部分摘录
安全通论,最终“通”到那边?
这是一个必须认真思考的严肃问题。一方面,安全学科显然不能像已往那样,被分割成数十个零散的分支;另一方面,也不可能靠一本书就把所有安全问题一扫而空,毕竟理、工、农、医、文、史、哲、经、管、法十大范畴都与安全密切相干。而这十大范畴的研究思路和方法相互之间又相差很大。因此,我们目前给安全通论确定的界线是不突破“理工”界限。
但是,理工之外的安全又怎么办?特别是信息安全心理学和信息安全管理学,是环球信息安全界必须尽快弥补的两大缺陷,是信息安全保障体系中不可或缺的关键。它们固然不属于安全通论,但也急需有人来研究。惋惜,如今既精通安全,又懂心理学(或管理学)的人非常少。安全专家很难进入心理学(或管理学)范畴,心理学家(或管理学家)似乎也难成为安全专家。为了促进这种跨学科的交叉,我们在《安全简史》(见参考文献[3])中专门开发了独立的两章,来分别论述安全心理学和安全管理学。下面再对它们举行精练、浓缩,目标是向尽可能多的读者抛出有代价的后续研究课题。
信息安全心理学(或黑客心理学)
网络空间的所有安全问题,几乎全都可归罪于人!
具体地说,归罪于三类人:破坏者(又称黑客)、建立者(含红客)和使用者(用户)。固然,他们相互交叉,甚至脚色重叠,好比下面三种人。
起首,所有人,包罗破坏者和建立者,肯定都是网络的使用者。
其次,承建信息体系的专家、保卫网络的红客,固然是建立者。此外,从某种程度上说,使用者实在也是建立者;好比群主建了一个群,难道他不算建立者?!黑客固然是某个体系的破坏者,但在另一体系中,他很可能又是建立者。
最后,黑客肯定算破坏者,但是,粗心大意的用户,难道就不是“自尽式”破坏者吗?!安全保障措施不健全(甚至是裸网)的建立者,难道不算是“自毁长城式”的破坏者吗?!
不外,针对任何具体的安全事件,“三种人”(破坏者、建立者和使用者)之间的界限,还是相当清楚的!因此,只要把这“三种人”的安全行为搞清了,那么网络的安全威胁就明确了!而人的任何行为,包罗安全行为,都取决于其“心理”。在心理学家眼里,“人”只不外是木偶,而人的“心理”才是拉动木偶的那根线;或者说,“人”只不外是“魄”,而“心理”才是“魂”。所以,网络空间安全的最核心根本就藏在人的心里,必须依赖安全心理学来揭示安全的民气奥秘!
在网络空间中,“三种人”的目标、地位和本领等,显然各不类似。这就决定了他们的心理因素,在安全过程中,也会差别。
此中,破坏者的“心理”,最具网络特色。由于,假如没有黑客,也许就没有安全问题。但遗憾的是,黑客已往存在,现在存在,以后也将永远存在,甚至还可能越来越多。所以,别指望黑客会自然消散,而应该了解他们为什么要发动攻击。在他们的破坏行为中,到底是什么心理因素在起作用。
黑客心理和犯罪心理既有区别,也有联系。作为“人精中的人精”的黑客固然知道其行为的法律寄义,但为什么还是要那样做呢?从动机角度来看,这重要源于以下几种心理。
自我表现心理:许多黑客发动攻击,只是想表现自己“有高人一等的才能,可以攻入任何信息体系”。他们把“非法入侵”看成智力挑战,一旦乐成,就倍感快乐和高兴,认为这是自我实现的最高表现。
好奇探秘心理:因猎奇而侵入他人体系,试图发现相干漏洞,并分析缘故原由,然后公开其发现的东西,与他人分享。
义愤抗议心理:这类黑客,好讲哥们义气,愿为朋侪两肋插刀,以攻击网络的行为来替朋侪出气或表示抗议。
戏谑心理:这种恶作剧型黑客,以进入别人信息体系、删除别人文件、篡改主页等恶作剧为乐。
