管理人员在服务器、应用层的安全防护投入了太多的精力，致使网络设备本身的安全被遗忘或被忽略。然而，在棱镜门的带来的重要启示之一就是包括系统、网络设备在内的整体安全概念。

　　有人认为这项窃取技术非常复杂，但实际上如果在网络底层操作，便可以轻松地截获互联网上没有加密的任何数据。在技术层面上，处在互联网骨干节点的路由器或者交换机，任何一个互联网用户的信息都必须要通过这些节点。只要在这些路由器上启用数据镜像功能，就能简单地把需要的信息复制一份，发送到指定的位置进行存储，而后进行还原即可。

　　之所以要强调安全是一个整体，这是因为OSI/RM参考模型的每层都可能成为攻击的目标，因为在每层中运行的物理硬件、服务和协议都可能存一些安全漏洞。这里还要特别提醒一些“专网”用户，在一些涉密部门的内网和专网中，虽然核心网络设备虽然没有直接接触到互联网，但也有可能造成信息泄露，尤其是只采取了逻辑隔离措施的网络中。即使是采用了物理隔离的专网，由于经常需要厂商对设备进行软件升级或者硬件维修，一旦基础设施被人通过这种“维修或服务”的渠道进行“接触”，就极有可能产生被监控、泄密的风险。因此，建立完整的安全体系和策略十分重要。