信息技術(shù)專業(yè)的學(xué)生往往把在學(xué)校學(xué)習(xí)的專業(yè)知識(shí)直接帶到工作中。例如，新的編程和系統(tǒng)分析、設(shè)計(jì)技能可應(yīng)用于新開發(fā)的項(xiàng)目，這是因?yàn)楣驹絹?lái)越喜歡訪問(wèn)其內(nèi)部的云計(jì)算系統(tǒng)和移動(dòng)基礎(chǔ)架構(gòu)。

安全問(wèn)題卻有點(diǎn)兒不同。雖然專業(yè)技能仍很重要，但最好的安全專家將其IT的實(shí)踐經(jīng)驗(yàn)與信息安全、技術(shù)、人性的一般理論相結(jié)合。而其中的一些概念是從其它領(lǐng)域（如軍事防御）中借用的，這往往需要花費(fèi)多年的專業(yè)體驗(yàn)才能學(xué)會(huì)（有時(shí)這是很痛苦的事情）。掌握信息安全的概念和原則，我們就可以分析適當(dāng)環(huán)境或情形中的安全需要，因而就可以在允許訪問(wèn)的需要與相關(guān)風(fēng)險(xiǎn)之間實(shí)現(xiàn)平衡。沒(méi)有兩個(gè)完全相同的系統(tǒng)或環(huán)境，也沒(méi)有哪本教科書可以規(guī)定如何解決某種安全問(wèn)題。與之相反，我們必須依靠基于原則的分析和決策。

三大安全目標(biāo)是機(jī)密性、完整性、可用性

所有的信息安全措施都必須努力滿足至少如下三目標(biāo)之一：保護(hù)數(shù)據(jù)的機(jī)密性、保留數(shù)據(jù)的完整性、有益于授權(quán)用戶的可用性，這三個(gè)目標(biāo)形成了機(jī)密性、完整性、可用性的“鐵三角”，是所有安全項(xiàng)目的基礎(chǔ)。在制定保護(hù)計(jì)算機(jī)系統(tǒng)的計(jì)劃時(shí)，構(gòu)建策略和過(guò)程的信息安全專家必須考慮每一個(gè)目標(biāo)。

對(duì)于信息安全保護(hù)的機(jī)密性、完整性、可用性，我們無(wú)論如何強(qiáng)調(diào)都不過(guò)分。下面分析其實(shí)現(xiàn)模式：

完整性模式：完整性模式通過(guò)保護(hù)系統(tǒng)數(shù)據(jù)免受惡意或意外的變更而保持?jǐn)?shù)據(jù)的純凈和可信。完整性模式有三個(gè)目標(biāo)：一是防止未獲得授權(quán)的用戶對(duì)數(shù)據(jù)或程序的篡改，二是防止授權(quán)用戶對(duì)數(shù)據(jù)或程序的不正確的修改，三是保持?jǐn)?shù)據(jù)和程序的對(duì)內(nèi)和對(duì)外的連續(xù)性。

可用性模式保持?jǐn)?shù)據(jù)和資源對(duì)授權(quán)使用的可用性，在緊急情況或?yàn)?zāi)難期間，這尤其重要。信息安全專家通常要解決三個(gè)常見的困難：一是由于惡意攻擊或在實(shí)施中有未被發(fā)現(xiàn)的漏洞而導(dǎo)致的拒絕服務(wù)（例如，程序設(shè)計(jì)員編寫程序時(shí)，并沒(méi)有意識(shí)到程序中的某個(gè)缺陷，在程序接收到意外的輸入時(shí)會(huì)導(dǎo)致程序崩潰）。二是由于自然災(zāi)害（洪水、地震等）或人為活動(dòng)（如人為爆炸等）而造成的信息系統(tǒng)功能的喪失。三是在正常使用期間，設(shè)備發(fā)生故障。

