本文1024字,阅读时长4分钟
我们常常认为“定义”是用来更好地理解事物的,其实“定义”只是用来区分事物的。而为了能够被明确区分,冗长的描述反而会带来理解上的困难。
就拿“信息安全”这个概念举个例子来体会一下。百度百科援引国际标准化组织(InternationalStandardOrganization,ISO)的定义是:为数据处理系统建立和采用的技术、管理上的安全保护,为的是保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露[1]。
读完的感觉就好像是“你似乎说得很明白,但其实我依然很糊涂”,因为对每一个定义的理解都需要大量的专业背景知识做铺垫。因此,要想真正地快速理解安全,不能看定义,而是需要看本质。但是本质,会因为洞察的维度不同而产生不同的答案。
比如说,《白帽子讲WEB安全》一书中提出:安全问题的本质是信任的问题。一切解决方案设计的基础,都是建立在信任关系上的,必须有一些基本的假设,安全方案才能得以建立。从另一个角度来说,一旦我们作为决策依据的条件被打破、被绕过,那么就会导致安全假设的前提条件不再可靠,变成一个伪命题[2]。
《互联网企业安全高级指南》一书中提出:安全的本质是风险管理,说绝对安全本身就是一个笑话,原因是攻防不对等,防御者要防御所有的面,而攻击者只要攻破其中一个面上的一个点就可以了。在所有的面上重兵布防理论上可以,但实际绝对做不到[3]。
《企业安全建设指南》一书中提出:信息安全问题的本质是“信任”。计算机用0和1定义整个世界,而企业的信息安全目标是解决0和1之间的广大灰度数据。安全需要找到某个自己可以接受的“信任点”,并在这个点上取得成本和效益的平衡[4]。
上面罗列的观点,无论是“风险”还是“信任”,本质上都是基于物理世界里人与人之间的关系,这样一个逻辑框架来描述安全本质的。事实上,在信息世界里,我们看到的只是程序与数据,它们借助终端、网络、服务器这样的信息载体来发生关系。
但是,在信息安全的框架下,有一个变量已经变得越来越突出与重要,那就是“威胁(Threat)”。因此安全的本质其实是威胁对抗。尽可能早地发现威胁、消除威胁、处置威胁发生后遗留的问题,就成了安全的基本任务。
由于“对抗”是一个动态的动作,此消彼长,因此安全又被称为“魔道之争”,道高一尺、魔高一丈,永无止境。因为安全建设的结果完全不能做到“天下无毒”,而只能做到“攻防平衡”。
安全建设者的目标只能是根据威胁发展的态势,进行有计划、分阶段地投入,在安全要求和安全建设成本之间进行平衡,就是要不断地提高攻击成本、降低防御成本,从而达到“不战而屈人之兵”的效果。
安全的本质是指什么(光的本质是什么)相关文章:
相关热词搜索: