小议信息安全与生活中的安全工程(一)

  无论是否接触IT这个行业,我见过很多人根本不懂得保护自己的隐私,遇到电信诈骗、钓鱼邮件、恶意软件时实在毫无招架之力。

  近两年,由Fireeye炒热的概念APT(高级可持续性攻击)很好地解释了为什么我们对此防不胜防,因为信息安全符合木桶的短板原理。

  令人痛心的是,同样有无数开发朋友,甚至连SQL注入是什么都不知道,不仅写出来的代码不安全,还存在较多逻辑缺陷,例如登录任意账户、任意重置密码。

  人们常说,安全在本质上是不可见的,这解释了为什么我们对于它的漠视。网络安全必须上升到国家安全层次,具备事件和数据的可视化分析,才能真正发挥它的价值。

  然而,安全的定义和范围就存在争议,而且一直如此。网络安全和信息安全有交集但不重合,它的演变大致是这样的:

  Network Security -> Cyber Security -> Digital Security

  自从以信息为主导的IT时代步入以数据为主导的DT时代,信息安全也变成了Digital Security

  乌云网创始人方小顿的演讲:《十二万个漏洞》(http://v.youku.com/v_show/id_XMTM0NjgxMzE1Mg==.html  )揭示了其中一些端倪

  早年,安全从业者一直不受重视,在各大公司地位都不太高。他们的地位靠事件和政策推动,比如棱镜门事件、习主席信息安全小组的成立。

  一些安全工程师处境尴尬,公司不够重视、投入不足,其他同事缺乏安全意识没法推动事情执行。最让我伤心的一句话是:

  "这是你们这些搞安全的自娱自乐!"

  以前不久Xcodeghost为例,国内广泛传播的非苹果官方的Xcode被植入后门,初步分析下发现作者仅仅收集系统、APP版本等信息,似乎无足轻重。开发同学自然是这么想,但越往后挖掘,真相越令人惊悚,窃取Apple ID,绕过App Store装恶意软件都可以实现啊,细思恐极。数字公司就通过情报分析、人肉搜索等方式定位到了作者真实身份,有关部门介入调查,这件事是否还是搞安全的自娱自乐?

  鲁迅在纪念刘和珍君中说自己不惮以最坏的恶意揣测中国人,乔治·拜登在华盛顿大学的演讲说不要去怀疑别人的动机,因为你根本不知道。我们也不知道地下黑产、恶意软件作者除了金钱外是否还有其他更深层的动机,但只能以最坏的动机去揣测,老将别人想做坏人的确非君子所为,但安全工程师不这样做就是失职,就会被人突破安全防线。

  安全从业者的确可能有自娱自乐的成分在里面,但也是想引起大家的重视,毕竟不少人为了保障用户隐私、信息系统正常运行,不得不由一个正直、阳光的人变得"想法猥琐"。

  话说回来,做安全费力不讨好,除了公司、行业层次的毛病在里面,从业者自身的问题也需要反思(只讲技术不懂业务,局限于Web攻防领域云云)。一些公司没能力成立安全部门或安全团队的情况这里不讨论,我要说的是:阳光我们可以看见却摸不着、空气我们看不见也摸不着,这些不可见或无法实例化的事物却对我们至关重要。信息安全也是这样,大数据、云计算、移动互联网时代,我们做的每件事情包括移动鼠标甚至都包含了个人隐私(习惯),安全即便不可见,却早已经深入生活,变得不可或缺了。

  在看《信息安全工程》一书时,我曾多次由于自己对"安全"的狭隘认知而感到不安,下面是该书目录的脑图,相信不少人看到了都会感叹原来安全从来就不是一个狭窄的领域,只是我们自己限定了自己的想象和发挥空间罢了。

  

内容非常精彩,虽然第二版的面世至今已有七年,其中的观念和原理,至今并不过时。相反,在专业越来越细分的今天,它能给人很多的启发。

下一篇会简单谈谈图中有星星或旗帜的章节,发散发散思维,不囤于自己已有的认知和见解,敬请期待。

 

你可能感兴趣的:(小议信息安全与生活中的安全工程(一))