安全是什么或者什么是安全? – 作者:datasecurity

一、生活中的安全

       安全是什么?每个人都可以说出一大堆道道,每个人都不一定认可对方说的安全道道。安全对应有两个英文单词:safety和security。safety的基本意思是不受伤害,security的基本意思是不受侵犯和保持机密,中文的安全兼有两者意思,虽然在网络安全中翻译对应词是security。

image.png

       马斯洛需求层次理论很明确的把安全作为最为基本的诉求,吃穿住行和安全。吃穿住行,生老病死,安全是人类作为基本的诉求。病和死是安全的核心课题,吃饱是为了不挨饿,穿暖是为了不冻着,住房子是为了遮风挡雨,行路上安全第一。从生活中看,安全包含着以下几个层面:

      1、人不会受到伤害,无论这个伤害是别人造成的还是自己造成的,比如被人砍了,被车撞了,喝了毒酒,生病了,跑步受伤了,从15楼跳下来了,飞机失事了,刹车失灵了等等各种伤害事件。

      2、拥有的钱、存款、珠宝、房子以及其他各种可以拥有的财富不会被偷窃,被损坏,被火烧水淹,或者被自己不小心藏到哪里去了,摔坏了。

      3、权利不会受到侵犯,无论这个侵犯是有意的还是无意的。

 

      有些伤害和侵犯是可以避免的,有些伤害和侵犯是几乎不可避免的。对于几乎不可避免的伤害,比如生病了、比如不小心丢东西了,比如被人撞了,必然会面临发生了怎么办的问题。我们的政府相当多职能都是为了发生了怎么办存在的,比如公安、消防、军队等等。

      发生了安全问题怎么办?一般来讲我们会以下几个选择:

      1、采用各种手段积极挽回损失,比如治病,关键是手段和成本。

      2、还是算了,认赔。

      3、保险支付。

      当这种安全事故涉及众多的我,就从个人安全事件上升为公共安全事件,比如正在全球泛滥的新冠肺炎传染病。当这种安全事件涉及到国家基本或者关键利益,则会被认为是国家安全事件。

      安全包含了三个部分:发生前、发生中和发生后。发生前制定各种措施,预防安全事件的发生,发生中让制定的预防措施生效,防御安全事件发生,发生后,处理安全事件的发生。无论是预防、防御还是处理,都会涉及到成本考量的问题,值不值得预防,值不值得处理,值不值得则是一个价值观问题,因人而异。

      安全的预防性措施还涉及大概率事件还是小概率事件的问题。当一个安全事件大概率会发生并且结果不能承受的时候,我们一般会选择预防性措施,比如给大河筑堤坝,给房屋装门窗,使之变成一个小概率安全事件。 当安全通过预防性措施成为小概率事件的时候,这个时候会存在选择预防,事后处理,或者赌博放弃等多种方案。当小概率安全事件的结果是我们无法承受的时候,如果成本可以接受的话,我们一般都会选择底线防御,确保最坏情况发生的损失控制,比如购买保险。如果成本无法承担,那只能赌运气了。    

      从安全的各种被动描述来看,所有安全都有四个基础部分:

      1、伤害目标,比如人,财富,权利等等。所有安全事件都是建立在伤害目标的基础之上,这个结论是显而易见的。

      2、伤害是谁做的或者谁导致的,至于谁做了伤害,并不是显而易见存在的,但确实是隐含存在的。即使是地震这类自然灾害,死于地震或者地震让张三家破人亡,地震就承担了这个谁的角色。

      3、伤害或者试图伤害,行为和动作是安全事件存在的必要成分。

      4、伤害的结果,衡量一个安全事件的大小显然是和结果密切相关。地震造成张三死亡,造成李四惊吓,显然是很不相同的安全事件。

 

二、网络世界的安全

       网络世界中的安全和生活中的安全没有太大区别,主要区别在于生活中的安全以我的(生命)安全为核心,而网络世界中的安全则以我的财富安全为核心。随着数字化转型的不断加剧,网络世界中生命安全的份量也在不断变重,比如医疗设备,比如自杀教唆等等。

       网络世界中的安全可以用以下定义来描述(访问者定义):

       1、确认我是我

       确认我是真实的我,不是假冒的我,不是盗用的我。

       2、确认我的行为是真实意愿的表达

       我的行为不是被胁迫的,不是疲倦愤怒情绪的疯狂,不是误操作。

       3、确认我的行为符合规范的

       每家企业都制定了各种制度和规范,确认我的行为是符合这些规范的。

       4、确认我的每个行为是被记录和审计的

       我的每个行为都被记录,用于做回顾和追责。

 

       网络世界中的安全也可以用被伤害目标定义(伤害目标定义),更加符合生活中的安全习惯定义。

       1、确认行为是被许可的

        许可的行为不是由人定义的,而是由伤害或者访问目标定义的。一旦定义了访问目标,访问目标的确定性行为就确定了。比如一个归档文件,显然其允许的访问行为只读,不允许更新,不允许覆盖,删除则要符合其归档保存策略,并不关心谁来访问。

       2、确认行为是在正确的上下文中被许可的

       许可的行为自然只能在正确的上下文中才可以被访问,比如说最简单的时空上下文之中。上下文可以非常复杂,也可以比较简单。

       3、确认行为是正确的访问者发出的

       许可的行为确认是正确的访问者发出,而不是假冒的,盗用的访问者发出。

       4、确认所有访问事件或者不符合规范的访问事件被记录和审计

       所有(或者可疑)的访问事件都需要被记录,用户发现访问异常和访问规律。

 

       两种定义没有本质性区别,只是出发点和侧重点不同。

       网络世界中的安全和生活世界中的安全没有太大差别,我们最后重复一下生活中的安全四要素:伤害(访问)目标、访问身份、访问行为、访问结果

来源:美创科技 柳遵梁

来源:freebuf.com 2020-04-20 13:31:44 by: datasecurity

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论