在过去的70年间,信息世界发生了很大的改变,计算机逐渐成为我们生活中不可或缺的组成部分。但实际,信息安全的科学理论自上世纪80年代以来, 就一直没有新的重大发展。
人们需要一种源自于政府、企业、专家等各方力量的保护,信息安全防护技术还并不是一门确定性的科学,它是理性头脑下的艺术,像炼金术一样,需要通过不断的实践调整。信息安全技术迫切需要重大的革新,这是一个世界性的课题。重新构筑一套完整的理论体系可能需要很长的时间,而制定合理的实践标准( Standard of Practice ,SoP)却是可行的,而且很多实践标准实际上正在被广泛地使用。
实践标准可以推动理论体系的发展,而理论体系又可以指导实践标准的改进。本次演讲将主要对实践标准与理论体系之间的互动过程进行深入的阐述和分析,这一过程也需要我们共同的参与和努力。
信息保护是一门艺术
如今“计算机安全”已经成为一种有价值的商业活动。赚钱一直是商业的主要目的。但是我们要考虑,如果厂商把安全服务做得太好,让客户感觉不到威胁的存在,客户也就不再需要安全服务;但反之,如果厂商把安全服务做得不好,那么客户为什么还要花钱去购买它呢?我们该怎样向消费者推销安全软件?这里有三个问题:恐惧、不确定性和怀疑,即FUD。
“F”恐惧就是坏事即将发生,或者它已经在别人身上发生了;“U”不确定性 ,如何知道自己是安全的,谁是你的守护者;“D”怀疑,不仅你本身存在这个问题,即便是NSA(美国国家安全局)也不能保住你的秘密。比如我们购买每个产品,有的商家会这样宣传:快来使用我们的产品吧,绝对保障你的安全,NSA都已经在使用我们的产品了。但是现实是我们在电脑安全方面还存在很多不确定性。所以,可以看到,FUD是人们普遍面临的一个问题,也是我们现实面临的问题。
无知并不等于幸福。政府更倾向于攻击而不是防御,政府机构往往把更多的精力用于研究如何入侵并获取情报,他们认为最好的防御就是进攻,包括对情报的需求超过了对安全操作的需求。这样就造成对于自身网络系统的安全防护明显投入不足。但恰恰在此同时,支撑政府工作的各种公共基础设施已经开始越来越多地接入网络,比如水、食品、燃料、 电力等系统,并且非常依赖于网络所提供的信息支持。
有关安全防护的一些经验法则,比如应该定期更改密码,安全防护措施越多,安全防护效果就会好等等。但是,绝大多数的经验法则并没有多少理论依据,定期更改密码实际上是二战时期使用的安全策略,而安全措施越多越好的概念则完全是一种主观认识,没有任何客观依据。同时,绝大多数的安全概念也并非来自于理论基础,比如概率风险评估(PRA)在安全领域很少被使用。我们认为信息保护更多的是一种科学的方式,而现实是我们需要更多的测试,绝大多数的安全概念并不是理论,而是实践中有没有更好的发挥作用的方法。很好的一个例子就是科学法则并没有真正的奏效。
为什么要这样做呢?我们应该考虑合理性的决策。但是应该如何选择,怎样进行决策,选择什么样的因素用于决策才是明智的?选择项是不是有限呢?又为什么选定这些条件因素,或者在什么场景下做出选择?这些都是合理性决策需要考虑的因素。这也是我们基本的运营方式。
那么,怎样决策才是科学的?现实情况是目前还没有完全科学的决策,但将来很有可能会有。比如,我们有很多组织拥有成熟的模型,可以有助于减少错误和遗漏。同时,保密性是我们的目的,透明度是我们进行决策设计时的一个重要测量因子,所以需要进行更加科学和多元的研究,来修正系统防护中的错误和遗漏的盲点。
如何进行科学研究来明确这些方面呢?这就是我们现在面临的问题。目前所谓标准化的决策过程并不是真正完美的,你可以直接下载一些标准化的流程进行隐私保护,也可以直接阅读和使用它的操作方法,但这并不是所谓的真正标准或者万无一失措施。在安全体系也是如此,有了防火墙并不能解决一切袭击问题。所以要做的就是要找到这个病毒的基本数据库,然后发现问题,基于现在的问题使用同样的一种机器语言来解决这些问题,要找到的答案必须是合理的,我们必须要有专家来做出决策。所以,要更加系统化地来操作这样的流程。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。