“安全的本质是信任问题”这句话是最早是在道哥的《白帽子讲WEB安全》一书中看到的。书中也拿机场、车站的安检做了举例,虽然在当时就感觉这话说的有道理,但并没产生共鸣。究其原因可能是当时所在公司的信息安全管理并未充分利用“信任”这一工具。近期在整理现公司信息安全建设思路和举措的时候才豁然认识到,信息安全各类举措其本质就是信任(访问控制)的问题,下面我将通过安全管理与技术两大方面举例说明。

1、安全管理

“人之处,性本恶”是安全从业者坚持的理念,信息安全认为公司所有人(老板除外)都是不可信的,员工随时可能窃取公司的涉密信息或破坏公司的信息系统(当然,多数情况都是员工安全意识不高,因误操作或其他不好习惯造成的安全事件)。面对这些不受信任的员工,信息安全管理方面要做的事情有很多。

首先是竭尽所能,通过各种方式(培训考核、视频、海报、手册、期刊、屏保、动画……)提高员工的安全意识。借鉴银行用户信用值,员工入职时HR或安全部也会记录一份信息安全信任值,当员工参加了培训、考试,反馈了安全风险,上报了安全漏洞,或因其他方面得到安全的奖励时,信息安全信任值就会加分。相反,员工违反了信息安全规定,受到了信息安全处罚,信任值就减分。当分数低于某临界值时,这名员工就极其不受信,信息安全必须及时对他开展一些举措,如关闭相关权限,进行意识教育。

再来举个管理举措的例子,信息安全要设置各种权限申请流程,员工入职时默认无任何权限,工作中如需使用权限必须提交申请流程,由相关人员进行审批。仔细想想,其实审批过程就是判断这件事、这个人是否信任的过程,如判断业务真实性、需求合理性、员工稳定性。相关人员进行审批(相当于证明、验证)后,这个事情就是受信的了,权限就可以开通了。

2、技术方面

说完了管理,我们在来看看技术举措的信任原理。我们要说的是“安全的本质是信任问题”,那我们先来回顾明确下什么是安全的信任问题,就是把信任和不信任区分开来,避免因为不信任的东西导致信任的东西受到损害;或者是通过技术手段保留我们信任的,过滤不信任的。明确这个原理后,我们一起来回顾下安全领域中的各类举措是不是遵循这个原理。

网络安全建设就是对公司网络进行安全域的划分,包括办公、生产、测试、BYOD、第三方,各区域之间的信任级别不一样,所以我们要通过访问控制严格限制安全域之间的访问。这样我们基本上能够解决办公区域病毒感染服务器,第三方人员恶意操作公司系统、非法连接登录服务器、外部入侵等一系列问题。公司外的互联网当然更是不受信任的区域,所以网络边界要部署防火墙、WAF、IPS等各类安全设备,这些安全设备通过规则库过滤我们不信任的流量、数据包,从而避免内网遭受外部入侵。

系统安全我们要做的有需求评审、代码评审、基线评审、漏洞扫描与应急监控、风控系统等。这些举措不也是基于信任的原理吗,比如操作系统、中间件、数据库等各类安全基线,就是要把不受信任的端口、服务、配置关掉。监控审计、风控系统就是把不信任的事件、行为挑出来,及时响应处置。

终端安全方面,我们认为电脑本机是受信的,本机之外是不受信的,所以我们要进行各类隔离,比如通过各种安全工具控制U口、互联网访问、本机管理员等权限,还有就是DLP技术,通过识别外发文件的内容,判断外发行为是否可信,如果外发敏感信息,及时对外发行为进行阻断。

工作中还有很多类似的例子,在此不再一一叙述。这些也仅仅是我个人对安全工作的一点反思。我们不是为了证明这个道理而在这长篇大论,最终目的还是帮助我们解决问题。当大家在工作中遇到一些难解的问题是,不妨想想“安全的本质是信任问题”这句话,尝试当看透问题本质的时候,问题是否可迎刃而解。

如何理解“安全的本质是信任问题”相关推荐

  1. what???现在的研究生和导师普遍都没有真正理解科研的本质

    点击上方,选择星标或置顶,不定期资源大放送! 阅读大概需要15分钟 Follow小博主,每天更新前沿干货 本文转载自:科研大匠 9 月 24 日上午,「中国科学院哲学研究所揭牌仪式暨科学与哲学前沿问题 ...

  2. 中科院院士:很多人没有真正理解科学研究的本质

    中科院神经所的研究生每年都有博士生的论文研究进展报告,最近我参加了一个学生的报告. >>>> 这位学生很聪明.也特别努力,过去一年的工作是针对导师的一个假说所设计的两种不同的实 ...

