如何理解“安全的本质是信任问题”
“安全的本质是信任问题”这句话是最早是在道哥的《白帽子讲WEB安全》一书中看到的。书中也拿机场、车站的安检做了举例,虽然在当时就感觉这话说的有道理,但并没产生共鸣。究其原因可能是当时所在公司的信息安全管理并未充分利用“信任”这一工具。近期在整理现公司信息安全建设思路和举措的时候才豁然认识到,信息安全各类举措其本质就是信任(访问控制)的问题,下面我将通过安全管理与技术两大方面举例说明。
1、安全管理
“人之处,性本恶”是安全从业者坚持的理念,信息安全认为公司所有人(老板除外)都是不可信的,员工随时可能窃取公司的涉密信息或破坏公司的信息系统(当然,多数情况都是员工安全意识不高,因误操作或其他不好习惯造成的安全事件)。面对这些不受信任的员工,信息安全管理方面要做的事情有很多。
首先是竭尽所能,通过各种方式(培训考核、视频、海报、手册、期刊、屏保、动画……)提高员工的安全意识。借鉴银行用户信用值,员工入职时HR或安全部也会记录一份信息安全信任值,当员工参加了培训、考试,反馈了安全风险,上报了安全漏洞,或因其他方面得到安全的奖励时,信息安全信任值就会加分。相反,员工违反了信息安全规定,受到了信息安全处罚,信任值就减分。当分数低于某临界值时,这名员工就极其不受信,信息安全必须及时对他开展一些举措,如关闭相关权限,进行意识教育。
再来举个管理举措的例子,信息安全要设置各种权限申请流程,员工入职时默认无任何权限,工作中如需使用权限必须提交申请流程,由相关人员进行审批。仔细想想,其实审批过程就是判断这件事、这个人是否信任的过程,如判断业务真实性、需求合理性、员工稳定性。相关人员进行审批(相当于证明、验证)后,这个事情就是受信的了,权限就可以开通了。
2、技术方面
说完了管理,我们在来看看技术举措的信任原理。我们要说的是“安全的本质是信任问题”,那我们先来回顾明确下什么是安全的信任问题,就是把信任和不信任区分开来,避免因为不信任的东西导致信任的东西受到损害;或者是通过技术手段保留我们信任的,过滤不信任的。明确这个原理后,我们一起来回顾下安全领域中的各类举措是不是遵循这个原理。
网络安全建设就是对公司网络进行安全域的划分,包括办公、生产、测试、BYOD、第三方,各区域之间的信任级别不一样,所以我们要通过访问控制严格限制安全域之间的访问。这样我们基本上能够解决办公区域病毒感染服务器,第三方人员恶意操作公司系统、非法连接登录服务器、外部入侵等一系列问题。公司外的互联网当然更是不受信任的区域,所以网络边界要部署防火墙、WAF、IPS等各类安全设备,这些安全设备通过规则库过滤我们不信任的流量、数据包,从而避免内网遭受外部入侵。
系统安全我们要做的有需求评审、代码评审、基线评审、漏洞扫描与应急监控、风控系统等。这些举措不也是基于信任的原理吗,比如操作系统、中间件、数据库等各类安全基线,就是要把不受信任的端口、服务、配置关掉。监控审计、风控系统就是把不信任的事件、行为挑出来,及时响应处置。
终端安全方面,我们认为电脑本机是受信的,本机之外是不受信的,所以我们要进行各类隔离,比如通过各种安全工具控制U口、互联网访问、本机管理员等权限,还有就是DLP技术,通过识别外发文件的内容,判断外发行为是否可信,如果外发敏感信息,及时对外发行为进行阻断。
工作中还有很多类似的例子,在此不再一一叙述。这些也仅仅是我个人对安全工作的一点反思。我们不是为了证明这个道理而在这长篇大论,最终目的还是帮助我们解决问题。当大家在工作中遇到一些难解的问题是,不妨想想“安全的本质是信任问题”这句话,尝试当看透问题本质的时候,问题是否可迎刃而解。
如何理解“安全的本质是信任问题”相关推荐
- what???现在的研究生和导师普遍都没有真正理解科研的本质
点击上方,选择星标或置顶,不定期资源大放送! 阅读大概需要15分钟 Follow小博主,每天更新前沿干货 本文转载自:科研大匠 9 月 24 日上午,「中国科学院哲学研究所揭牌仪式暨科学与哲学前沿问题 ...