維持機(jī)密性、完整性、可用性的一些活動(dòng)僅允許授權(quán)的人員訪問(wèn)，對(duì)通過(guò)互聯(lián)網(wǎng)或存儲(chǔ)在數(shù)字媒體上的信息實(shí)施加密，定期測(cè)試計(jì)算機(jī)的安全性以發(fā)現(xiàn)新漏洞，積極構(gòu)建軟件防御，制定災(zāi)難恢復(fù)計(jì)劃確保在發(fā)生災(zāi)難或由于人員無(wú)法訪問(wèn)時(shí)企業(yè)能夠繼續(xù)運(yùn)營(yíng)。

將深度防御作為策略

銀行從來(lái)都不會(huì)將其資產(chǎn)放置在沒(méi)有任何保衛(wèi)的保險(xiǎn)箱中。一般而言，訪問(wèn)保險(xiǎn)箱要求通過(guò)多層保護(hù)，其中可能包括保安、有專門訪問(wèn)控制的帶鎖的門。此外，保險(xiǎn)箱所在的房間還有可能受到閉路電視、運(yùn)動(dòng)傳感器的監(jiān)控，以及能夠快速檢測(cè)異常活動(dòng)的警告系統(tǒng)。警報(bào)的響聲還可以使門自動(dòng)上鎖，并且可以通知警察，或是排放催淚瓦斯使其充滿整個(gè)房間。

分層安全也被稱為縱深防御。這種安全是在多個(gè)層中實(shí)施的，它提供保障資產(chǎn)安全的三個(gè)要素：防御、檢測(cè)、響應(yīng)?？v深防御還可以通過(guò)兩層或多層的長(zhǎng)處來(lái)抵消某一層的不足。

在信息安全領(lǐng)域中，縱深防御要求在多個(gè)層級(jí)中實(shí)施保護(hù)、檢測(cè)和響應(yīng)攻擊的安全設(shè)備。例如，如果在設(shè)計(jì)時(shí)考慮到安全性，一個(gè)連接到互聯(lián)網(wǎng)的典型網(wǎng)絡(luò)必須包括路由器、防火墻、入侵檢測(cè)系統(tǒng)（IDS）來(lái)保護(hù)網(wǎng)絡(luò)免受潛在的入侵；并利用通信分析工具和實(shí)時(shí)的人員監(jiān)視來(lái)查看異常，依靠自動(dòng)化的機(jī)制來(lái)關(guān)閉訪問(wèn)，或?yàn)閼?yīng)對(duì)入侵者的檢測(cè)而從網(wǎng)絡(luò)中移除系統(tǒng)。

上述深度防御機(jī)制中每一層的安全性在部署之前都必須徹底地測(cè)試，以確保集成系統(tǒng)適合于正常操作。因?yàn)?，一個(gè)鏈條的可靠和牢固程度是由其最薄弱的環(huán)節(jié)決定的。

計(jì)算機(jī)安全依靠?jī)深愋枨螅汗δ苄枨蠛捅ＷC需求

功能需求描述了一個(gè)系統(tǒng)應(yīng)做什么，而保證需求描述了應(yīng)當(dāng)如何實(shí)施和測(cè)試功能需求。我們需要兩種需求來(lái)回答如下問(wèn)題：系統(tǒng)是否在正確地運(yùn)行（如期望的那樣）?系統(tǒng)是否在以適當(dāng)?shù)姆绞秸_地運(yùn)行?

驗(yàn)證是檢驗(yàn)是否滿足一個(gè)或多個(gè)預(yù)定的需求或規(guī)范的過(guò)程。而確認(rèn)要確定用以滿足需要的機(jī)制的正確性或質(zhì)量。換言之，你可以開發(fā)解決某種需要的軟件，但此軟件有可能包含漏洞，惡意用戶得到此軟件后就有可能造成數(shù)據(jù)破壞。

