安全产品并不代表安全

安全软件多了漏洞也可能越多”这句话可能匪夷所思，其实安全软件的许多功能需要侦听网络上的数据传输，因此，很多安全软件产品需要建立新的通信端口或要求开放原本需要关闭的端口，这就给很多入侵者提供了进入系统的机会。这样，如果不假思索地采用信息系统安全产品，也很有可能给入侵者有更多的可乘之机。同时，安全软件安装得越多，尤其是大众化的安全软件产品安装得越多，存在的弱点漏洞也就越多，给入侵者提供的机会也越多，被入侵的机会就越大。目前网络上存在大量的免费安全软件系统供下载使用，这里面存在大量人为的后门程序和弱点漏洞，一经使用可能会后患无穷。

另外，一个杀毒软件、一个防火墙、一个网络扫描器都可以解决部分的安全问题，但这仅仅是安全产品，而互联网技术的每一步发展，都伴随着新的黑客技术及漏洞的产生，任何单一的防护产品或方式都无法终结网络威胁，真正的安全是动态的，企业管理者往往有一种错觉，为了避免网络安全事件带来的损失，只有借助于安全产品。而企业领导和员工的安全警惕性可能会因有了安全产品而减弱，安全产品采用越多，配置的复杂度大大增加，导致了配置不当、管理不严，从而漏洞百出。例如，很多企业的领导认为，只要安装了防火墙网络就安全了，其实这本身就是一个很大的错觉，由于互联网的开放性，有许多防范功能的防火墙也有一些防范不到的地方：首先，防火墙不能防范不经由防火墙的攻击。例如，如果允许从受保护网内部不受限制的向外拨号，一些用户可以形成与Internet的直接的连接，从而绕过防火墙，造成一个潜在的后门攻击渠道。其次，防火墙不能防止感染了病毒的软件或文件的传输，这只能在每台主机上装反病毒软件。还有，防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时，就会发生数据驱动攻击。所以我们说，防火墙是一个网络安全产品，但是它并不代表网络安全。

安全产品能够发挥作用的前提是使用者能够充分利用产品所提供的安全功能来避免安全事件的发生。防火墙就是一个很好的例子，防火墙的配置比较简单，但是配置的正确与否却关系重大，而且，因为企业可能不断的增添新的网络设备、服务器，那么企业的网络结构也必然总处于变化当中。如果认为防火墙一旦安装成功，企业网络就安全了，那就大错特错了。按照安全公司的标准，一个企业至少应该半年以内，根据企业网络状况的改变，调整安全策略，适当更新防火墙的配置。否则，企业将处于一个安全漏洞不断增加，以至所有安全设施形同虚设的危险状态。