网络安全的哲学观.PDF

网络安全的哲学观 深圳市安络科技有限公司 撰稿人：谢朝霞(CIST/CISP) root@cnns.net 内容介绍 第一部分 安全世界观 第二部分 安全方法论 第三部分 理论应用 安全-关于买单的两个问题 安全做到最好就是不出事？Right? 安全是花钱的，不能赚钱!？ Answer在后面 第一部分 安全世界观 信息系统的风险本质 新生的信息系统一开始总是处于最脆弱的状态； 信息系统的风险本质 信息系统的每一个变化都是对系统完整性的一种 破坏，这种广义的安全事件不断地在发生。 信息系统/风险永随 信息系统风险由固有的风险，和时刻发生变化所 带来的风险组成，它们在信息系统中客观存在， 并且无处不在，无时不在。 不要被用户的需求误导 任何安全需求是都是一种主观意志，安全措施是 这种主观意志的体现； 攻击的来源 一切攻击从源头上说都是人为的。 Hacker/病毒作者 Cisco Router Intranet R System Internet/ Internet/ VPN VPN Details Database R system Cisco Router Details 攻击的来源 由人为攻击触发的（狭义的）安全事件始终会 来；不以人的意志为转移； 攻击事件的根源来自于社会矛盾； 社会发展一天不止，风险和冲突一天不断； 安全的本质 在信息系统中，开放=风险。 在信息系统中，约束=安全。 信息系统的每一个应用都是基于信息资源和资 产，打开应用就伴随着开放，因此也带来了风 险； 信息系统中的每一个约束规则都增强了安全性， 安全性就是由所有约束组成的总集。 约束和开放的对立统一，伴随着信息系统的运行 与发展。 IT系统(安全vs性能)曲线 性能 适合家庭用户、办 适合运营商、 公用户、中小企业 大中型企业 适合军事网络、涉 密单位、金融系统 安全措施 第二部分 安全方法论 攻击方规律 在进攻过程中遵循避实击虚的游击战争原则： 敌进我退，敌驻我扰 敌疲我打，敌