InfernoLovesMilfs
2021-09-11T06:06:24+00:00
我学信息安全的时候,老师和我们说即使你有最好的技术,最强的防火墙,入侵检测,生物识别,信息安全最薄弱的环节永远是人,这其实是传说中的黑客凯文说的,搞定一个有权限的人往往比技术破解简单的多。
这让我想起费曼的自传《别闹了,费曼先生》,费曼在里面记录了很多有趣的经历,其中有一次,费曼在参加曼哈顿计划时无聊,研究档案柜的密码锁,两年之间开遍了同事的柜子,然而有一个上尉订购了一个先进的保险柜,费曼打不开,一个锁匠反而打开了,费曼问他是如何做到的,锁匠告诉费曼他的技术并不比费曼强,能打开的原因只是上尉从未改过密码,而他恰好知道出厂密码。
我读完之后想到的是即使密码学家设计了从原理上接近无懈可击的安全方案,仍然在实现中被一个安全意识缺乏的操作人员轻易泄露,老师告诉我们这句话意思是说操作人员的安全意识培养同样是信息安全的一部分。但老实说我可能比较坏,联想到了其他问题。
密码学家的安全方案其实完全可以引申为任意一个管理体系,人们妄图用更完善更细致的条例来规范人,然而实现这些方案仍然是人,假设有一个监狱,为了管理犯人必然有狱卒,为了监视狱卒因此有了狱卒的长官,我们可以完善这个监狱的管理条例,犯人的权限,狱卒的权限,长官的权限,从夏朝到建国之前,我们不停完善条例和使用更好的监狱,就如升级软件和硬件,安全性应该大大增强了吧?然而就如信息安全最薄弱的环节是人一样,监狱最薄弱的是犯人,狱卒和长官。在信息安全中我们可以培养操作人员的安全意识,可问题在于狱卒和长官能培养吗?从夏朝到建国之前的狱卒有什么不同吗?我比较悲观,我认为没什么不同。
所以我认为任何管理体系最薄弱的仍然是人,即使这个体系理论有多么完善。人其实在不同时间不同空间不同基因上有相当大一部分共性,而我个人认为能否成为一名合格的狱卒就在这部分共性之中。
也就是说我个人认为狱卒和长官是培养不了的。
当然建国之后就没这个问题了,我只是想讨论一下世界上其他集体有没有这个问题。[s:ac:blink][s:ac:blink]
这让我想起费曼的自传《别闹了,费曼先生》,费曼在里面记录了很多有趣的经历,其中有一次,费曼在参加曼哈顿计划时无聊,研究档案柜的密码锁,两年之间开遍了同事的柜子,然而有一个上尉订购了一个先进的保险柜,费曼打不开,一个锁匠反而打开了,费曼问他是如何做到的,锁匠告诉费曼他的技术并不比费曼强,能打开的原因只是上尉从未改过密码,而他恰好知道出厂密码。
我读完之后想到的是即使密码学家设计了从原理上接近无懈可击的安全方案,仍然在实现中被一个安全意识缺乏的操作人员轻易泄露,老师告诉我们这句话意思是说操作人员的安全意识培养同样是信息安全的一部分。但老实说我可能比较坏,联想到了其他问题。
密码学家的安全方案其实完全可以引申为任意一个管理体系,人们妄图用更完善更细致的条例来规范人,然而实现这些方案仍然是人,假设有一个监狱,为了管理犯人必然有狱卒,为了监视狱卒因此有了狱卒的长官,我们可以完善这个监狱的管理条例,犯人的权限,狱卒的权限,长官的权限,从夏朝到建国之前,我们不停完善条例和使用更好的监狱,就如升级软件和硬件,安全性应该大大增强了吧?然而就如信息安全最薄弱的环节是人一样,监狱最薄弱的是犯人,狱卒和长官。在信息安全中我们可以培养操作人员的安全意识,可问题在于狱卒和长官能培养吗?从夏朝到建国之前的狱卒有什么不同吗?我比较悲观,我认为没什么不同。
所以我认为任何管理体系最薄弱的仍然是人,即使这个体系理论有多么完善。人其实在不同时间不同空间不同基因上有相当大一部分共性,而我个人认为能否成为一名合格的狱卒就在这部分共性之中。
也就是说我个人认为狱卒和长官是培养不了的。
当然建国之后就没这个问题了,我只是想讨论一下世界上其他集体有没有这个问题。[s:ac:blink][s:ac:blink]