13个安全神话：你会相信吗

　　在IT安全领域，存在一些“安全神话”，它们经常被提到，普遍被接受，然而，其实都是不正确的观念，换句话说，它们只是神话。安全专家、顾问、供应商和企业安全管理人员和我们分享了他们最喜欢的“安全神话”，以下是我们从中选出的13个神话：

　　安全神话1：“更多安全更好”

　　安全专家兼安全作家Bruce Schneider解释了为什么这个经常被谈论的安全观念是错误的原因。他解释说：“更多安全并不意味着更好。首先，我们需要对安全进行权衡，有时候额外的安全花费的资金与其创造的价值并不对等。举例来说，并不值得我们花费10万美元去保护一个甜甜圈，当然，这个甜甜圈会更加安全，但是这种安全保护只是在浪费钱，”他还指出“额外的安全会导致收益减少。也就是说，减少25%特定犯罪(例如入店行窃)采取的措施需要花一些钱，但再减少25%采取额外的措施需要花更多钱。更多的安全性从成本效益角度来看并不值得。并且作为一个必然的结果，绝对安全是不可能实现的。”有时候安全甚至可能成为一种道德选择，合规可能是一种不道德的决策，因为这可能涉及到一个极权制度。“安全需要遵守合规，而有时候遵守并不是正确的事情。”

　　安全神话 2：“DDoS问题是以带宽为导向的”

　　“我们经常会听到各种没有真实证据支撑的安全神话，”Radware公司安全解决方案副总裁Carl Herberger表示，“在IT管理人员之间存在一个普遍的看法：只要他们具有足够的带宽，分布式拒绝服务(DDoS)攻击就会消失。”但事实上，研究数据显示，自去年以来，超过一半的分布式拒绝服务攻击根本不是以带宽为导向的，而是以应用程序为导向，攻击者会攻击应用程序堆栈，并利用漏洞造成服务中断。在这种情况下，很多带宽实际上会帮助攻击者。Herberger表示，只有四分之一的分布式拒绝服务攻击会随着带宽的增加而有所缓解。

　　安全神话3：“定期设定密码使用期限(通常每隔90天)能够加强密码系统”

　　EMC公司安全分公司RSA公司首席科学家Ari Juels在谈到他最喜欢的安全神话“密码必须定期设定过期时间”时表示：“我认为这像是一个敦促我们每天喝八杯水的健康建议一样，没有人知道这个说法是从哪里来的，也根本不知道这是不是一个好建议。事实上，最近的研究表明，定期的密码过期时间未必有用。”RSA实验室的研究表明，如果企业要设定密码使用期限，应该是根据随机时间来设定，而不是固定时间。

　　安全神话4：“你可以依靠群众的智慧”

　　“经常，员工会收到某个人发来的电子邮件说发现一个新病毒”或者互联网上出现了其他类型的危险，导致员工去找IT部门，Phoenix Suns篮球队信息技术副总裁Bill Bolt表示。但是经过调查，这些共有的观念似乎根本不是新鲜事，事实上，大部分时候，这种恐慌通常只是是关于十年前首次发现的知名恶意软件。

　　安全神话5：“客户端虚拟化可以解决‘携带自己设备上班’的安全问题”

　　“我经常听到这样的安全神话：‘携带自己设备上班’的安全问题可以通过部署‘工作’虚拟机和‘个人’虚拟机来解决，”Gartner公司分析师John Pescatore表示，“这样做的话，个人端的所有风险都将得到控制，并且没有数据会从工作端泄露到游戏端。”但是对此Pescatore表示怀疑。“情报界在多年前也尝试过这个方法，美国国家安全局雇佣了当时还是小公司的VMware公司来开发一个名为NetTop的产品以用于情报分析，这个产品为机密、绝密、非机密等信息分别创建了独立虚拟机，很快就出现了一个问题，分析师需要同时跨域所有域来工作，需要在域间移动信息。对于现在的‘工作’和‘游戏’也是同样的情况，客户端虚拟化首先出现的事情是：我在工作环境收到一封个人电子邮件，而我需要在个人环境使用这封邮件，所以我将邮件发给我自己，或者使用USB来转移，这样这种隔离就失去作用了。虚拟化只是浪费钱。NetTop仍然在使用，不过仅限于在情报界使用，这是这种产品最有可能有效发挥作用的领域。”

　　安全神话6：“IT部门应该鼓励用户使用完全随机的密码来提高密码安全强度，还应该要求密码至少每隔30天修改一次。”

　　赛门铁克安全响应部门主管Kevin Haley表示，“事实上，完全随机的密码是很强大，但是它们也有缺点：很难让人记住，输入速度也很慢。在现实中，可以通过使用一些简单的技巧，很容易地创建和随机密码一样强大的密码，而且更加容易记住。密码至少要14个字符长，利用大写和小写字母，两个数字和两个符号，这样的密码通常就相当强大了，并且可以使用很容易记住的短语。”他补充说虽然30天使用期限对于一些高风险环境是一个很好的建议，但这通常并不是最好的政策，因为这么短的使用期限往往会导致用户提前准备好类似密码或者降低密码的有效性。90到120天的期限更加现实。