- 中科院院士:很多人没有真正理解科学研究的本质
中科院神经所的研究生每年都有博士生的论文研究进展报告,最近我参加了一个学生的报告. >>>> 这位学生很聪明.也特别努力,过去一年的工作是针对导师的一个假说所设计的两种不同的实 ...
- 十分钟理解线性代数的本质_复习线性代数的正确方式
有同学对我讲现在复习线性代数遇到了瓶颈,在历年的复习过程中,有许多同学完全找不到复习的感觉,线性代数这门学科的学习方法和高等数学完全不一样,也就是说你学习线性代数首先你得换学习思想,它完全是一套全新的 ...
- 对话 IJCAI 07「卓越研究奖」得主 Alan Bundy :理解智能的本质是 AI 发展的终极目标
AI 科技评论按: 今年,IJCAI(国际人工智能联合会议,International Joint Conferences on Artificial Intelligence)将于 8 月 10 日 ...
- 理解代数式的本质提高学生数学素养
我们该如何理解代数式的本质? 在小学阶段我们学习的数学,主要针对数字运算,称为"算术",在初中和高中阶段我们学习的数学,开始有了字母,用字母代替数字思维,称为"代数&qu ...
- 干货|理解attention机制本质及self-attention
点击上方"小白学视觉",选择加"星标"或"置顶"重磅干货,第一时间送达 上一篇,我们讲述了attention的知识,这篇接上篇,更加深入的理 ...
- 十分钟理解线性代数的本质_数学对于编程来说到底有多重要?来看看编程大佬眼里的线性代数!...
本文提出了一种观点:从应用的角度,我们可以把线性代数视为一门特定领域的程序语言.我们一起来看看!文章有点偏理论讨论,可能比较枯燥,对于一名程序员,你如果看下去,你将会有不一样的收获! 线性代数是什么? ...
- 形象理解线性代数的本质(三) 矩阵的升维和降维
引子:降维打击 科幻小说<三体>里一种很魔幻的攻击方法--降维打击,以其神奇的作用方式和巨大的威力刷新了我们的三观.而在矩阵乘法计算中,这种降维打击时刻存在着.本节讲解一下矩阵乘法中造成的 ...
- 揭秘 Compose 原理,理解 Composable 的本质
你好,我是朱涛. 今年的Google I/O大会上,Android官方针对Jetpack Compose给出了一系列的性能优化建议,文档和视频都已经放出来了.总的来说,官方的内容都非常棒,看完以后我也 ...
- 机器学习基础:理解梯度下降本质「附Python代码」
https://www.toutiao.com/a6646958932096975373/ 2019-01-16 13:15:26 今天我们尝试用最简单的方式来理解梯度下降,在之后我们会尝试理解更复杂 ...
最新文章
- Toast 位置的改变 和 Toast的简单用法
- Deep Learning | 深度学习介绍与基本概念
- shiro认证与授权:基于ini的用户授权
- PS教程第十二课:会打开 会关闭我会了
- distenct oracle_Oracle的distinct关键字
- 我的城市,我的汽车:Autoblog 摄影大赛
- Python 开发者 2017 应该关注的 7 个类库
- 《数字时代汽车营销变革白皮书》发布,为新消费时代的车企营销提供指南
- ssis 映射列 使用变量_SSIS中的动态列映射:SqlBulkCopy类与数据流
- markdown写作技巧
- 改变Linux的DNS解析顺序(DNS到hosts)
- beanshell字符串替换_Beanshell语法
- 安卓逆向学习 之 KGB Messenger的writeup(1)
- 基于i.mx6q平台的NES模拟器移植
- 辣侃情恋男女的犀利段子
- matlab向后误差,matlab-误差棒
- 关于扁平化界面风格的设计美学讨论
- Debug Diagnostic Tool
- 安卓studio 添加后台bgm音乐的几种方法
- 零件加工 贪心 题解
热门文章
- laravel7 LogicException Please make sure the PHP Redis extension is installed and enabled
- 学习《医学三字经白话解》之隔食反胃(吞咽梗阻)
- 陀螺仪传感器维特智能WT901JY901九轴传感器受金属干扰的解决方法。九轴陀螺仪、九轴传感器、磁场计、姿态感应器
- 超级简单好用的免费CRM客户管理软件,推荐!
- matlab学习笔记 repmat函数与kron函数之区别
- Opencv-获取两点之间距离
- 【shenyu网关学习】1.什么是 Apache ShenYu
- win7 局域网共享文件
- 图像美学质量评价技术综述
- java简历 star_写简历时的STAR法则