西西河

主题:【原创】IT八股:闲聊信息安全 (之一.基本概念) -- 昔杨今雨

共:💬106 🌺268
全看分页树展 · 主题
家园 【原创】IT八股:闲聊信息安全 (之一.基本概念)

信息安全听起来是个挺刺激的话题, 看到这几个字, 首先容易想起黑客啥的, 似乎和这东西沾上边, 颇有点让人肃然起敬, 咬牙切齿, 高山滚鼓, 门户大开的感觉. 其实这都是被那帮无知或无良或无知兼无良的媒体给害的. 兄弟混迹其中, 已经9年有余, 写下一些体会, 只是打算和大家分享分享, 信息安全涵盖的面非常广泛, 我也不过从事里面的一小部分, 如有不到之处, 欢迎方家指正.

咱们首先从基本概念开始.

信息安全里面最有名, 也是最有效的一个模型, 叫做PDR模型: (P)rotection, (D)etection, (R)eaction. 所谓的Protection, 指的是防护, 例如保险柜就是一个典型的防护措施; 而Detection, 指的是监测, 例如巡逻队, 摄像头等等, 都可以归入到Detection一类; 第三个R, 指的是对监测到的攻击行为做出的反应, 警察叔叔就可以归入这个类里面去. PDR模型有一个公式:

P(t) >/</= D(t) + R(t)

注意这个公式, 左边的P(t)表示的是Protection所能提供的最大保护时间, D(t)表示检测到攻击行为所需要的最大时间, R(t)表示在接到警报后, 做出有效反应所需要的时间. 如果P(t) > D(t) + R(t), 这个系统就是安全的; 反过来, 这个系统就是不安全的. 用公式来说明就是E(t) = D(t) + R(t) -P(t), 这个E(t)就是所谓的暴露时间, 在这个时间段里面, 系统是不安全的.

公式看得让人头大, 还是用些故事来说更简单一点. 话说有两个毛贼打算打劫银行的金库, 第一次行窃, 两个家伙打算用榔头砸开银行金库的门, 这个活比较累, 大概需要30分钟的时间. 银行也不含糊, 安排了看门老头, 每5分钟巡逻一次. 结果可想而知, 毛贼刚砸了5分钟, 就被看门老头发现了, 看门老头一看不好, 赶紧通知警察局, 打个电话用了3分钟, 警察一听这还了得, 立即出警, 正好赶上无车日, 路上也不堵, 10分钟就到了. 再看两个毛贼, 大门才砸了一半, 警察叔叔一到, 只好风紧先扯乎了. 银行的金库得以保全, 看门老头, 警察叔叔立功评奖, 金库大门的建设方也得了一朵大红花.

老话说得好: 不怕贼偷, 就怕贼惦记. 这两个毛贼回去一琢磨, 改方案. 第二次, 两个家伙扛着炸药就去了. 炸药确实好使, 咣的一声, 金库的门就被炸开了, 看门老头虽然立即发觉, 但是电话用了3分钟, 警察赶到用了15分钟, 这两个家伙用了1分钟炸开金库的门, 15分钟落袋, 还有2分钟可以逃跑, 结果只能发通缉令. 而银行的损失已经实实在在地发生了.

(课后作业, 请自行使用PDR模型分析攻台方案)

从上面的案例里面可以看出, 安全其实不过是一个时间函数. 从这一点可以引申出一个推论, 推论一: 绝对的安全是不存在的, (信息)安全是一个持续的过程. 如果有人向你忽悠他的盾是绝对坚固的, 你可得要小心了, 搞不好又是一个卖拐的. 所谓的”一步到位”在信息安全领域里面是不存在的, 看看你的防病毒软件更新了多少次, 这就是最直接的例子.

既然绝对的安全是不存在的, 那岂不是我们都很危险? 现实生活并非如此, 我们不但要算政治帐, 还要算经济帐. 攻击是需要成本的, 炸药是要钱的, 逃跑也是要钱的, 被抓住是要坐牢的. 这些都是成本, 如果攻击的成本大于收益, 花100块钱去抢10块钱, 这种冤大头谁都不愿意干. 反过来说, 花100块钱去保护10块钱的东西, 干了也是冤大头. 这就引申出了又一个推论, 推论二: 安全防护的适度原则, 对安全的投资要小于所需要保护的资产价值, 反过来, 如果资产价值极高, 那么在投入攻击成本时, 再高点是值得的. 大家看看身边, 防盗门这个东西是在改革开放后才兴起的, 为啥? 以前大家都没有米,有没有防盗门无所谓, 现在家里都有些米了, 投资个防盗门还是值得的.

(课后作业, 请自行使用上面的推论, 分析台独是否可行)

前面一直说安全, 那么什么是安全呢? 在信息安全里面, 通常把安全定义为满足下面几个条件: 秘密性, 完整性, 可用性. 秘密性是显而易见的一个要求, 我的银行卡密码不能泄漏; 完整性在某些情况下更重要一点, 例如, 我可以让你知道我的银行账户里有多少钱, 但是金额你不能修改; 而可用性则给信息安全提出了更高的要求, 把保险柜放在火箭里面, 飞出太阳系, 秘密是秘密, 完整也挺完整, 不过有啥用呢? 对合法用户, 必须保证其可以安全地访问所需的数据, 而对于非法用户, 必须保障有效的防护. 这其实就是认证和授权, 对于认证, 目前在信息安全领域里面已经发展出了很多目前看来还比较有效的方法, 但是授权, 哦, 这是整个信息安全体系里面最难实现的部分, 而计算机安全保护等级整个其实就是说的授权.

大家看着累吗? 要不怎么叫做八股呢 :-) 土鳖, 来, 俺喝口水去.

预告: IT八股:闲聊信息安全 (之二.四大火坑)

关键词(Tags): #IT(当生)#信息安全元宝推荐:闲看蚂蚁上树,请尽量,晨枫, 通宝推:mezhan,

本帖一共被 1 帖 引用 (帖内工具实现)
全看分页树展 · 主题


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河