在此，不妨以汽車的安全測(cè)試為例說(shuō)明一下。驗(yàn)證座椅安全帶的測(cè)試可能包括進(jìn)行安全帶的應(yīng)力測(cè)試、測(cè)試鎖扣裝置、確保安全帶滿足所期望的應(yīng)用。而確認(rèn)測(cè)試可能包括用車內(nèi)假人進(jìn)行碰撞試驗(yàn)，以此證明座椅安全用于現(xiàn)實(shí)條件時(shí)是真正安全的，而且在惡劣條件下能仍能發(fā)揮作用。

至于軟件，我們需要驗(yàn)證和確認(rèn)兩方面的回答，其目的是在將產(chǎn)品推向危機(jī)四伏的環(huán)境之前贏取對(duì)產(chǎn)品的信心。當(dāng)今的多數(shù)商業(yè)性質(zhì)的非定制軟件都止步于驗(yàn)證，而沒(méi)有測(cè)試最終產(chǎn)品中的明顯的安全漏洞。軟件的開發(fā)者往往缺乏必要的資金和動(dòng)機(jī)去破解、攻擊其自己的軟件。更常見的是，測(cè)試軟件的開發(fā)者在每個(gè)功能上可能滿足規(guī)范，但通常不會(huì)努力去找到突破軟件并使其失效的方法。

通過(guò)隱藏實(shí)現(xiàn)安全不靠譜

信息安全界的很多人相信，如果惡意攻擊者不知道軟件是如何實(shí)現(xiàn)安全的，安全性就會(huì)更好。雖然這看似符合邏輯，但并非事實(shí)。通過(guò)隱藏來(lái)實(shí)現(xiàn)安全意味著，通過(guò)隱藏安全機(jī)制的細(xì)節(jié)就足以保證系統(tǒng)的安全。模糊安全性會(huì)導(dǎo)致虛假的安全感，這往往比不解決安全問(wèn)題更危險(xiǎn)。

如果一個(gè)系統(tǒng)的安全性是由對(duì)系統(tǒng)的安全機(jī)制的實(shí)施進(jìn)行保密來(lái)維持的，那么，在第一個(gè)人發(fā)現(xiàn)了安全機(jī)制如何工作后，整個(gè)系統(tǒng)就會(huì)崩潰（事實(shí)上，總有人在設(shè)法發(fā)現(xiàn)這些秘密）。更佳的方法是不僅僅用一種機(jī)制為整個(gè)系統(tǒng)的安全負(fù)責(zé)。這又一次涉及到與保護(hù)數(shù)據(jù)和資源有關(guān)的深度防御問(wèn)題。

在開源代碼中，任何人都可以訪問(wèn)程序的源代碼，分析其安全問(wèn)題，然后將其與網(wǎng)絡(luò)社區(qū)人成員共享，從而削除漏洞，并通過(guò)簡(jiǎn)化來(lái)改進(jìn)總體的安全性。

安全即風(fēng)險(xiǎn)管理

如果花在保障資產(chǎn)安全上的金錢超過(guò)了資產(chǎn)的固有價(jià)值，那就是一種資源的浪費(fèi)。在保護(hù)電子資產(chǎn)時(shí)，也是同樣道理。所有的安全工作是一個(gè)風(fēng)險(xiǎn)水平與花費(fèi)的資源數(shù)量所帶來(lái)的報(bào)酬之間的平衡。安全關(guān)心的不是清除一個(gè)系統(tǒng)或設(shè)施內(nèi)部的所有威脅，而是在黑客成功利用一個(gè)漏洞之后，清除所有的已知威脅并且使損失最小化。風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)管理是保障信息系統(tǒng)安全的中心主題。

風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)分析關(guān)注的是判定資產(chǎn)的經(jīng)濟(jì)價(jià)值，決定保護(hù)這些資產(chǎn)防止損失的最適當(dāng)?shù)拇胧?。決定風(fēng)險(xiǎn)程度的最簡(jiǎn)單形式涉及兩方面的因素：損失的后果是什么?這種損失發(fā)生的可能性多大?

