Fetching...

-

Just a minute...

Updated on article

创作时间:2017-2018年寒假。

《安全简史》这本书,是我们班导师推荐读的。相比这个假期看的另外一本书《数学之美》,它们显然都是科普类读物。但和《数学之美》不同,它不是只从数学角度介绍计算机方面的知识,而是从各个角度去透析信息安全这个新兴学科,它的目的是通过这本“外行不觉深,内行不觉浅的书”来“抛砖引玉”,正如书中所强调,希望有人来填补信息安全XX方面的学科空白“为学科开通论”。

最近几天,总是听到学长和同学吐槽这本书,说它写作思路不清,语言啰嗦话题太分散,还有就是技术等“硬件”太少,只看了三十多页就不看了。可我却坚持读了下来,因为我深知,这本书之所以那么多“废话”,主要是为了让复杂的知识更加简单,然我们不至于疲乏。

而之所以说它没技术,是因为他们只看了前面几章,谁都知道,隐私是怎么产生的,谁都知道,大数据时代,人的隐私泄露的多么厉害;谁都知道,病毒无处不在,对于我们专业的学生而言,“震网病毒”“蠕虫病毒”更是早有耳闻;谁都知道,那一位位著名的黑客,与“伊朗核电站”被攻击的事件和“勒索病毒”等攻击事件;稍加预习也可以知道凯撒密码和维吉尼亚密码了。然而书中前五章,花了四章篇幅论述这些,不就是为了面对广大读者,拉近其与广大读者的距离嘛。这几章选取了很多生活场景,让文章本身更加“接地气”,虽然浅显,但是易懂,何尝不是好事?

这本书为了浅显易懂,还有一大显著的特点,就是跨学科。语文,数学,哲学,历史,物理,生物,社会学,经济学,管理学,乃至英语,化学,一切应有尽有。比如说到语文,先别说那些幽默的句子,首先说说每一节后面的那些改编汪国真,唐婉,苏轼等等小诗而做的章节小节吧。虽然那些诗确实被改编得让人有些啼笑皆非,不过这更刺激了我看这些大作原作的动力。看到唐婉的《钗头凤》,我忍不住记起了苏轼的另一首《钗头凤》,还有他们爱情的悲剧并查阅了相关资料;看到余光中的《乡愁》,我想起了这位刚刚逝世的伟大诗人,并期盼两岸早日统一,再说说书中引用的中外神话,从盘古开天到孙猴子取经归来;从人类被赶出伊甸园,到上帝创造语言阻止人类造“通天塔”。

后面的章节,就和前面的章节不大一样了,从第六章认证开始,话题开始逐步深入,从十一章灾备开始,话题开始变得复杂。而到了十八章“系统与安全”时,话题达到了“专业级”水平。文章花尽篇幅讲述了哲学上的“整体性”思想,还引用了大量的逻辑悖论,最后给出了整体性在系统安全中的应用。因此,对于我了解过得知识和过于专业的知识,我是一行一行地看的,但对于适合我的章节,我却是一个字一个字地看的,这本书中,最让我向往的两个章节,就是《安全管理学》和《安全心理学》。管理、心理和哲学,一直都是我想选修的课。这不能说是专业知识,只能说是人应该有的技能,而且是跨学科的,甚至有与理工科不同的“感性”。看了这两章,我觉得自己更加明确信息安全专业及相关企业对自己人格的要求,并且要促使自己去塑造自己的性格、锻炼自己的能力,成为一个合格的信安人。

为什么我会喜欢《安全管理学》呢?因为,第一,一个软件的开发乃至一个系统的安全开发,都是要靠整体的,这离不开管理。比如我日思夜想想完成某游戏的改进版,那么确立“把游戏完好地从脑海搬到屏幕”这个“管理的任务”,就要做到协调,比如这里,就是各个设计人员的协调。首先,要让他们采用相同的编程语言,这个是硬性要求;第二就是任务的分配,即每个人该完成什么任务,要分配好,这又有要求:不重复,不缺少,让合适的人做合适的工作,比如高效率的人做多几个任务,善于沉思的人突破难关。然后,尽管每个人的编程方式都不一样,但是要把这些人的程序合在一起,形成文件,而且要提前做好找bug的工作,现在的一些小游戏,明明bug很明显又很多却从来不修改,调试工作十分不到位。