非法占有心理:他们以获取别人的财富为目标,是一种犯恶行为。甚至,有的黑客受他人雇用,专门从事破坏运动。这种黑客的危害极大。
渴望认同心理:这类黑客追求归属感,想获得其他黑客的认可。
此外,另有诸如自我解嘲心理、发泄心理等,都是引发黑客行为的心理因素。特别是,另有少数心理变态型黑客,他们从小家庭变异,或遭受过来自社会的打击,由于心理受过严峻创伤,所以长大后就想抨击社会。
反过来,黑客发动攻击时,又使用了被害者的哪些心理呢?归纳起来,至少有以下四种。
恐惧心理:好比,网络电信诈骗犯,使用多种途径,营造恐惧感,要求受害者“赶紧汇款,以避免血光之灾”等。
服从心理:假借某些人或机构的权威,迫使受害者服从其命令。好比,冒充执法机构,要求受害者共同提供相干信息等。
贪婪心理:使用受害者对事物,特别是财富的强烈占有欲,来实行攻击。好比,以庆贺“中大奖”为由,诱骗受害者被骗。
怜悯心理:声称自己有难,急需好人帮忙,诱发受害者的怜悯心,实行攻击行为。
那么,到底又是什么心理因素,引发了建立者和使用者的不安全行为呢?归纳起来,至少有以下几种。
省能心理:希望以最小能量(或付出),获得最大效果。省能心理还表现为嫌麻烦、怕费劲、图方便、得过且过等惰性心理。省能心理在破坏者身上就几乎没影了,由于黑客攻你时肯定不遗余力。
侥幸心理:它重要发生在使用者身上,建立者身上虽有,但不多。至于黑客,他的侥幸心理则重要是“其犯恶行为不被发现”等。
逆反心理:某些情况下,在好胜心、好奇心、求知欲、偏见、对抗、感情等心理状态下,人会产生“与常态心理相对抗”的心理状态。破坏者和使用者,都会受逆反心理的引诱,从事不安全行为。在建立者身上很少有逆反心理。
凑兴心理:俗话叫“凑热闹”,它容易导致不理智行为。好比,许多计算机病毒,就是在用户的凑兴心理资助下,在网上迅速扩散的。对建立者来说,凑兴心理就少见了。
群体心理:它的明显特征就是共有性、界限性和动态性。网络作为桥梁,将所有人连接成规模各不类似的群体。而且,在肯定程度上,这些成员之间将形成几乎类似的“认同意识、归属意识、排外意识和团体意识”。所有行为,包罗安全行为,都会受到群体心理的影响,无论是正影响还是负影响。
注意与不注意:当人的心理运动,指向或集中于某一事物时,这就是“注意”,它具有明确的意识状态和选择特征。人在对客观事物注意时,就会抑制对其他事物的影响。“不注意”存在于“注意”状态之中,它们具有同时性。也就是说,你若对某事物注意,那么将同时对其他事物不注意。注意和不注意,总是频繁地交替着。无论是建立者还是使用者,他们的许多不安全行为,实在都源于“不注意”。实际上,假如各人都注意安全、小心审慎,那么破坏者就无缝可钻了。
影响网络安全的心理因素,固然远远不止上述几种。下面,对“三种人”不再区分,而是同一先容安全心理;固然,须要时也会指出相干差异。
人的心理,既同物质相联,又是人脑的性能,是人脑对客观实际的反应。固然,这种反应具有主观的个性特征,同一客观事物,差别的人,反应会大不类似。人的心理因素及其与安全的关系,重要有:
(1)性格与安全。性格既有先天性,也有可塑性。因此,从安全心理学角度看,就应该积极培养那些对安全有利的性格。好比,工作细致,责任心强,能自觉纠错,感情稳定,处世岑寂,考究原则,服从规律,谦虚审慎等。同时,也要克服那些不利于安全的性格,好比,下面的八种性格,就不利于安全。
