全球信息安全的六大战略错误

来源: IT专家网作者:杨义先
2013/9/27 10:39:59
在近日的“云灾备与云存储安全论坛”上,长江学者、北京邮电大学信息安全中心主任、灾备技术国家工程实验室主任杨义先教授做了题目为“全球信息安全的六大战略错误”的主题演讲,以独特的视角剖析了信息安全领域存在的六个重要误区,并提出了自己的解决思路。杨义先教授从业信息安全近三十年。

分享到: 新浪微博 腾讯微博
本文关键字: 云计算 信息安全


  错误4(最仁慈的错误):未建信息安全别动队。如果把赛搏空间比喻为金银满地、佳丽如云的后宫,那么,最合适的管理人选应该是“太监”。但是,如今,管理该“后宫”的却是众帅哥,受某些规矩约束的众帅哥。或者,换句话说,现在,信息安全界选用了一个股民来担任“美联储”主席,想不出金融危机都难啰!事实上,当前,国内外,信息安全界攻守兼备的几乎都是同一批人!这当然在无形中加剧了各利益方的相互对抗,并且殃及全体网民!如果有一支类似于“联合国维和部队”,他们完全中立地、尽心尽力地、一视同仁地为全世界信息系统保驾护航,那么,网民们的安全感将大幅度增强。

  当然,要想纠正该错误,显然不能仅仅依靠技术手段,而且这绝对是一个非常困难的问题。所幸,现在这样的“别动队”已经开始活跃于赛搏空间的某些局部,比如,出现了SAAS概念,即,信息安全即服务。

  错误5(最具体的错误):黑名单管理。当前,赛搏空间的行事规则是:非禁止,即允许。该规则在信息安全的攻防双方也是通行的,其好处是极大扩展了各自的创新空间,但是,却耗费了对抗双方难以计数的人力、物力和财力等资源。如果把安全规则修改为“白名单管理”方式,即,未被允许的指令均为禁令,那么,理论上,只需要由权威机构,在给定环境下,预先测试某些操作的安全性,然后,将安全操作写入“白名单”中就行了。

  当然,要想马上、全面推广“白名单”,几乎是不可能的,但是,从局部开始,针对某些关键系统的核心操作,采用“白名单”也是值得尝试的。

  错误6(最机械的错误):动态性不足。与现实社会类似,赛搏空间的“人”(实体)和“事”(进程)也应该是瞬息万变的,而且,网络社会的移动性、隐蔽性、不定性等更加严重,因此,既不能简单地用身份认证方法,把用户分为“好人”或“坏人”;也不能把各种操作,机械地定为“合法”或“非法”;更不能“以不变,应万变”,必须综合考虑时间、空间、事件等因素。当然,要想提高动态性,一定得付出相应的代价。

  因此,针对一些特定的信息系统,在特殊情况下,完全可以借用现实社会中的众多直观思路,用时间的动态性、空间的动态性、事件的动态性等来换取赛搏空间的安全性。

  补充说明:

  1、客观地说,以上六大错误不能完全归咎于信息安全界,因为,IT界的过度创新和失误留下了太多急需弥补的漏洞,使得我们仓促上阵,头痛医头,根本没时间和精力来统筹战略。

  2、我们没有能力和机会介入赛搏基础设施的起步阶段,致使建设与安全始终是“两张皮”。

  3、纠正上述六大错误,也绝不仅仅是我们的责任,更重要的是“全体IT专家必须行动起来”。

  4、“纠错”将是非常困难的长期难题,不能另起炉灶,最多在特定情况下,从局部改起。

共2页: [1]2 下一页
责编:Rosaww
vsharing 微信扫一扫实时了解行业动态
portalart 微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
IT系统一体化时代来了

2009年Oracle 用Exadata服务器告诉企业,数据中心的IT服务一体化解决方案才是大势所趋,而当前企业对大数据处理的..

高性能计算——企业未来发展的必备..

“天河二号”问鼎最新全球超级计算机500强,更新的Linpack值让世界认识到了“中国速度”。但超算不能只停留于追求..

    畅享
    首页
    返回
    顶部
    ×
    畅享IT
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map