直观、主观与客观的安全判断 作者:蒋鲁宁

一个组织或企业信息安全的管理者往往需要对所管辖的信息安全状态做出明晰的判断,并基于这种判断做出相应的信息安全决策。对安全状态的判断越客观,则越利于做出正确的安全决策。但在实际中,客观的安全状态判断会遇到很大的挑战,即使一份完整的风险评估报告摆到管理者面向可能也难摆脱一些影响力较大事件的左右(直观影响)和向个人观点的倾斜(主观影响)。

我们来看一个示例,该示例并不涉及信息安全,但容易说明人们如何对事物进行直观、主观和客观的判断。前不久AlphaGo程序对世界顶尖级的围棋选手李世石九段之间的人机大战引起轩然大波,预测是人能取胜还是机器能取胜也演绎了赛场之外的论战。一些专业选手通过AlphaGo与欧洲围棋冠军樊麾二段的对局,判定李世石会完胜AlphaGo,这种直观的判断理由似乎一目了然,令很多人信服。另有一些专业人士(并非全是围棋界人士)主观认为围棋是人类发明的最复杂的棋局博弈,高手之间对弈需要大局观,需要在复杂的局面中进行综合判断,这些都是人类的特质,因此机器不可能赢。有少数并不太懂围棋但深知机器学习之道的数据科学家认为取胜欧洲围棋冠军胜说明了AlphaGo技术方向和技术运用的正确性,机器学习,特别是深度学习更是为AlphaGo博弈能力的提升给出了没有限制空间。凡研读过AlphaGo研发团队在Nature杂志发表的文章的人会了解到他们如何创意地将深度学习运用到围棋对弈上,如何在技术上将不同深度学习算法进行了有机的链接、如何在工程上有效生成和筛选训练数据,如何在测试上步步为营,先击败了所有其它围棋博弈程序,然后向人进行挑战。如果能够了解到这些客观事实,恐怕赛前人定胜机器一边倒的看法会变为认同AlphaGo开发人员取胜可能性各半的判断。

信息安全领域有很多直观的反应信息安全的现象,如大规模的数据外泄,某个广泛存在的严重安全漏洞这样的安全事件;或信息安全投入大幅度提升、新一代安全技术的涌现这样积极的安全指征等。这些直观的现象对判断信息安全状态有意义但不足以做出结论。

信息安全领域有许多最佳实践和模型,不少信息安全管理者对其中一些甚至大部最佳实践和模型熟稔于心,但信息安全的本质是动态的,先进的网络攻击者鲜有按常理出牌的习性,更没有什么游戏规则去遵守,因此凭借过去经验的主观判断在有些场合管用,在有些场合下(尤其是涉及深层次的系统性安全威胁抵御场合)就难以奏效,甚至会带来负面的影响。

需要对信息安全状态进行客观的判断本身并无争议,任何信息安全的管理者都会认同。只是客观地来对信息安全状态判做出明晰的判断并非易事,对发展状态的判断更是难上加难,这时直观和主观的安全判断也是不得已而为之。再以AlphaGo为例,客观、准确地预判赛局的胜负需要能够理解深层神经网络结构、理解基于专业棋手下子的监督式学习、理解基于棋局胜负的强化学习等大量的相关技术知识。信息安全重要局势的判断和大局的预判和也同样如此。 Amit Yoran在RSA 2016年大会的主旨发言中认为当前的安全策略存在着很大问题,并认同著名信息技术研究和分析公司Garner Group的预测,即对安全事件的快速检测和响应的投入2020年将占到总投入的60%(75%的企业会如此),而2012年该投入仅为10%。暂不说这是否是一个客观、正确的预测性判断,这个判断意味着PDR模式的重心后移、意味着侧重防护(P)的安全策略将会使得安全失效、意味着对新的一代安全技术的需求。显而易见,这绝不是一个简单能够得到的判断。

20世纪80年代,美国电话电报公司(AT&T)委托著名咨询公司麦肯锡预测2010年手机的销量,预测的结果是90万部,即2010年市场手机销售量将达到90万部。80年代手机为罕见之物,那时得到这个判断无可非议,但事实是2010年前三天就销售了90万部手机,那一年销售总数为1亿零9百万部。在技术领域的判断,客观判断还需考虑技术发展的厚积薄发。


2016-07-08 11:33
来源:中国信息安全
热门推荐更多
热点新闻更多