科技: 人物 企业 技术 IT业 TMT
科普: 自然 科学 科幻 宇宙 科学家
通信: 历史 技术 手机 词典 3G馆
索引: 分类 推荐 专题 热点 排行榜
互联网: 广告 营销 政务 游戏 google
新媒体: 社交 博客 学者 人物 传播学
新思想: 网站 新书 新知 新词 思想家
图书馆: 文化 商业 管理 经济 期刊
网络文化: 社会 红人 黑客 治理 亚文化
创业百科: VC 词典 指南 案例 创业史
前沿科技: 清洁 绿色 纳米 生物 环保
知识产权: 盗版 共享 学人 法规 著作
用户名: 密码: 注册 忘记密码?
    创建新词条
科技百科
  • 人气指数: 4006 次
  • 编辑次数: 1 次 历史版本
  • 更新时间: 2014-06-03
高兴
高兴
发短消息
相关词条
特朗普政府网络安全行政命令草案
特朗普政府网络安全行政命令草案
网络威胁联盟
网络威胁联盟
美俄网络安全基础概念界定
美俄网络安全基础概念界定
安全研究主要理论范式
安全研究主要理论范式
安全研究
安全研究
国际安全观之比较
国际安全观之比较
安全的再定义
安全的再定义
建构主义安全研究范式
建构主义安全研究范式
巴黎学派与批判安全研究
巴黎学派与批判安全研究
非传统安全理论
非传统安全理论
推荐词条
希拉里二度竞选
希拉里二度竞选
《互联网百科系列》
《互联网百科系列》
《黑客百科》
《黑客百科》
《网络舆情百科》
《网络舆情百科》
《网络治理百科》
《网络治理百科》
《硅谷百科》
《硅谷百科》
2017年特斯拉
2017年特斯拉
MIT黑客全纪录
MIT黑客全纪录
桑达尔·皮查伊
桑达尔·皮查伊
阿里双十一成交额
阿里双十一成交额
最新词条

热门标签

微博侠 数字营销2011年度总结 政务微博元年 2011微博十大事件 美国十大创业孵化器 盘点美国导师型创业孵化器 盘点导师型创业孵化器 TechStars 智能电视大战前夜 竞争型国企 公益型国企 2011央视经济年度人物 Rhianna Pratchett 莱恩娜·普莱契 Zynga与Facebook关系 Zynga盈利危机 2010年手机社交游戏行业分析报告 游戏奖励 主流手机游戏公司运营表现 主流手机游戏公司运营对比数据 创建游戏原型 正反馈现象 易用性设计增强游戏体验 易用性设计 《The Sims Social》社交亮 心理生理学与游戏 Kixeye Storm8 Storm8公司 女性玩家营销策略 休闲游戏的创新性 游戏运营的数据分析 社交游戏分析学常见术语 游戏运营数据解析 iPad风行美国校园 iPad终结传统教科书 游戏平衡性 成长类型及情感元素 鸿蒙国际 云骗钱 2011年政务微博报告 《2011年政务微博报告》 方正产业图谱 方正改制考 通信企业属公益型国企 善用玩家作弊行为 手机游戏传播 每用户平均收入 ARPU值 ARPU 游戏授权三面观 游戏设计所运用的化学原理 iOS应用人性化界面设计原则 硬核游戏 硬核社交游戏 生物测量法研究玩家 全球移动用户 用户研究三部曲 Tagged转型故事 Tagged Instagram火爆的3大原因 全球第四大社交网络Badoo Badoo 2011年最迅猛的20大创业公司 病毒式传播功能支持的游戏设计 病毒式传播功能 美国社交游戏虚拟商品收益 Flipboard改变阅读 盘点10大最难iPhone游戏 移动应用设计7大主流趋势 成功的设计文件十个要点 游戏设计文件 应用内置付费功能 内置付费功能 IAP功能 IAP IAP模式 游戏易用性测试 生理心理游戏评估 游戏化游戏 全美社交游戏规模 美国社交游戏市场 全球平板电脑出货量 Facebook虚拟商品收益 Facebook全球广告营收 Facebook广告营收 失败游戏设计的数宗罪名 休闲游戏设计要点 玩游戏可提高认知能力 玩游戏与认知能力 全球游戏广告 独立开发者提高工作效率的100个要点 Facebook亚洲用户 免费游戏的10种创收模式 人类大脑可下载 2012年最值得期待的20位硅谷企业家 做空中概股的幕后黑手 做空中概股幕后黑手 苹果2013营收 Playfish社交游戏架构

