通常情況，根本不需要同SSH/TELNET/SCP等協議硬剛，滲透攻擊簡單得很_風聞

【本文來自《不止西北工業大學，美國安局很可能利用這個工具對華發動大規模網絡攻擊》評論區，標題為小編添加】

• slash_1981
• 關鍵是這個飲茶攻擊武器是以什麼形式進入系統內的，一般院校和企業級系統內網是有硬件防火牆的，也有專門人員在維護。如果是交互指令集進來的那也太先進了，還高度模塊化；如果不是那就是寄生在第三方應用上安裝的，但安裝介質為什麼會有這種問題存在？而且對SSH、RSA這種本身的運行模式和漏洞非常的瞭解才可能實現，如果真的是這樣，那技術層面可能是和對手有代差的。

你想太複雜了，通常根本無需同SSH/TELNET/SCP等協議硬剛，滲透攻擊不要太簡單。

首先我想説安全性和可用性是兩個不可調和的極端，防火牆通常配置為只攔截由外到內的連接（主動從互聯網發起的訪問，被認為是非法訪問），由合法用户發起的從內到外的連接通常是不加管控或減少管控，不然用户使用起來會感覺網絡很難用，管理員處理用户報過來的“故障”會疲於奔命，所以網絡管理員為了減少麻煩和為了自己方便通常也不會把安全策略做得太死，長時間沒出過問題都會懈怠和產生僥倖心理，這就是問題的根源。

防火牆本身也可能存在漏洞的，不是有安裝了防火牆就安全了萬事大吉了，網絡上任何一個節點都可能是薄弱環節，如果防火牆運行的某些程序協議本身就存在安全漏洞或者人為留下的後門（不要不信，網絡設備本身存在漏洞被人黑掉我見得多了，其中就有美國思科和國內某二線品牌的網絡設備。思科設備還有隱藏命令，這些隱藏命令我們平常根本不會用到也沒人會告訴你，敲上去配置文件也不會顯示，但可以執行，功能幹嘛用的只有廠家才知道了），那麼你的防火牆不僅形同虛設，還會成為攻擊者的幫兇。只要拿到一台網絡設備的控制權，就可以利用這台設備進行橫向攻擊內網中的其它終端或者作為代理跳板欺騙滲透內網的更多終端。

為了方便移動辦公，通常都會給員工開通VPN，員工可以在世界上任何能連接到互聯網的地方撥通VPN連接到內網，方便是方便了，安全問題也隨之產生，如果員工的電腦感染了木馬病毒，內網就直接暴露在攻擊者面前，攻擊者可以通過這台員工電腦直接橫向攻擊內部其它終端，如果安全管控做得不好，內外網隔離就形同虛設。所以大廠和科研機構為什麼要求使用專用電腦，涉密機構不允許員工在公司以外的地方辦公，就是要減少員工辦公電腦被攻擊的概率。

還有一些運維人員圖方便，把服務器的登錄端口直接暴露在公網上，這很刑。只要留意下日誌就可以知道，一個新的IP暴露在公網上幾分鐘，就會遭受大量的嗅探攻擊和窮舉攻擊，不只是中國全世界都是這種待遇，只能説美國真的是喪心病狂。

其實技術都是好技術，只是人類用不好。最大的敵人來源於內部，最大的漏洞恰恰是人本身，絕大部分安全漏洞是內部人員造成的。

如果完全由AI來管控網絡，網絡會安全得多，但是我們人類不相信電腦，但人類自己又做不好，哈哈哈。

沒有絕對安全的系統，網絡安全只能是道高一尺 魔高一丈。

不只是IT從業人員，要小心謹慎，儘量避免自己的工作出現安全隱患風險，還要全員普及安全教育，只有所有人風險意識和專業素養提高了，才能儘可能避免安全事故發生。安全事故只能儘可能避免，不可能完全杜絕，因為人不是機器，是人就會犯錯，不可能有絕對安全的系統。

一個機構，安全風險是從物理空間到網絡空間方方面面的，還是動態的，細碎且複雜。有一個好的安全工程師非常重要，安全的硬件反倒是其次。

國內相當一部分國營企業，教育科研機構，系統啊網絡啊基本都是作為項目外包出去吃回扣的，技術好不好不要緊，能不能從中賺到多少錢是首要考慮，做出來的東西相當爛，沒人真正去認真負責，泄密事件層出不窮一點也不奇怪。國家推等保制度就是要樹立硬性標準，但是執行的還是人，上有政策下有對策，能起到多大作用呢……肥了搞採購的。

政務雲是很好的解決方案，所有數據上雲，雲系統有多重安全策略，加上有專業的團隊統一管理，只要把責任和流程抓好了，能減少絕大部分安全風險，安全性至少能提高一個數量級。

各位如果要部署系統，如果沒有自己的安全團隊，業務量也不太大的情況下，建議使用購買公私有云系統，性能和安全性都比自己假設服務器好太多。