主题：【原创】IT八股：闲聊信息安全 (之一.基本概念) -- 昔杨今雨

兵法有云: 知己知彼, 百战不殆. 在信息安全里面, 所谓知己, 在于了解架构, 评估资产, 明确需求; 所谓知彼, 第一步就是要搞清楚, 威胁来自何方?

谈到信息安全的威胁, 可能首先想到的是黑客, 间谍, 竞争对手, 敌对国家等等, 但是这些来自外部的威胁顶多排在第三位. 打个比方, 在我们生活的环境里面, 来自外部, 可以威胁到我们生命安全的东西太多了: 大到马路上疾驰的汽车, 小到肉眼无法看见的生物病毒, 无所不在. 可是咱们还是活得好好的, 为什么呢?

其一, 规则在发挥作用. 君子不立于危墙之下, 过马路要先向左右两边看, 人多混杂的地方不要去:-), 执行这些规则有效地保护我们避开可见且已知的威胁;

其二, 我们有紧急情况下预案. 可以帮助我们快速脱离可见但未知的威胁. 例如手第一次被烫着的时候, 回缩的动作就是我们的神经系统和肌肉系统对此类威胁的预案.

其三, 人体自身的免疫系统, 这个PDR模型的完美实现者, 加上医疗手段等外部支援, 帮助我们抵抗不可见但已知的威胁. 医疗手段在我看来属于PDR模型里面的Reaction, 感谢我们的检测系统(D), 它的误判和漏判的发生率控制在一个可以接受的范围内. (有同志问, 对不可见且未知的威胁咋办, 这属于无色无臭, 杀人于无形的顶级毒药, 赶紧找个莽牯朱蛤吃下去)

回到信息安全, 对待外部威胁, 倒也好办, 我们的措施也无非是以下几种: 制定并执行规则; 提前准备应急预案; 提升自身的防护能力.

但是麻烦的是, 信息安全的威胁不仅来自外部.

复杂是信息安全排名第二的威胁, 不论是保护对象自身的复杂, 还是保护措施的复杂, 都是信息安全中重大的威胁. 一个系统越复杂, 其内部存在的安全隐患也越多. 一块方木头, 要损坏它恐怕必须要使用斧子; 加工成木棍, 除了斧子, 还可以用石头配合来折断它; 再加个铁块变成榔头, 除了前面提到的问题外, 还有可能因为头和柄的接合处不紧密, 造成脱落. 安全的隐患随着环节的增多呈级数上升. IPSec协议族之所以屡受诟病, 过于复杂是其中的一个重要原因.

然而复杂的信息系统不可避免, 化繁为简就成为信息安全体系设计和实现的重要步骤. 分类是化繁为简最主要也最有效的手段. 资产价值, 物理属性, 访问权限都可以作为分类的依据. 论坛上站长, 斑竹, 普通用户就是分类的一个具体体现, 把使用者的权限通过组来划分, 这显然比为每一个个体分别授权来得简单. 对于一个计算机网络, 服务器集中, 划分VLAN等等, 也是分类的体现. 对情报文件等盖上绝密, 秘密, 普通的章也是分类. 分类的目的在于首先明确不同的类别, 然后采取不同的保护措施和访问策略.

我的经验是, 对于操作频率低的, 可以适当增加保护措施的使用复杂度, 毕竟对合法使用者复杂, 对攻击者也会一样复杂. 但是对于操作频率高的, 保护措施的使用复杂度一定要低, 否则, 后果不外乎两种结果: 1)企业无法承受复杂带来的高成本和低效率; 2)使用者实在受不了繁琐的操作, 另外去寻找捷径, 而寻找捷径的后果就是defeat了整个安全体系.

我们终于谈到了使用者, 而使用者, 也就是人, 尤其是内部人员, 是信息安全最大的威胁. 犯错是人这种智慧生物的天性, Alexander Pope说: To Err Is Human, To Forgive Divine. 举个例子, 在黑客的攻击手段里面, 通过所谓的\"社会工程法(Social Engineering)\"获取密码是一种常见的手段, 它的攻击目标就是人. 前一阵流行的手机诈骗, 例如发条短信, 说发现你有大笔金额的消费, 请尽快与某某单位联系, 你如果打电话过去, 对方会要求你提供银行卡密码供他们核对. 这就是\"社会工程法\"的典型案例. 而违反已有的规则也屡见不鲜, 前几年发生一起严重泄密事件就是因为某人把保密材料拷贝到U盘里面, 在家里一边使用, 一边上网的时候, 被人给窃取了. (这哥们一定被人盯了很久了)

为了对付人, 尤其是内部人员, 信息安全界可是想破了脑袋. 太复杂的密码大家记不住, 简单的密码强度又太低, 怎么办? 于是各种认证手段被创造了出来. \"三分技术, 七分管理\"的口号也喊了出来, 提醒各位领导大人注意监督的重要性. 设立\"信息安全员\"的职业等级证书, 持证上岗, 来加强针对普通人员的培训. 拆除所有移动存储介质的接口, 严禁玩游戏等等. 这些软措施我不想多说, 是否有效完全是看是否执行得力, 我想探讨的是在解决人的威胁问题上有哪些纯粹的技术手段.

首先, 自动化是避免人为错误的一个有效手段, 例如数据的自动备份, VPN来自动完成数据的加密传输, 加密磁盘自动完成数据的加密存储. 与其相信人, 俺们更加相信机器. (这就是为啥大家都担心哪一天机器也会造反的原因, 那就实在没啥可信的了:-) 自动化的程度越高, 人的参与度越低, 咱们就离这最大的威胁越远 (但愿同时离复杂这一第二威胁也远);

其次, 防呆也是加强信息安全管理的一个重要手段. 最常见的信息安全管理上的防呆手段就是弱口令检查, 例如有些网站在你设置密码的时候要求必须数字字母混杂, 长度不小8之类. 你不这么干就注册不了.

在我看来, 傻瓜化是信息安全产品的终极目标, 而傻瓜化的背后就是高度的智能化和自动化. 在达到同样的安全需求的前提下, 越简单, 越傻瓜的产品是越好的产品.

预告:　IT八股: 闲聊信息安全 (之四.产品点评)

• 【原创】IT八股：闲聊信息安全 (之四.产品点评(下))