主题:【原创】IT八股:闲聊信息安全 (之一.基本概念) -- 昔杨今雨
把复杂的事情用通俗的语言讲得深入浅出需要大智慧, 在下的水平恐怕也只能这样了, 待俺good good study, 再接再厉.
本来今年的bonus就指望它了啊:-)
SSO如果我来评价, 也是属于力不从心类的. application的种类太多了, 从架构到具体实现差别很大, 因此SSO一到具体实现, 除非有足够的投资(资金, 时间和决心), 否则往往只能延伸到一小部分的应用, 完成一个半吊子工程.
另外我觉得SSO缺乏一个公共的标准, (IBM自己有一套, 我估计CA以及其它SSO厂商都有自己的一套), 但是对于这种胶水型融合性的产品, 缺乏公共标准是很痛苦的事情.
我仅仅在CA (Computer Association)看到有SSO的产品. 老兄既然从事这方面的工作, 是否可以说说体会.
祝老兄bonus顺利入手.
让我再数数!
兵法有云: 知己知彼, 百战不殆. 在信息安全里面, 所谓知己, 在于了解架构, 评估资产, 明确需求; 所谓知彼, 第一步就是要搞清楚, 威胁来自何方?
谈到信息安全的威胁, 可能首先想到的是黑客, 间谍, 竞争对手, 敌对国家等等, 但是这些来自外部的威胁顶多排在第三位. 打个比方, 在我们生活的环境里面, 来自外部, 可以威胁到我们生命安全的东西太多了: 大到马路上疾驰的汽车, 小到肉眼无法看见的生物病毒, 无所不在. 可是咱们还是活得好好的, 为什么呢?
其一, 规则在发挥作用. 君子不立于危墙之下, 过马路要先向左右两边看, 人多混杂的地方不要去:-), 执行这些规则有效地保护我们避开可见且已知的威胁;
其二, 我们有紧急情况下预案. 可以帮助我们快速脱离可见但未知的威胁. 例如手第一次被烫着的时候, 回缩的动作就是我们的神经系统和肌肉系统对此类威胁的预案.
其三, 人体自身的免疫系统, 这个PDR模型的完美实现者, 加上医疗手段等外部支援, 帮助我们抵抗不可见但已知的威胁. 医疗手段在我看来属于PDR模型里面的Reaction, 感谢我们的检测系统(D), 它的误判和漏判的发生率控制在一个可以接受的范围内. (有同志问, 对不可见且未知的威胁咋办, 这属于无色无臭, 杀人于无形的顶级毒药, 赶紧找个莽牯朱蛤吃下去)
回到信息安全, 对待外部威胁, 倒也好办, 我们的措施也无非是以下几种: 制定并执行规则; 提前准备应急预案; 提升自身的防护能力.
但是麻烦的是, 信息安全的威胁不仅来自外部.
复杂是信息安全排名第二的威胁, 不论是保护对象自身的复杂, 还是保护措施的复杂, 都是信息安全中重大的威胁. 一个系统越复杂, 其内部存在的安全隐患也越多. 一块方木头, 要损坏它恐怕必须要使用斧子; 加工成木棍, 除了斧子, 还可以用石头配合来折断它; 再加个铁块变成榔头, 除了前面提到的问题外, 还有可能因为头和柄的接合处不紧密, 造成脱落. 安全的隐患随着环节的增多呈级数上升. IPSec协议族之所以屡受诟病, 过于复杂是其中的一个重要原因.
然而复杂的信息系统不可避免, 化繁为简就成为信息安全体系设计和实现的重要步骤. 分类是化繁为简最主要也最有效的手段. 资产价值, 物理属性, 访问权限都可以作为分类的依据. 论坛上站长, 斑竹, 普通用户就是分类的一个具体体现, 把使用者的权限通过组来划分, 这显然比为每一个个体分别授权来得简单. 对于一个计算机网络, 服务器集中, 划分VLAN等等, 也是分类的体现. 对情报文件等盖上绝密, 秘密, 普通的章也是分类. 分类的目的在于首先明确不同的类别, 然后采取不同的保护措施和访问策略.
我的经验是, 对于操作频率低的, 可以适当增加保护措施的使用复杂度, 毕竟对合法使用者复杂, 对攻击者也会一样复杂. 但是对于操作频率高的, 保护措施的使用复杂度一定要低, 否则, 后果不外乎两种结果: 1)企业无法承受复杂带来的高成本和低效率; 2)使用者实在受不了繁琐的操作, 另外去寻找捷径, 而寻找捷径的后果就是defeat了整个安全体系.