信息安全六大战略错误 发表评论(0) 编辑词条

目录

信息安全六大战略错误编辑本段回目录

来源;科学网   文/杨义先  (教授、博导、长江学者、北京邮电大学信息安全中心主任、灵创团队带头人)

科学家是人类最聪明的群体!而科学家中,最善于彼此对抗者,又非信息安全专家莫数。但事实证明,正是这批人精中的人精,在保卫信息安全方面,却办了糊涂事,使得赛搏空间越来越不安全,甚至,如果再继续错下去的话,最终将导致“人人裸奔、个个自危”。

下面简要罗列全球信息安全界所犯的几个代表性战略错误。

错误1(最基础的错误):忽略了“返祖”现象。构成赛搏空间的所有要素(计算系统、存储系统、传输系统、采集系统等)都是人类文明精华的最先进成果,因此,按惯性思维,自然认为赛搏空间本身也最文明!然而,我们错了,并且大错特错,实事上,赛搏空间是最“返祖”的野蛮社会,在这里,甚至连文明社会的最基本准则(道德准则、关系准则、秩序准则)都是空白,“弱肉强食”司空见惯,“损人利己”天经地义,“损人不利己”甚至“损人损己”也比比皆是。

因此,要想保卫禽兽不如的赛搏空间的安全,当然不能只用“文明手段”,必须勇敢地向远古前进,由“丛林法则”开始,向原始人学习,踏踏实实地推进赛搏社会的生态文明建设。

错误2(最致命的错误):以君子之心,度小人之腹。当今,所有信息安全技术都以“用户是好人,一定会遵纪守法”为前提,比如,只有当确认某款软件干了坏事后,才把它定为“恶意代码”,才开始对其进行封杀或补漏;只有当某个用户已被证明危害了安全后,才将其定为黑客,才开始对他进行应急处置等。如果这种后发制人的“马后炮”思路得不到根本改变,那么,全球信息安全专家们将永远处于被动、挨打的局面!

当然,由于历史欠账太多,我们也不可能一夜之间就把思路调整为“人之初,性本恶”的有罪推论,毕竟现在的绝大部分信息安全技术和手段都主要在“亡羊补牢”。

错误3(最受累的错误):全民被“魔道怪圈”绑架。当前信息安全界的逻辑是:当个别黑客的“魔”高一尺时,全体网民的“道”就必须再高一丈,如此循环往复“冤冤相报”,永无止境!好像全体网民都被逼进了露天电影场,而且,因为有人“站立”,便导致大家都不得不“踮着”受罪。为什么网民们不能舒服地坐着享受电影呢?我们也许会罗列许多理由来辩解这种无奈现象,比如,信息系统越来越复杂、黑客技术越来越先进等,因此,网民必须为信息安全付出应有的代价。猛听起来,这种“叫屈”好像有道理,但是,请注意,在现实社会中,敌我双方的导弹等核武器系统也是在不断“水涨船高”吧,请问你作为普通市民,有没有越来越被战争威胁的感觉?基本没有吧!

