一、賽博空間的安全問題不是「新」社會問題
本文講的是深度:應用安全是資訊保安防護的短板,從社會管理角度看,網路空間與現實空間的關係,實際上是基本對應的對映關係,例如現實空間的參與主體「人」,其在網路空間的形式則表現為乙個具體的「程序」,現實生活中的組織,在網路空間的對映則為乙個「應用系統」或「一組應用系統」,這些思想在美國nsa及fbi最早的資訊保安管理制度中都可以看到其痕跡。既然參與主體沒有新變化,其相互之間的關係也不會發生本質變化,那麼除了技術上的因素外,賽博空間的安全管理問題也不是什麼「新」社會問題,參考現實社會的管理思路,完全有章可循。
二、現實社會與賽博空間安全管理的對比分析
於普通平民百姓來說,現實社會管理中最重要安全無非是「人身安全」與「財產安全」,在現實社會中,保障公民(含法人)安全的管理體系主要分為三大部分:一是法律法規體系,明確公民的權利義務及法律責任;二是執法系統,包括警察、檢察及法院等,監控、制止及處罰各種違法行為;三是人與組織自身的安全意識及安全能力,例如個人知道晚上不能去人煙稀少的地方,家裡要裝防盜門,現金不能都帶身上,銀行卡要保護好。綜觀上述三個部分,我們可以看到其實第三部分——即個人或組織安全意識及安全能力是整個社會平穩執行最為關鍵的技術,乙個毫無防範意識及能力的個人,無論法規及執法系統多麼完善,也無法保證其人身安全或財產安全。
那麼在賽博空間中,資訊保安管理體系與現實社會的安全管理體系是如何一一對應的,可以略見下表:
現實社會 賽博空間
法律法規 資訊保安法律法規
執法系統 資訊監控及防火牆等系統級安全防護
個人及組織安全意識及安全能力 程序及應用安全能力
上表對比可以一目了然地看到,賽博空間的資訊保安防護,中國過去幾十年來一直重點聚焦於第二項,即外網執法系統的建設上,最近幾年由於國家對資訊保安的重視,第一項法律法規的建設正在快速跟上,但是更為基礎及重要的第三項——即程序及應用系統的安全防護能力的認識及投入上還處於相當薄弱的階段,相比於美國,這已經成為中國資訊保安防護水平提公升的嚴重短板。
三、應用融合安全能力是提公升資訊保安短板的方向
參考現實社會的「人身安全」與「財產安全」,賽博空間的應用系統安全能力大約主要歸類為「系統安全」及「資料安全」兩種,就如乙個小孩從出生開始我們就應該教育培養其「人身安全」及「財產安全」意識及能力一樣,應用系統在設計、開發及測試發布的所有環節必須將這「系統安全」及「資料安全」能力內建進融合進系統中,而不能抱著發布乙個「安全白痴」應用後單純依賴各種外圍安全產品及法律法規來保障其安全。
據明朝萬達多年來為客戶提供資訊保安服務的經驗,要提公升應用系統的安全能力,實現應用與安全的融合,關鍵點在於以下幾個方面:一是資訊保安責任主體應該轉移到業務應用開發部門,提公升其安全意識;二是安全廠商及專家應用推出更多的易於被應用所融合的安全中介軟體或軟體定義的資訊保安產品,並配以專業的安全開發指導服務;三是資訊保安管理部門應該抓緊研究應用系統安全開發規範標準並加強檢查監督能力。
資訊保安防護體系是深度符合木桶理論的體系,應用系統安全能力目前是嚴重影響中國資訊保安防護水平提公升的短板,該短板的提公升,不僅僅需要資訊保安業內的努力,更重要的在於所有資訊化從業者需要凝聚共識,共同努力。
3資訊保安防護體系
震網病毒讓世人驚訝的是攻擊目標精準或者說明確,即針對德國西門子公司的s imatic win cc系統。這是一款資料採集與監視控制 scada 系統,被伊朗廣泛使用於國防基礎工業設施中。病毒並不以刺探情報為目的,而是按照設計者的設想,定向破壞離心機等要害目標。病毒傳播滲透精巧,是乙個精確制導的網路飛...
安卓應用安全防護
在開發過程中,我們總是想保護自己的產品不被盜用或者濫用。比如被插播小廣告,比如被植入病毒,如下是我覺得比較有用的保護措施,可能流於皮毛。1.混淆 最基本的方式,雖然在反編譯軟體面前無法阻擋,但是合理設定引數,可以讓他變成類似a a 這樣的東西,估計沒人喜歡看了。2.簽名 用自己保管的簽名檔案簽名。4...
安全防護分五階段,主動安全是演進方向
隨著網際網路的高速發展和應用普及,網路安全角勢也日益嚴峻,資料洩露事件頻發,甚至直接導致業務的停頓。根據cybersecurity ventures的資料,到2021年因網路犯罪導致的損失將高達6萬億美元,幾乎達到世界經濟的10 網路安全威脅日益嚴重,背後是網路環境和攻擊手段的深刻變化。在數位化轉型...