文章

E140101网络安全学引言

发表于
作者 phil616
12 分钟阅读

关于信息安全专栏的前言

Courses E 13:1401网络安全学

绿荫学院 E类 140101 - 网络安全学引言

1. 介绍

信息安全(Information Security)专栏是在信息安全形势日渐严峻的背景下启动的。

随着互联网快速发展,网络安全、信息安全虽然越来越受到重视,但互联网技术的发展速度实在太快,网络安全技术难以跟上,直接导致了很多事故。

需要提前定义的是,信息安全泛指网络安全和隐私安全。网络安全特指在网络空间内的技术性安全,包括软硬件安全、通信安全、数据等,而隐私安全更多指的是如何处理和收集用户信息,例如隐私政策、Cookie政策和隐私计算等。专栏着重强调前者。

该专栏的目的主要有三个:

  1. 建立信息技术安全体系。主要说明在网络安全领域需要注意哪些方面,有哪些技术手段等。
  2. 科普网络安全技术。向开发者、互联网从业者等不在一线参与网络安全工作的相关人员普及网络安全知识。
  3. 探索新一代网络安全去向。思考如何与AI、隐私计算、新隐私政策等结合。

2. 网络安全易攻难守

网络安全随着互联网应用的发展有着显著的易攻难守趋势。

随着软件规模不断增大,软件系统的复杂程度也在不断提高。一个大型软件系统往往包含数百万行代码,错综复杂的模块之间存在大量的交互和依赖关系。在如此庞大和复杂的系统中,要做到完全没有任何漏洞和缺陷是非常困难的。即使经过了详尽的设计评审和严格的测试,一些隐蔽的漏洞还是难以被发现。而对于攻击者来说,只要能找到一个漏洞加以利用,就有可能危及整个系统的安全。

现代软件开发讲求快速迭代,频繁更新。新版本层出不穷,给软件安全带来挑战。每一次更新都有可能引入新的漏洞,而这些漏洞在修补之前就可能被攻击者发现并加以利用。软件开发者需要在功能更新和安全修复之间寻求平衡,但新漏洞的出现似乎总是快于漏洞的修复。攻击者往往能抢先一步,利用最新的漏洞发起攻击。

网络攻防是一个不对称的博弈过程。攻击者可以慢慢寻找系统的薄弱点,一旦发现可利用的漏洞便能发起攻击。而防守方却需要考虑系统的方方面面,全力补救所有已知和未知的漏洞。对攻击者而言,只需要成功一次就能达到目的;而防守方却必须百分之百地进行防护,稍有疏忽就可能前功尽弃。在攻防技术方面,攻击手段日新月异,防守技术总是慢半拍。新型攻击不断出现,传统防御措施可能失去效用。总的来说,攻击者占据着天然的优势。

再完善的技术防御也可能因为人的疏忽大意而功亏一篑。安全意识薄弱、缺乏安全培训是网络安全的一大隐患。最终使用软件系统的是人,保护系统安全的也是人。如果相关人员安全意识不足,就可能酿成难以弥补的损失。比如员工丢失设备、泄露密码,管理员账号被盗,应用配置错误,这些都可能导致严重的安全事故。人永远是最不可控的因素。

企业的安全投入往往难以满足实际的防护需求。网络安全是一场持久战,攻击无处不在,防守需要全方位的投入。单靠购买一些安全设备、部署一些安全软件是远远不够的,还需要在安全人才、监测预警、应急响应等方面持续投入。然而,现实中不少企业受限于成本压力,无法在安全领域投入足够的资源,导致防御能力难以应对攻击的升级。安全形势不容乐观,防守任重而道远。

3. 网络安全纷繁复杂

网络安全是一个高度交叉的综合性学科,涉及计算机科学、网络通信、密码学、信息论、数学、法律等多个领域。既需要扎实的理论基础,又需要丰富的实践经验。除了掌握操作系统、网络协议、数据库等专业知识,还需要了解各种攻击手段的原理和防御措施。由于涉及面广,需要学习的知识量非常大,对从业者的知识广度提出了很高要求。

信息技术日新月异,网络安全技术也在与时俱进,日新月异。新的攻防技术和手段不断涌现,原有的一些安全机制可能很快被证明是不够完善的。恶意代码、漏洞利用、社会工程等攻击手段花样翻新,防御体系也在不断升级。区块链、物联网、人工智能等新兴技术也带来了新的安全挑战。要跟上技术发展的脚步,必须持续学习,这对从业者提出了很高的要求。

一个看似简单的安全问题,背后可能有复杂的原因。安全事件的成因错综复杂,攻击链条环环相扣。打个比方,一次数据泄露事件,可能是由于Web应用存在SQL注入漏洞,而SQL注入又可能是因为开发者安全意识薄弱,没有对用户输入进行严格校验,同时还可能存在运维不当、权限失控等问题。解决安全问题需要从多个角度入手,系统化思考。管中窥豹不可以,孤立地看待安全问题往往难以真正解决问题。

一个合格的网络安全专家也一定是一位精通计算机软硬件的专家,从计算机底层开始,软硬件的接口,操作系统,汇编指令,软件安全,二进制安全,网络安全等等对一位网络安全专家的要求很高,因此本专栏面临很严峻的撰写困境。

4. 基本思路

虽然网络安全的内容包罗万象,但是目前有诸多技术可以让网络安全从业者更加从容面对危机。

一方面AI技术的发展大大减少了学习技术的门槛,一项系统性的技术可以根据需求快速掌握,因此AI是专栏必不可少的工具。

另一方面网络安全已经形成了一个庞大的产业,来自全球的乐于贡献知识的专家分工和精通均有不同,本专栏也会积极采用专家们的文章与技术。

5. 结构

在专栏开始前,需要对知识形成一个基本的结构。对于某个技术而言,我们并不需要了解其全部细节,那是专家们所需要考虑的,对于MySQL而言,其核心的存储引擎如何高效、如何调优对于网络安全而言并不重要,但是MySQL在客户端连接时如何握手,如何验证身份,如何鉴权却是极为重要的,因此可以看出网络安全与信息技术的侧重点不同,所以需要在此阐述专栏偏重什么,也便于专栏的文件管理。

第一类:基础知识类

  1. 计算机基础
  2. 网络安全基础
  3. Web基础
  4. Web安全基础
  5. 软件工程基础
  6. 通信基础
  7. 硬件基础

第二类:Web安全

  1. TCP类应用
  2. HTTP类应用
  3. 其他应用

第三类:二进制安全

  1. 软件逆向工程
  2. 操作系统逆向工程
  3. API逆向工程

第四类:隐私计算

  1. 互信网络
  2. 零信任网络
  3. 联邦计算
Academy, Courses
gs
本文由作者按照 CC BY 4.0 进行授权