表1列示了一個(gè)矩陣，我們可以根據(jù)這些因素來(lái)決定風(fēng)險(xiǎn)程度。

在決定了風(fēng)險(xiǎn)評(píng)級(jí)后，我們需要采取如下某種行動(dòng)：

對(duì)于極端風(fēng)險(xiǎn)：要立即采取行動(dòng)；對(duì)于高風(fēng)險(xiǎn)，需要引起高級(jí)管理人員的注意；對(duì)于中等風(fēng)險(xiǎn)，必須指定管理人員的責(zé)任；對(duì)于低風(fēng)險(xiǎn)，要由例行的進(jìn)程來(lái)處理。

在現(xiàn)實(shí)世界中，風(fēng)險(xiǎn)管理要比簡(jiǎn)單地根據(jù)直覺(jué)或以前對(duì)某種情況的經(jīng)驗(yàn)做出人為判斷更為復(fù)雜。每一個(gè)系統(tǒng)都有唯一的安全問(wèn)題，所以理解系統(tǒng)要維護(hù)的數(shù)據(jù)的具體性質(zhì)，理解使用什么軟件和硬件來(lái)部署系統(tǒng)以及部署團(tuán)隊(duì)的安全技能是非常重要的。

復(fù)雜是安全的大敵

系統(tǒng)越復(fù)雜，就越難以保證其安全。在程序和其它系統(tǒng)之間有太多的“移動(dòng)組件”或接口，系統(tǒng)或接口就難以既保證安全又能按照所期望的那樣運(yùn)行。

人員、過(guò)程、技術(shù)是保證充分安全的必要成分

企業(yè)內(nèi)的任何個(gè)人都不應(yīng)當(dāng)有能力控制或關(guān)閉安全活動(dòng)。這屬于責(zé)任分離問(wèn)題。

實(shí)施過(guò)程控制的目的是為了保證不同的人員能夠每次以同樣的方式執(zhí)行同樣的操作。在實(shí)施如何執(zhí)行與安全有關(guān)的程序時(shí)，必須記錄其過(guò)程。企業(yè)必須記錄為保障安全操作而配置服務(wù)器操作系統(tǒng)的過(guò)程，安全管理人員可以使用此記錄程序來(lái)驗(yàn)證操作的正確性。

正如信息安全專家會(huì)建立過(guò)程控制來(lái)保證任何個(gè)人都不能完全控制一個(gè)系統(tǒng)一樣，我們絕對(duì)不應(yīng)當(dāng)完全信任技術(shù)。技術(shù)可能失效，如果沒(méi)有人去通知并修復(fù)技術(shù)問(wèn)題，安全系統(tǒng)就會(huì)永久地停止運(yùn)轉(zhuǎn)。

人員、過(guò)程、技術(shù)控制是信息技術(shù)安全實(shí)踐領(lǐng)域（其中包括操作安全、應(yīng)用開發(fā)安全、物理安全、加密）中的關(guān)鍵要素，或稱為安全三大支柱。

披露漏洞有益于安全

在安全人員與軟件開發(fā)人員中的爭(zhēng)論往往涉及：在開發(fā)和發(fā)布補(bǔ)丁或修復(fù)之前，是否讓用戶們了解問(wèn)題。如前所述，不讓用戶們了解漏洞只能帶來(lái)虛假的安全感。用戶們有權(quán)力知道其購(gòu)買的產(chǎn)品中存在的缺陷，正如他們有權(quán)力知道因汽車存在缺陷而導(dǎo)致的召回一樣。

表1 安全矩陣

結(jié)語(yǔ)

計(jì)算機(jī)安全專家不但要了解其工作的技術(shù)方面，還必須理解信息安全背后的原則。正因?yàn)闆](méi)有兩種完全相同的環(huán)境，所以就沒(méi)有關(guān)于通用安全措施的秘訣。由于每種情況都要求一種獨(dú)特的判斷才能解決信息系統(tǒng)中所固有的特定風(fēng)險(xiǎn)，所以信息安全專家需要做出基于原則的決策。