下载掌阅APP,畅读海量书库
立即打开
在解决安全问题的过程中,不可能一劳永逸,也就是说“没有银弹”。
一般来说,人们都会讨厌麻烦的事情,在潜意识里希望能够让麻烦越远越好。而安全,正是一件麻烦的事情,而且是无法逃避的麻烦。任何人想要一劳永逸地解决安全问题,都属于一相情愿,是“自己骗自己”,是不现实的。
安全是一个持续的过程。
自从互联网有了安全问题以来,攻击和防御技术就在不断碰撞和对抗的过程中得到发展。从微观上来说,在某一时期可能某一方占了上风;但是从宏观上来看,某一时期的攻击或防御技术,都不可能永远有效,永远用下去。这是因为防御技术在发展的同时,攻击技术也在不断发展,两者是互相促进的辩证关系。以不变的防御手段对抗不断发展的攻击技术,就犯了刻舟求剑的错误。在安全的领域中,没有银弹。
很多安全厂商在推销自己产品时,会向用户展示一些很美好的蓝图,似乎他们的产品无所不能,购买之后用户就可以睡得安稳了。但实际上,安全产品本身也需要不断地升级,也需要有人来运营。产品本身也需要一个新陈代谢的过程,否则就会被淘汰。在现代的互联网产品中,自动升级功能已经成为一个标准配置,一个有活力的产品总是会不断地改进自身。
微软在发布Vista时,曾信誓旦旦地保证这是有史以来最安全的操作系统。我们看到了微软的努力,在Vista下的安全问题确实比它的前辈们(Windows XP、Windows 2000、Windows 2003等)少了许多,尤其是高危的漏洞。但即便如此,在2008年的Pwn2own竞赛上,Vista也被黑客们攻击成功。Pwn2own竞赛是每年举行的让黑客们任意攻击操作系统的一次盛会,一般黑客们都会提前准备好0day漏洞的攻击程序,以求在Pwn2own上一举夺魁。
黑客们在不断地研究和寻找新的攻击技术,作为防御的一方,没有理由不持续跟进。微软近几年在产品的安全中做得越来越好,其所推崇的安全开发流程,将安全检查贯穿于整个软件生命周期中,经过实践检验,证明这是一条可行的道路。对每一个产品,都要持续地实施严格的安全检查,这是微软通过自身的教训传授给业界的宝贵经验。而安全检查本身也需要不断更新,增加针对新型攻击方式的检测与防御方案。