其实书中这一章给我影响启发最大的,是那段动物们的“轮番表演”。它讲的,其实是哲学上的几个效应。第一个,蝴蝶效应,它告诉我们,一丁点管理的失误将会引发大事,现实意义大概就是,仔细检查程序,提高容错性,尽量减少bug的产生。边编程边编译。第二个,青蛙效应,它提醒我们不要积累问题,一些小bug如果积累,就像是基因突变,由量变最终变成质变。第三个,鳄鱼法则,它提醒我们,当危险发生,有时候,我们应当做出必要的牺牲,以保证剩余的部分完好无损,比如书中说到“网络隔离”等。第四,鲇鱼效应,这提醒我们要勇于承认漏洞的存在,做出检测并加以填补。第五,羊群效应,坚持自己心中的准则,做事要有原则,敢于质疑权威,特别是编程,不能使用不规范的语言和危险的关键字,比如C语言中经常出现的“goto”,在熟练采用其他算法后应尽量摒弃。第六,刺猬效应,它提醒我们,凡事要找到合适的平衡点,为安全投入的成本要和效益相匹配。第七,手表定律,提示我们,做一件事的时候,专心致志,不要一心二用;或者不要同时确立多个目标;或者,管理的时候要定统一的规则,比如采用统一的语言等等。第八,“破窗理论”,说明环境可以对人产生强烈的暗示性和诱导性,这告诉我的,如同“打扫干净房子再请客”,就是说,如果是在一个团队,一个共同的环境中,我应当以身作则,不能放纵自己,然后把这种不羁传染给别人。第九,二八定律,马太效应,它告诉我们,安全管理要抓住那关键的少数,比如说,重大的漏洞,极有可能被攻击的地方。第十,木桶理论,它告诉我们,补好系统的短板,因为那些地方最容易被黑客攻击,就算再先进的(乃至量子)系统,都一定会有它的缺陷,这些缺陷往往决定了一个系统的成败,所以系统设计是,该知道它的长处但更改防备它的短处。第十一,鸟笼逻辑,这是指由于惯性思维,人买了鸟笼就会养鸟,它告诉我们,我们不要被惯性思维所困,比如量子学家,不应该因为量子“测不准”原理就担保“量子计算机系统是绝对安全的”,说不定黑客们会发现其他弱点呢?第十二,责任分散效应,它告诉我们,安全管理要明确责任,把责任落实到具体的人身上。第十三,习得性无助效应,如果尝试了很多次依然度不过的难关,他就会产生无助感。所以我们要做好安全,特别是未来人工智能方面的安全,不能让用户悲观绝望。

安全心理学,主要研究网络空间建设者,破坏者,和使用者的“不安全”心理。而这其中最重要的,应该还是网络空间建设者的心理,这也是对我们信安人的要求。给我印象比较深的,是省能的心理,就是建设者们愿意投入的成本太小。比如我们现在编程的时候,不愿意投入太多的时间成本,使得程序的逻辑思维不严谨,容错性不高,要很多漏洞可寻;再比如公司投入的人力、物力不够多,导致信息安全领域的漏洞没有被充分检查。这提醒我们,要舍得投入时间和金钱到计算机系统乃至网络的建设中,问题解决的越早,成本就越少。还有就是“注意力”,这提醒我在日后的工作中,要劳逸结合,以最饱满的精神状态迎接工作,而且工作时要仔细小心,不放过任何一个漏洞。

不利于安全的性格中,给我印象比较深深的,第一是性格孤僻,因为这种性格不善于交际,其实我也不能算孤僻,不过小的时候某些东西改变了我的价值观,让我有了很多“原则”,所以显得不太合群,大学学习的过程其实也是我努力摆脱自己这个性格缺陷的过程,我尝试和更多的同学玩在一起,不管是平时还是假期。第二是不易平静,其实我也不能算这种性格,因为在初中的时候我已经是一个很享受孤独的人,文三金老师的话给了我很大的影响,那就是“睡前多思考”,我喜欢在自然中,或在睡前的平静中,或听着轻音乐思考人生,然而这却给了我更多的不平静,也是我初中高中失眠的主要原因。到了大学,开朗了,失眠的症状好了,但是却少了一丝深入的思考与钻研的劲儿,看来两者之间,找个平衡点,也挺难的。

在提及的四个良好的意志品质方面,给我印象比较深的,莫过于“果断性”,我这方面还真的有点欠缺,所以18岁以后,我才让自己鼓起勇气,变得更加主动,而且我的高三舍友,我也特地挑了以为果断的学霸,尽管我们的性格时有碰撞,但是最终,我还是从他身上学到了很多,我们一直都还是很好的朋友,所以,在这里,我谢谢他啦!

