通常情况，根本不需要同SSH/TELNET/SCP等协议硬刚，渗透攻击简单得很

【本文来自《不止西北工业大学，美国安局很可能利用这个工具对华发动大规模网络攻击》评论区，标题为小编添加】

• slash_1981

• 关键是这个饮茶攻击武器是以什么形式进入系统内的，一般院校和企业级系统内网是有硬件防火墙的，也有专门人员在维护。如果是交互指令集进来的那也太先进了，还高度模块化；如果不是那就是寄生在第三方应用上安装的，但安装介质为什么会有这种问题存在？而且对SSH、RSA这种本身的运行模式和漏洞非常的了解才可能实现，如果真的是这样，那技术层面可能是和对手有代差的。

你想太复杂了，通常根本无需同SSH/TELNET/SCP等协议硬刚，渗透攻击不要太简单。

首先我想说安全性和可用性是两个不可调和的极端，防火墙通常配置为只拦截由外到内的连接（主动从互联网发起的访问，被认为是非法访问），由合法用户发起的从内到外的连接通常是不加管控或减少管控，不然用户使用起来会感觉网络很难用，管理员处理用户报过来的“故障”会疲于奔命，所以网络管理员为了减少麻烦和为了自己方便通常也不会把安全策略做得太死，长时间没出过问题都会懈怠和产生侥幸心理，这就是问题的根源。

防火墙本身也可能存在漏洞的，不是有安装了防火墙就安全了万事大吉了，网络上任何一个节点都可能是薄弱环节，如果防火墙运行的某些程序协议本身就存在安全漏洞或者人为留下的后门（不要不信，网络设备本身存在漏洞被人黑掉我见得多了，其中就有美国思科和国内某二线品牌的网络设备。思科设备还有隐藏命令，这些隐藏命令我们平常根本不会用到也没人会告诉你，敲上去配置文件也不会显示，但可以执行，功能干嘛用的只有厂家才知道了），那么你的防火墙不仅形同虚设，还会成为攻击者的帮凶。只要拿到一台网络设备的控制权，就可以利用这台设备进行横向攻击内网中的其它终端或者作为代理跳板欺骗渗透内网的更多终端。

为了方便移动办公，通常都会给员工开通VPN，员工可以在世界上任何能连接到互联网的地方拨通VPN连接到内网，方便是方便了，安全问题也随之产生，如果员工的电脑感染了木马病毒，内网就直接暴露在攻击者面前，攻击者可以通过这台员工电脑直接横向攻击内部其它终端，如果安全管控做得不好，内外网隔离就形同虚设。所以大厂和科研机构为什么要求使用专用电脑，涉密机构不允许员工在公司以外的地方办公，就是要减少员工办公电脑被攻击的概率。

还有一些运维人员图方便，把服务器的登录端口直接暴露在公网上，这很刑。只要留意下日志就可以知道，一个新的IP暴露在公网上几分钟，就会遭受大量的嗅探攻击和穷举攻击，不只是中国全世界都是这种待遇，只能说美国真的是丧心病狂。

其实技术都是好技术，只是人类用不好。最大的敌人来源于内部，最大的漏洞恰恰是人本身，绝大部分安全漏洞是内部人员造成的。

如果完全由AI来管控网络，网络会安全得多，但是我们人类不相信电脑，但人类自己又做不好，哈哈哈。

没有绝对安全的系统，网络安全只能是道高一尺 魔高一丈。

不只是IT从业人员，要小心谨慎，尽量避免自己的工作出现安全隐患风险，还要全员普及安全教育，只有所有人风险意识和专业素养提高了，才能尽可能避免安全事故发生。安全事故只能尽可能避免，不可能完全杜绝，因为人不是机器，是人就会犯错，不可能有绝对安全的系统。

一个机构，安全风险是从物理空间到网络空间方方面面的，还是动态的，细碎且复杂。有一个好的安全工程师非常重要，安全的硬件反倒是其次。

国内相当一部分国营企业，教育科研机构，系统啊网络啊基本都是作为项目外包出去吃回扣的，技术好不好不要紧，能不能从中赚到多少钱是首要考虑，做出来的东西相当烂，没人真正去认真负责，泄密事件层出不穷一点也不奇怪。国家推等保制度就是要树立硬性标准，但是执行的还是人，上有政策下有对策，能起到多大作用呢……肥了搞采购的。

政务云是很好的解决方案，所有数据上云，云系统有多重安全策略，加上有专业的团队统一管理，只要把责任和流程抓好了，能减少绝大部分安全风险，安全性至少能提高一个数量级。

各位如果要部署系统，如果没有自己的安全团队，业务量也不太大的情况下，建议使用购买公私有云系统，性能和安全性都比自己假设服务器好太多。