能否從根本上建立一個高度安全的網路安全體系而不是在攻擊發生後對網路犯罪進行追蹤?
02-02
有沒有可能建成一個從本質上完全安全的網路,使得網路惡意攻擊成為永遠的過去?
簡單說,安全行為是有成本的,而且邊際成本遞減很快。從成本曲線上來看,接近於完全安全(假設存在的話),那麼成本趨向於無窮大。你確定想要麼?
廣義上說,若就算高額的安保投入可以近乎100%的概率檢測出犯罪,提高犯罪成本,遏制犯罪,但還有一時衝動而犯罪的。更何況由人設計,由人維護的系統。
國防項目保密嚴格吧?攻擊難度大吧?只要價值足夠高,直接收買人即可。只要一天攻擊的收益,大於攻擊的成本,那麼,惡意攻擊就不會停止,自然,有些人會成功。也自然,沒有絕對安全的系統。
是人造的東西,就會有漏洞。
能否從根本上建立一個高度安全的社會制度而不是在犯罪發生之後對罪犯進行審判和懲罰?
建議看看有關threat modelling的知識!
一種樸素的說法,就是 threat = damage × likelihood
對應threat,一般有四種選擇:1。接受風險,就是出事了認賠的意思;2。風險轉移,比如現在的雲服務,相當於用戶把宕機的部分風險轉移給了雲服務的運營商;3。清除可能風險,不是沒有危險,而是清除造成風險的原因。比如涉密電腦不上外網,相當於清除了通過外網泄密的風險;4。降低風險,改進演算法,改進流程等等來降低損失或發生的可能性;
因為安全是有成本的,所以當改進效益不足以彌補改進成本的時候,我們往往消極忍受這個threat!比如,一個電商的交易記錄要不要應對兩個數據中心同時被核打擊摧毀的情況?一個郵件系統要不要禁止緩存密碼,並禁止小於256個字元的用戶密碼?所以,在民用領域,絕對安全是不可能的,因為以利益為目的的tradeoff無處不在。當然,某些公司的商業利益受到威脅的時候,他們也還是會推動安全技術發展的,但這必然是遲緩,被動和漸進的過程。不會。不能。
題主太高抬雲網路了,雲網路大約能為安全體系的20%提供解決方案,且不論這個解決方案的市場接受度有多少
高度安全並非不可能,畢竟你並不是要求百分百安全。但是就目前互聯網的基本協議和管理方式來說,你這個要求太高了。
我覺得攻擊發生後,如果能夠有效地追蹤,這可能是最重要的。因為網路犯罪的一大特點就是不容易受到懲罰。許多公司被攻擊後,都要想方設法去收集證據,報警,就是因為,如果對方是堅定黑客,那麼不抓住他,他是不會善罷干休的不可能,任何計算機系統一定會有缺陷存在。有缺陷存在,就會有利用這種缺陷達到某些目的的方法,於是就有了「惡意攻擊」。對於一個計算機系統來說,沒有所謂的安全與不安全,有的只是系統被攻破所需要的時間和難度而已。
首先要解釋什麼叫雲時代?跨過長城,走向世界的郵件是存在「雲」上的嗎?如果是,現在跟當時有什麼本質不同?如果沒有,問題不成立啊。
不能。所有的安全問題最後都可以歸結到信任上,惡意攻擊正是一種對這種信任的特殊利用。如果想解決安全問題,只能是防止這種特殊利用或者根本就不信任。防止這種特殊利用是主流,而根本就不信任表現在某些保密機構根本就不連外網,所有內網機器插移動設備都要經過記錄和嚴格篩查,也就是說,沒有網路。
鎖先出來,然後通過不斷研究,出來解鎖方法。所謂的 後發制人,道高一尺魔高一丈……
雲技術沒取代舊有技術體系,所以雲安全也不可能取代舊有安全體系。安全挑戰無處不在,所以不可能根本解決
不可能,
推薦閱讀:
※phpMyAdmin現CSRF漏洞,用戶點擊鏈接就會刪除資料庫表
※新手必看:黑客入門技能表
※黑產拿下萬台IoT設備許可權,用來群發垃圾郵件
※域信任機制的攻擊技術指南Part.2