我们终于谈到了使用者, 而使用者, 也就是人, 尤其是内部人员, 是信息安全最大的威胁. 犯错是人这种智慧生物的天性, Alexander Pope说: To Err Is Human, To Forgive Divine. 举个例子, 在黑客的攻击手段里面, 通过所谓的\"社会工程法(Social Engineering)\"获取密码是一种常见的手段, 它的攻击目标就是人. 前一阵流行的手机诈骗, 例如发条短信, 说发现你有大笔金额的消费, 请尽快与某某单位联系, 你如果打电话过去, 对方会要求你提供银行卡密码供他们核对. 这就是\"社会工程法\"的典型案例. 而违反已有的规则也屡见不鲜, 前几年发生一起严重泄密事件就是因为某人把保密材料拷贝到U盘里面, 在家里一边使用, 一边上网的时候, 被人给窃取了. (这哥们一定被人盯了很久了)
为了对付人, 尤其是内部人员, 信息安全界可是想破了脑袋. 太复杂的密码大家记不住, 简单的密码强度又太低, 怎么办? 于是各种认证手段被创造了出来. \"三分技术, 七分管理\"的口号也喊了出来, 提醒各位领导大人注意监督的重要性. 设立\"信息安全员\"的职业等级证书, 持证上岗, 来加强针对普通人员的培训. 拆除所有移动存储介质的接口, 严禁玩游戏等等. 这些软措施我不想多说, 是否有效完全是看是否执行得力, 我想探讨的是在解决人的威胁问题上有哪些纯粹的技术手段.
首先, 自动化是避免人为错误的一个有效手段, 例如数据的自动备份, VPN来自动完成数据的加密传输, 加密磁盘自动完成数据的加密存储. 与其相信人, 俺们更加相信机器. (这就是为啥大家都担心哪一天机器也会造反的原因, 那就实在没啥可信的了:-) 自动化的程度越高, 人的参与度越低, 咱们就离这最大的威胁越远 (但愿同时离复杂这一第二威胁也远);
其次, 防呆也是加强信息安全管理的一个重要手段. 最常见的信息安全管理上的防呆手段就是弱口令检查, 例如有些网站在你设置密码的时候要求必须数字字母混杂, 长度不小8之类. 你不这么干就注册不了.
在我看来, 傻瓜化是信息安全产品的终极目标, 而傻瓜化的背后就是高度的智能化和自动化. 在达到同样的安全需求的前提下, 越简单, 越傻瓜的产品是越好的产品.
预告: IT八股: 闲聊信息安全 (之四.产品点评)
本帖一共被 1 帖 引用 (帖内工具实现)
人为错误最要命。新帐户一定要告诉他们的几条密码注意事项,限制试密码的次数,过多就封掉IP,找Admin去重新申请。
记得以前申请NPACI的账户时,都是邮寄的,而且有些要求rlogin的,当时觉得真麻烦,现在觉得很有必要,很有必要。
是那个得炸药物理奖的费曼。
费曼从来就是个不安分的主,一大业余爱好就是开锁--当然是不用钥匙的。当年在参与曼哈顿计划的时候号称几乎没有开不了的锁。但他们那儿有一种保险箱是个例外,太复杂,据说上千美元一台(四十年代的上千美元),是特意定购的,当时基地里最好的保险箱。费曼自己也承认无能为力。后来有一次用这种保险箱的一个头头忘记了密码,开不了,只好找来一个锁匠。费曼很好奇锁匠要多长时间能弄开他都弄不开的保险箱。锁匠一个人呆在屋里,半分钟就出来,箱子开了,费曼大惊。于是想尽办法想从锁匠那套出他的技术秘密。为达到此目的还特意向锁匠显摆了一下自己的技术,不然的话求人家人家恐怕都不乐意说。后来锁匠告诉他说“我根本没试图去开锁。我知道这种保险箱出厂时的缺省密码设置,于是就想试一试,也许他根本没改呢。我对了”。费曼再度大惊--他们愿意花上上千美元买最好的保险箱,却不愿意费点脑筋自己设置密码!
印象最深的是某人告诉费曼, 你应该对和你出去的女性直接提出你的要求. 费曼一开始大惊, 觉得怎么可以这样, 结果他尝试了一次, 对一位女士说如果你不和我回家, 我就不会和你约会. 结果....
....
....
....
他得手了.
鲜花已经成功送出。
此次送花为【有效送花赞扬,涨乐善、声望】
如可以,请加紧贴出来,朋友们正等着呢!
手咋这么快呢
这之四我还需要再核对一下资料. 可能需要等一等了. 一般新的会先贴在我的blog上(见签名档), 然后再到西西河, 不过中间也就几个小时的差别.
一针见血啊, 我们已经开始差不多6年了, 基本上离完成是遥遥无期, 相当部分的application还没有集成, 不过慢慢来吧, 反正是不用担心失业了, 呵呵:-)
人员是最不好管理的,规章制度不缺也很完善,但是很多人就是不愿意去执行,嫌太麻烦,觉得是浪费时间。记得二战后德国人回忆战时应该严格执行密码传输的规定,结果稍微一马虎就让盟国抓住了机会。现在很多单位的头头对信息安全根本不重视,觉得纯粹是浪费钱,设备那么贵,总让你用现有设备对付,所以我经常看着监视程序上的报警束手无策,为什么?设备达不到要求,想TRACE都没有条件。一个安全的信息网络首先在物理层上就要达到要求,单位的网络建的早但是升级很慢,尤其是网络设备,而且管理也不到位,竟然出现了若干个部门同时管理的情况,物理安全达不到其他什么都谈不上了。