第一,攻击型性格者。这类人妄自尊大,骄傲自满,喜好冒险,喜好挑衅,喜好闹纠纷,争强好胜,不接纳别人意见。他们一样平常技能都较好,但也容易出大事。
第二,性情孤僻、固执、心胸狭窄、对人淡漠者。他们多属内向,不善处置惩罚同事关系。
第三,性情不稳定者。他们易受感情绪染支配,易于冲动,感情起伏波动很大,受感情影响长时间不易清静;因而,易受感情影响,忽略安全。
第四,心境烦闷,浮躁不安者。他们由于恒久忽忽不乐,大脑皮层无法建立良好的高兴灶,对任何事情都不感兴趣,因此,容易失误。
第五,马虎、敷衍、粗心者。这是对安全的重要威胁。
第六,在危急条件下,惶恐失措、心猿意马、鲁莽行事者。这类人经常坐失发现漏洞和灾难应急的良机,使本可避免的安全事件成为实际。
第七,感知、思维、运动迟钝、不爱运动、懒惰者。他们反应迟钝、无所用心,也常引发安全问题。
第八,懦弱、胆怯、没主见者。这类人遇事退缩,不敢坚持原则,人云亦云,不辨黑白,不负责任,因此,在特定情况下,很容易出事。
碎片摘录
信息论、博弈论与控制论
- 信息论:通信基于协同式对话,重要破坏力量是噪声,信息论对此有完善研究。协作式对话的成果不得当于非协作式对话,如法律辩论。
- 博弈论:核心是“纳什平衡”,黑客与红客在发现漏洞后的差别策略,黑客使用漏洞,红客修补漏洞。
- 控制论:体系的安全性取决于最薄弱处的安全强度。
红客与黑客
- 红客的本质任务是维护体系的安全熵(或秩序)。
- 体系的安全态势若向好的方向发展,变好的速率会越来越快;反之,向坏的方向发展,变坏的速率会越来越快,甚至刹时瓦解。
- 黑客发现漏洞后,要充分使用它;红客发现漏洞后,要积极修补它。
- 发现漏洞的前提是尽可能清楚地描述它。
- 体系的安全性取决于它的最薄弱处的安全强度。
对抗策略
- 盲对抗与非盲对抗:盲对抗中,黑客或红客有两种思路提高业绩,增强自身相对打击力或降低贪欲。
- 石头剪刀布得胜法:假如你是输家,下一轮换用能打败对手的出手;假如你是赢家,下一轮不要再使用原来的出手。
概率论与信息论
- 概率论:大数定律表明频率趋于概率,根据已往风俗的统计规律,可以给出概率分布。
- 香农信息论:通信基于协同式对话,协作式对话的重要破坏力量是噪声。
骂架与辩论
- 骂架:两边(或多方)的目标是增加杂乱度(熵),提高不确定度把对方搞糊涂。
好比,“两人骂架”就是典范的面对面的盲对抗,由于人的心理状态千差万别,被骂的痛点也完全差别,攻方是否骂到了守方的痛处,只有守方自己才知道,而且被骂者通常还要极力掩饰其痛处,不让攻方知道自己的弱点在那边,所以是盲对抗。固然,“一群人相互漫骂”更是盲对抗了。
- 辩论式对话:掌握信息越多,可以借助统计手段来做出基本精确的判断。
攻防武器库
- 武器运用策略
- 武器库的精简、淘汰过时的
- 丰富武器库
由于离开了工具,黑客就什么也不是了。
网络安全对抗
- 已往认为安全是“零和”,但实际上存在纳什平衡状态,攻守两边利益都能最大化。
- 在备战阶段,准备具有充足威慑力的攻防手段;在战时阶段,理智行动,尽快将对方逼入纳什平衡状态。
他山之石的启示
- 差别砚科的某些问题本质一样,一个学科中办理了相干问题,另一个学科的同类问题也就迎刃而解。(跨学科建立知识库的须要性)
谣言策略
- 提高大众免疫力:暴露谣言、快速定谣、快速辟谣。
- 鼓励乐于、敢于、善于辟谣的社会情况。
心理使用
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