因此,全体网民应该有希望,不再夜夜为自己的信息安全“做恶梦”,假如我们真能打破“魔道怪圈”的话,当然,必须承认,我们至今还无计可施,但是,世上无难事,只怕有心人。提示:杜绝“露天电影效应”的办法有两个,其一,放映效果足够好,使每个人都能清晰地享受,这样就不会有“站立”者了;其二,对“站立”者严厉惩罚!

错误4(最仁慈的错误):未建信息安全别动队。如果把赛搏空间比喻为金银满地、佳丽如云的后宫,那么,最合适的管理人选应该是“太监”。但是,如今,管理该“后宫”的却是众帅哥,受某些规矩约束的众帅哥。或者,换句话说,现在,信息安全界选用了一个股民来担任“美联储”主席,想不出金融危机都难啰!事实上,当前,国内外,信息安全界攻守兼备的几乎都是同一批人!这当然在无形中加剧了各利益方的相互对抗,并且殃及全体网民!如果有一支类似于“联合国维和部队”,他们完全中立地、尽心尽力地、一视同仁地为全世界信息系统保驾护航,那么,网民们的安全感将大幅度增强。

当然,要想纠正该错误,显然不能仅仅依靠技术手段,而且这绝对是一个非常困难的问题。所幸,现在这样的“别动队”已经开始活跃于赛搏空间的某些局部,比如,出现了SAAS概念,即,信息安全即服务。

错误5(最具体的错误):黑名单管理。当前,赛搏空间的行事规则是:非禁止,即允许。该规则在信息安全的攻防双方也是通行的,其好处是极大扩展了各自的创新空间,但是,却耗费了对抗双方难以计数的人力、物力和财力等资源。如果把安全规则修改为“白名单管理”方式,即,未被允许的指令均为禁令,那么,理论上,只需要由权威机构,在给定环境下,预先测试某些操作的安全性,然后,将安全操作写入“白名单”中就行了。

当然,要想马上、全面推广“白名单”,几乎是不可能的,但是,从局部开始,针对某些关键系统的核心操作,采用“白名单”也是值得尝试的。

错误6(最机械的错误):动态性不足。与现实社会类似,赛搏空间的“人”(实体)和“事”(进程)也应该是瞬息万变的,而且,网络社会的移动性、隐蔽性、不定性等更加严重,因此,既不能简单地用身份认证方法,把用户分为“好人”或“坏人”;也不能把各种操作,机械地定为“合法”或“非法”;更不能“以不变,应万变”,必须综合考虑时间、空间、事件等因素。当然,要想提高动态性,一定得付出相应的代价

因此,针对一些特定的信息系统,在特殊情况下,完全可以借用现实社会中的众多直观思路,用时间的动态性、空间的动态性、事件的动态性等来换取赛搏空间的安全性。

结语:此文出自于我这位从业近三十年的信息安全“砖家”,确有“自砸场子”之嫌,不过,请允许我想再辩解几句:1)客观地说,以上六大错误不能完全归咎于信息安全界,因为,IT界的过度创新和失误留下了太多急需弥补的漏洞,使得我们仓促上阵,头痛医头,根本没时间和精力来统筹战略;2)我们没有能力和机会介入赛搏基础设施的起步阶段,致使建设与安全始终是“两张皮”;3)纠正上述六大错误,也绝不仅仅是我们的责任,更重要的是“全体IT专家必须行动起来”;4)“纠错”将是非常困难的长期难题,不能另起炉灶,最多在特定情况下,从局部改起。

传统的信息安全专家甚至都可以不理睬这六大错误,而仅仅是等待今后的新人,在新系统中,采用新思路来纠错,否则,我们将“鸡飞蛋打”!


→如果您认为本词条还有待完善,请 编辑词条

词条内容仅供参考,如果您需要解决具体问题
(尤其在法律、医学等领域),建议您咨询相关领域专业人士。
0

标签: 信息安全六大战略错误

收藏到: Favorites  

同义词: 暂无同义词

关于本词条的评论 (共0条)发表评论>>

对词条发表评论

评论长度最大为200个字符。