首页 理论教育 开源软件与安全:自主、阻断、控制与监视

开源软件与安全:自主、阻断、控制与监视

时间:2023-11-22 理论教育 版权反馈
【摘要】:众多国家科研项目以安全为题,其背后大半是某些开源软件,隐含的逻辑是开源等于自主可控,因为自主所以安全。为什么到了智能机时代,手机安全反而让老百姓耳熟能详了呢?隔离是对外的,阻断内部和外部的交互。控制则是对内的,在计算机世界是通过系统代码内在的逻辑和安全策略来维护信息流动和信息改变。最后是监视,监视的作用是间接的。遍布城市街道各个角落的监控摄像头并不能阻止违法和犯罪。

开源软件与安全:自主、阻断、控制与监视

安全是一个很难说清楚的概念。我们很难说明白它到底是什么,它到底包含什么。众多国家科研项目以安全为题,其背后大半是某些开源软件,隐含的逻辑是开源等于自主可控,因为自主所以安全。国外开源界有些人的观点是,因为是开源,代码暴露给无数双眼睛,所以有安全问题一定会被早早发现。但是,近一两年来,开源代码频频曝光重大漏洞追根溯源,一些问题代码已经存在了几年甚至十几年。在发展迅猛的计算机领域,十几年已可称作“古时候”了。还有些观点将安全与漏洞挂钩,且不说究竟什么是漏洞,漏洞和代码缺陷(bug)的区别究竟是什么。先回忆一下我们的手机,在不到十年之前,还是功能机满天飞的时代,我们并不担心手机安全。为什么到了智能机时代,手机安全反而让老百姓耳熟能详了呢?是原先的功能机漏洞或代码缺陷少吗?

尽管很难说清楚,国际上对计算机安全还是勉强概括了三个特性:私密性(Confidentiality)、完整性(Integrity)、可用性(Availability),简写为CIA。私密性概念比较直观,就是数据不被未授权的人看到,你肯定不希望你的电话号码、银行账户还有照片什么的让不认识的人看到。完整性是指存储或传输的信息不被篡改,你肯定不希望付款的时候输入100元,结果实际被划走了1000元。可用性是指,你的设备在你需要使用它的时候能够使用。你肯定不希望你的家人万分焦急之中因为拨不通你的电话而轻信了骗子的话,真的以为你发生了意外。(www.xing528.com)

计算机系统应对安全挑战的办法大致有四种:隔离、控制、混淆、监视。计算机系统安全的设计者在系统的各个层级都发明了不同的技术来实现隔离,隔离的结果常常被称作“沙箱”。隔离是对外的,阻断内部和外部的交互。控制则是对内的,在计算机世界是通过系统代码内在的逻辑和安全策略来维护信息流动和信息改变。如用户A可不可以读取文件a,用户B能不能改变文件b的内容,等等。混淆要达到的效果是,明明你可以接触到数据却无法还原信息。隐藏一片树叶的最好地点是在一堆树叶中。在计算机世界中,加密就是一种混淆。最后是监视,监视的作用是间接的。遍布城市街道各个角落的监控摄像头并不能阻止违法和犯罪。它们不会在你闯红灯时,播放语音提示你;它们也不会在歹徒持刀抢劫时,发射激光电流或者别的什么。但是你可能会因为它们的存在而接到交通罚单,警察也会在破案时查阅监控录像。计算机系统中的日志和审计就是在做监视工作。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