上QQ阅读APP看书,第一时间看更新
1.1 安全的本质
在企业做信息安全会遇到很多困惑,企业信息安全到底应该怎么做?管理、技术、流程和人员哪个更重要?安全团队和安全人才该怎么建设、培养和激励?笔者带着这些问题。
与各种安全圈内各种安全人士交流过,笔者发现长期以来一直困扰的问题与信息安全的本质有关,或者说,需要了解信息安全问题的本质是什么?
互联网本来是安全的,自从有了“研究安全”的人,就变得不安全了。比如SQL注入攻击,自从1999年首次出现后就成为互联网应用安全的头号大敌,SQL注入攻击的本质是把用户输入的数据当作代码执行,而开发人员设计用户输入的功能时,本意只是提供一个用户交互功能,根据用户的输入返回动态页面结果,以便提供更好的用户体验。这个好的出发点,很不幸被恶意的人滥用了。再比如,钓鱼网站目前已成为很多金融企业的首要安全威胁,而在2011年以前,很多金融企业的安全人员甚至都没有考虑过这个问题。时至今日,他们仍会觉得很无辜,因为企业的网站并没有任何安全漏洞,是钓鱼网站的“狡猾”和用户的“傻”,才让攻击者有机可乘。
上面两个例子中,开发人员信任用户输入,用户信任钓鱼网站,从而导致信息安全问题。所以说,信息安全问题的本质是“信任”。计算机用0和1定义整个世界,而企业的信息安全目标是解决0和1之间的广大灰度数据,运用各种措施,将灰度数据识别为0(不值得信任)或1(值得信任)。信任是信息安全问题的本源。比如,某些普通企业设计信息安全方案时,会假设安全人员、开发人员、运维人员是默认被信任的;比普通企业安全要求更高的金融企业、国家机构等设计信息安全方案时,安全人员、开发人员、运维人员可能就是默认不被信任的。不同的信任假设决定了安全方案的复杂程度和实施成本,安全需要找到某个自己可以接受的“信任点”,并在这个点上取得成本和效益的平衡。