  3. 十分钟理解线性代数的本质_复习线性代数的正确方式

    有同学对我讲现在复习线性代数遇到了瓶颈,在历年的复习过程中,有许多同学完全找不到复习的感觉,线性代数这门学科的学习方法和高等数学完全不一样,也就是说你学习线性代数首先你得换学习思想,它完全是一套全新的 ...

  4. 对话 IJCAI 07「卓越研究奖」得主 Alan Bundy :理解智能的本质是 AI 发展的终极目标

    AI 科技评论按: 今年,IJCAI(国际人工智能联合会议,International Joint Conferences on Artificial Intelligence)将于 8 月 10 日 ...

  5. 理解代数式的本质提高学生数学素养

    我们该如何理解代数式的本质? 在小学阶段我们学习的数学,主要针对数字运算,称为"算术",在初中和高中阶段我们学习的数学,开始有了字母,用字母代替数字思维,称为"代数&qu ...

  6. 干货|理解attention机制本质及self-attention

    点击上方"小白学视觉",选择加"星标"或"置顶"重磅干货,第一时间送达 上一篇,我们讲述了attention的知识,这篇接上篇,更加深入的理 ...

  7. 十分钟理解线性代数的本质_数学对于编程来说到底有多重要?来看看编程大佬眼里的线性代数!...

    本文提出了一种观点:从应用的角度,我们可以把线性代数视为一门特定领域的程序语言.我们一起来看看!文章有点偏理论讨论,可能比较枯燥,对于一名程序员,你如果看下去,你将会有不一样的收获! 线性代数是什么? ...

  8. 形象理解线性代数的本质(三) 矩阵的升维和降维

    引子:降维打击 科幻小说<三体>里一种很魔幻的攻击方法--降维打击,以其神奇的作用方式和巨大的威力刷新了我们的三观.而在矩阵乘法计算中,这种降维打击时刻存在着.本节讲解一下矩阵乘法中造成的 ...

  9. 揭秘 Compose 原理,理解 Composable 的本质

    你好,我是朱涛. 今年的Google I/O大会上,Android官方针对Jetpack Compose给出了一系列的性能优化建议,文档和视频都已经放出来了.总的来说,官方的内容都非常棒,看完以后我也 ...

  10. 机器学习基础:理解梯度下降本质「附Python代码」

    https://www.toutiao.com/a6646958932096975373/ 2019-01-16 13:15:26 今天我们尝试用最简单的方式来理解梯度下降,在之后我们会尝试理解更复杂 ...

最新文章

  1. Toast 位置的改变 和 Toast的简单用法
  2. Deep Learning | 深度学习介绍与基本概念
  3. shiro认证与授权:基于ini的用户授权
  4. PS教程第十二课:会打开 会关闭我会了
  5. distenct oracle_Oracle的distinct关键字
  6. 我的城市,我的汽车:Autoblog 摄影大赛
  7. Python 开发者 2017 应该关注的 7 个类库
  8. 《数字时代汽车营销变革白皮书》发布,为新消费时代的车企营销提供指南
  9. ssis 映射列 使用变量_SSIS中的动态列映射:SqlBulkCopy类与数据流
  10. markdown写作技巧
  11. 改变Linux的DNS解析顺序(DNS到hosts)
  12. beanshell字符串替换_Beanshell语法
  13. 安卓逆向学习 之 KGB Messenger的writeup(1)
  14. 基于i.mx6q平台的NES模拟器移植
  15. 辣侃情恋男女的犀利段子
  16. matlab向后误差,matlab-误差棒
  17. 关于扁平化界面风格的设计美学讨论
  18. Debug Diagnostic Tool
  19. 安卓studio 添加后台bgm音乐的几种方法
  20. 零件加工 贪心 题解

热门文章

  1. laravel7 LogicException Please make sure the PHP Redis extension is installed and enabled
  2. 学习《医学三字经白话解》之隔食反胃(吞咽梗阻)
  3. 陀螺仪传感器维特智能WT901JY901九轴传感器受金属干扰的解决方法。九轴陀螺仪、九轴传感器、磁场计、姿态感应器
  4. 超级简单好用的免费CRM客户管理软件,推荐!
  5. matlab学习笔记 repmat函数与kron函数之区别
  6. Opencv-获取两点之间距离
  7. 【shenyu网关学习】1.什么是 Apache ShenYu
  8. win7 局域网共享文件
  9. 图像美学质量评价技术综述
  10. java简历 star_写简历时的STAR法则