正在加载...
 
 登 录/注 册    帮助  |  反馈
目 标 :[ 目标剩余时间: ]
网络安全,或者网络与信息安全,在有些时候大家也称为信息安全,虽然字面上看、实际意义上还有些差距,这里我们就一起包括了。
    
作者
    IT健康(信息健康、数码健康)   [2008-11-16]回复
jordanpan
专家用户
参与值:49057
贡献值:2628
收藏
留言

原 文章:《选择健康》——简单的健康之道

 

  任何好的医学和健康的书,看来,都可以对于信息安全产生很好的借鉴作用。毕竟,信息安全没有那么长时间的理论和经验的积累,健康和医药毕竟已经有上千年的历史了。

  《选择健康》给我们展示了一个看待健康和疾病的简单道理。这就是一种疾病-细胞故障、两个原因-营养不良和毒素侵袭、六个渠道-营养/毒素/心理/生理/遗传/医药。那么把这种看法应用到信息安全领域,我们看看Cyber系统的健康和疾病问题,也可以思考类似的观点。

 

从IT安全到IT健康

  在最近看得《选择健康》和《中国健康调查报告》等书中,都阐述了对于医学上“症候观”的一个质疑。症候观就是,当有了疾病的症候的时候,就被认为是有病了,而如果没有症候,那么就认为是健康。虽然,有压健康的存在,但是从当代西方医学体系上,并没有系统的针对亚健康的应对之策。

  而从这几本书的观点看,不能仅仅从疾病的角度看,而要从人本身的健康状态来看。到底,人在什么状态下是健康的。也就是说,从完全的健康(如同罕萨人那样的健康状态)到疾病状态,是有不同的程度。这中间就是亚健康状态。在这个状态中,人是有能力进行调整和修复的。也就是治未病,在没有疾病的症候的时候,就帮助调整人的健康态。

  用类似的观点来看看信息安全领域。我们现在的信息安全,要不就是完全从信息安全事件(已经出事了)的角度看信息安全,比如:防病毒、入侵检测、应急等等;要不就是从所谓的体系结构的高度去看,比如:信息安全管理体系等等。这两个方面,前者陷于“症候观”,而后者则让人难于找到实在的感觉。那么,如果把亚健康的观点引入到信息安全领域,那么就应当在“症候”出现之前,有实实在在的亚健康状态存在,而且这个状态可以检测、评价和调养。

  如果引入这样的观点的话,那么就应当能够将有症候学倾向的“信息安全”,拓展为更加全面的“信息健康Information healthy”, “IT健康IT Healthy”, “数码健康cyber healthy”。

 

[separator]

IT健康,是噱头还是真实的变化?

 

  为IT安全增加一个所谓的亚健康态,是否具有真实地价值呢?从多年的信息安全生涯中,其实,我们还是能够找到很多亚健康状态客观存在的事例和证据的。

  比如,从对系统的攻击中,一般都会先有一些扫描和探测过程,之后才是真正的渗透攻击。可以说,这些扫描过程就可以被认为是亚健康状态。

  再比如,系统资源的耗尽,使得系统的运转出现故障,这个时候就像是病症出现了;而在故障出现之前,系统地资源确实是逐步被消耗的,那么这个资源消耗的过程就是亚健康状态。

  还有,在管理系统上,也存在这样的过渡。内部人员的违规操作,其实具有一定的传染和影响性。开始,可能是一两个人的违规,当大家发现没有什么有效的措施能够约束这样的不良行为的时候,参与违规的人就会越来越多,最后,会演变成真正的恶性事件。这样的过程,其实也是一种亚健康过程。

  用未病学的角度来看信息健康,而不是用症候学的角度看信息安全,应当可以为信息系统的拥有者带来更有价值的保护。所以,我认为IT健康是一个有价值的观点。

 

IT健康会影响IT医药(信息安全)的利益集团吗?

  良好的健康管理会侵蚀医药行业的利益。好的健康管理会让得病的人更少,让打针吃药的人变少。大家会将吃药的钱投入到健康管理中,投入到健康的饮食中,投入到积极的健身活动中。这样的变化自然会影响到原有的医药行业企业的利益。虽然,整个的经济消费并不一定会减少,但是毕竟是有变化和转移,产生了新的利益分配体制。

  IT健康的提出,如果真的变成主流,也必然会给原有的信息安全产业格局带来利益的重新分配。可能将原有的防护产品、应急服务的投入,转移到良好的设计和健康的运维活动中。

  在我最近接触的一个真实的网站保护案例中,就体会到了这样的一个转化。一个大活动的门户网站,希望获得很好的安全性。首先,并不是安排了大量的信息安全设备,没有考虑大量的防火墙、入侵检测等等;而是,先将网站设计为一个非常简单实用的结构,所有的网页都采用静态网页,没有和数据库的直接访问关联。通过这样的设计,使得网站变成一个比较简单的网站,让攻击不那么容易成功。让系统资源耗尽也不那么容易发生。这就好像,我们人,不要吃得太胖,让自己保持比较消瘦的身态,那么得心血管疾病的可能性就大大降低了。虽然,在这种情况下,用户采购安全产品的数量少了,但是毕竟获得了更好的网站安全保证。

 

IT健康是否也有简单的模式?

 

  《选择健康》给疾病定义了一个简单的模式,就是“这就是一种疾病-细胞故障、两个原因-营养不良和毒素侵袭、六个渠道-营养/毒素/心理/生理/遗传/医药”。这种认识对我们认识健康,管理健康,提供了很好的、简单的模式。

  在IT体系中,到底什么是“细胞”呢?这真是一个很难的问题。从我现在的认识,“IPO+EDIF”(如下图)也许就是IT系统的细胞。这还需要继续研究。

  不过两个原因,完全可以借鉴,也就是一个内因一个外因,内因就是系统自身的脆弱和不鲁棒,外因就是病毒、入侵、高压等等。特别是要多从分析外部原因,转换到兼顾分析IT系统的自身原因。

  六个渠道,在IT系统中找到类似的思路,还要继续研究。不过,至少这六个方面在IT系统中找一些对应的要素,也很有意思。

 

 

推荐 收藏 0人收藏  访问jordanpan个人主页  打印  举报  返回
jordanpan
专家用户
参与值:49057
贡献值:2628
收藏
留言
 评论:数码健康(信息健康)  2008-11-22 引用通告  引用

原 文章:数码健康(信息健康) 比较研究:人体健康、IT健康和企业健康   看过了《选择健康》,并将“未病学”“一个疾病、两个原因、六个渠道的想法”“保健胜过医药”等等想法,从人体健康拓展到IT健康(信息健康、数码健康)上的时候,继续发现,这个想法同样可以应用于“企业管理”这个范畴,得到一个企业健康的新话题。当想到这点之后,自然就开始将这三个领域拿在一起来比较,确实发现很多可以比较研究的地方。

    发表评论:

    ©2006-2008 深圳市海为信息技术有限公司  关于i170 | 工作机会 | 联系我们            粤ICP备05095695号