本文1024字，閱讀時長4分鐘

我們常常認(rèn)為“定義”是用來更好地理解事物的，其實(shí)“定義”只是用來區(qū)分事物的。而為了能夠被明確區(qū)分，冗長的描述反而會帶來理解上的困難。

就拿“信息安全”這個概念舉個例子來體會一下。百度百科援引國際標(biāo)準(zhǔn)化組織(InternationalStandardOrganization，ISO)的定義是：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)、管理上的安全保護(hù)，為的是保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露[1]。

讀完的感覺就好像是“你似乎說得很明白，但其實(shí)我依然很糊涂”，因?yàn)閷γ恳粋€定義的理解都需要大量的專業(yè)背景知識做鋪墊。因此，要想真正地快速理解安全，不能看定義，而是需要看本質(zhì)。但是本質(zhì)，會因?yàn)槎床斓木S度不同而產(chǎn)生不同的答案。

比如說，《白帽子講WEB安全》一書中提出：安全問題的本質(zhì)是信任的問題。一切解決方案設(shè)計(jì)的基礎(chǔ)，都是建立在信任關(guān)系上的，必須有一些基本的假設(shè)，安全方案才能得以建立。從另一個角度來說，一旦我們作為決策依據(jù)的條件被打破、被繞過，那么就會導(dǎo)致安全假設(shè)的前提條件不再可靠，變成一個偽命題[2]。

《互聯(lián)網(wǎng)企業(yè)安全高級指南》一書中提出:安全的本質(zhì)是風(fēng)險(xiǎn)管理，說絕對安全本身就是一個笑話，原因是攻防不對等，防御者要防御所有的面，而攻擊者只要攻破其中一個面上的一個點(diǎn)就可以了。在所有的面上重兵布防理論上可以，但實(shí)際絕對做不到[3]。

《企業(yè)安全建設(shè)指南》一書中提出：信息安全問題的本質(zhì)是“信任”。計(jì)算機(jī)用0和1定義整個世界，而企業(yè)的信息安全目標(biāo)是解決0和1之間的廣大灰度數(shù)據(jù)。安全需要找到某個自己可以接受的“信任點(diǎn)”，并在這個點(diǎn)上取得成本和效益的平衡[4]。

上面羅列的觀點(diǎn)，無論是“風(fēng)險(xiǎn)”還是“信任”，本質(zhì)上都是基于物理世界里人與人之間的關(guān)系，這樣一個邏輯框架來描述安全本質(zhì)的。事實(shí)上，在信息世界里，我們看到的只是程序與數(shù)據(jù)，它們借助終端、網(wǎng)絡(luò)、服務(wù)器這樣的信息載體來發(fā)生關(guān)系。

但是，在信息安全的框架下，有一個變量已經(jīng)變得越來越突出與重要，那就是“威脅(Threat)”。因此安全的本質(zhì)其實(shí)是威脅對抗。盡可能早地發(fā)現(xiàn)威脅、消除威脅、處置威脅發(fā)生后遺留的問題，就成了安全的基本任務(wù)。

由于“對抗”是一個動態(tài)的動作，此消彼長，因此安全又被稱為“魔道之爭”，道高一尺、魔高一丈，永無止境。因?yàn)榘踩ㄔO(shè)的結(jié)果完全不能做到“天下無毒”，而只能做到“攻防平衡”。

安全建設(shè)者的目標(biāo)只能是根據(jù)威脅發(fā)展的態(tài)勢，進(jìn)行有計(jì)劃、分階段地投入，在安全要求和安全建設(shè)成本之間進(jìn)行平衡，就是要不斷地提高攻擊成本、降低防御成本，從而達(dá)到“不戰(zhàn)而屈人之兵”的效果。

安全的本質(zhì)是指什么（光的本質(zhì)是什么）相關(guān)文章：