遗憾的是,至今安全心理学和安全管理学还没有相关的教材,希望这方面的空缺能马上填补,在国家大力推崇信息安全的时候,希望他们可以加大这方面的投入。另外其他章节也给我提供了很多知识,比如让我了解了社会工程学,认证,信息隐藏,防火墙,灾备的过程;也提出了很多很专业的知识,比如赛博学,区块链,安全熵,虽然现在还不甚了解,但是,随着专业学习的深入,我一定还会在翻开重看的。

不得不说,《安全简史》是本好书,它从各个方面来描写信息安全,这样,各个领域的人,各个年龄层次和知识层次的人,都能找到自己喜欢的部分,可以说,它就是一部360度全景摄像机,让我们完整的领略了信息安全这个庞大的家族,更坚定了我学习信息安全的决心。

Related post
Comment
Share
To Top
  • 螺旋上升,这就是我期盼的人生

    一月 16日, 2021

        还记得高中的时候,在政治课上学过一个“螺旋上升”理论,即“事物的发展,总是螺旋上升的”,而列宁也说过, “发展似乎是在重复以往的阶段,但它是以另一种方式重复,是在更高的基础上重复。” 回顾我这21年...

    螺旋上升,这就是我期盼的人生
  • 致即将逝去的21岁

    一月 16日, 2021

        在即将迎来22岁的日子,我想回顾一下21岁时的一些收获与遗憾。也当是把元旦没写完的文案补上一下。     在6岁的时候,我在爷爷家曾经画过一幅画,爷爷问我在画什么,我说,...

    致即将逝去的21岁
  • about me

    二月 15日, 2020

    关键词:个人自述,todolist。 说来惭愧,写了很多的日记,也写过几篇可以充当作业或者领稿费的小文章,也发了很多的说说和pyq,但是发博客确是第一次。在朋友们都已经创办了属于自己的公众号,博客或者专刊的时候,我却才在blog上发表...

    about me
  • ACTF2020密码学部分writeup

    六月 5日, 2020

    编写的项目文件请参考项目链接。同时欢迎大家访问ACTF2020的所有赛题。喜欢的话请多多资瓷一下,给我们实验室的项目加个Star或者Fork,谢谢。 为了保护服务器的同时不给选手带来更多困难,密码学部分的交互题开了pow算力检测,我也...

    ACTF2020密码学部分writeup
  • GPT技术初探

    五月 27日, 2020

    第一部分 引入1.概念GPT:Generative Pre-Training 生成式的预训练、 2.工作机制GPT也采用两阶段过程,第 一个阶段是利用语言模型进行预训练,第二阶段通过 Fine-tuning的模式解决下游任务。 3.G...

    GPT技术初探
  • 通过python脚本自动插入汇编反调试代码

    五月 20日, 2020

    研究背景在之前OLLVM项目的研究过程中,我们发现反调试技术对反混淆脚本有一定的干扰作用,如果可以在OLLVM的中间代码中自动化插入反调试代码,那么就可以给OLLVM的代码混淆增加一层保障。 方案分析探讨多种方案以后,我认为最适合在汇...

    通过python脚本自动插入汇编反调试代码
  • 答辩顺序抽签小程序

    五月 14日, 2020

    最近比较喜欢动手编写小程序和脚本。晚上有同学和我讨论对答辩队伍进行公平抽签的方案,所以打算编写一个很简单的小脚本,并做到尽量减少计算量。 脚本思路按照一定根据给各个队伍排序,然后初始化抽签序号池,每次随机获取池内的一个值,交给其中一支...

    答辩顺序抽签小程序
  • 课堂记录小助手

    五月 7日, 2020

    作为一名课代表,我需要每天记录同学在QQ群的签到和回答问题情况。开始我是直接把记录复制到word里面手动提取有用的消息,最后我决定解放双手编写一个自动化处理脚本。 这个脚本需要一些什么功能呢?1.最基础的,就是从漫长的聊天记录中提取专...

    课堂记录小助手
  • 基于门限方案的条形码保密及容错技术

    四月 30日, 2020

    关键词:门限方案,条形码保密,条形码容错,条形码认证与防伪造。 经历过初期两个小项目的探索,我们项目团队积累了一定的项目研究经验,在老师和16级学长的帮助下,我们把研究方向转到了门限方案的实际应用上。结合市面上用9张合并的条形码提高条...

    基于门限方案的条形码保密及容错技术
  • 2020新年原创脚本-其中的小把戏你清楚吗

    四月 26日, 2020

    关键词:随机数素数生成,新年祝福小程序。 脚本创作这是我在大年三十写的一个程序,当时我正准备去伯克利交流,但由于疫情的缘故,出国变数增大,所以我就打算通过随机数“未卜先知”。以下就是我的脚本: 12345678910111213141...

    2020新年原创脚本-其中的小把戏你清楚吗
Please check the parameter of comment in config.yml of hexo-theme-Annie!
ESC