《安全通论——刷新网络空间安全观》阅读随记-优快云博客

本文链接：https://blog.youkuaiyun.com/qq_64879662/article/details/144453019

部分摘录

安全通论，最终“通”到哪里？

这是一个必须认真思考的严肃问题。一方面，安全学科显然不能像过去那样，被分割成数十个零散的分支；另一方面，也不可能靠一本书就把所有安全问题一网打尽，毕竟理、工、农、医、文、史、哲、经、管、法十大领域都与安全密切相关。而这十大领域的研究思路和方法互相之间又相差很大。因此，我们目前给安全通论确定的界线是不突破“理工”边界。

但是，理工之外的安全又怎么办？特别是信息安全心理学和信息安全管理学，是全球信息安全界必须尽快弥补的两大缺陷，是信息安全保障体系中不可或缺的关键。它们虽然不属于安全通论，但也急需有人来研究。可惜，如今既精通安全，又懂心理学（或管理学）的人非常少。安全专家很难进入心理学（或管理学）领域，心理学家（或管理学家）好像也难成为安全专家。为了促进这种跨学科的交叉，我们在《安全简史》（见参考文献[3]）中专门开辟了独立的两章，来分别论述安全心理学和安全管理学。下面再对它们进行精练、浓缩，目的是向尽可能多的读者抛出有价值的后续研究课题。

信息安全心理学（或黑客心理学）

网络空间的所有安全问题，几乎全都可归罪于人！

具体地说，归罪于三类人：破坏者（又称黑客）、建设者（含红客）和使用者（用户）。当然，他们相互交叉，甚至角色重叠，比如下面三种人。

首先，所有人，包括破坏者和建设者，肯定都是网络的使用者。

其次，承建信息系统的专家、保卫网络的红客，当然是建设者。此外，从某种程度上说，使用者其实也是建设者；比如群主建了一个群，难道他不算建设者？！黑客虽然是某个系统的破坏者，但在另一系统中，他很可能又是建设者。

最后，黑客肯定算破坏者，但是，粗心大意的用户，难道就不是“自杀式”破坏者吗？！安全保障措施不健全（甚至是裸网）的建设者，难道不算是“自毁长城式”的破坏者吗？！

不过，针对任何具体的安全事件，“三种人”（破坏者、建设者和使用者）之间的界限，还是相当清晰的！因此，只要把这“三种人”的安全行为搞清了，那么网络的安全威胁就明白了！而人的任何行为，包括安全行为，都取决于其“心理”。在心理学家眼里，“人”只不过是木偶，而人的“心理”才是拉动木偶的那根线；或者说，“人”只不过是“魄”，而“心理”才是“魂”。所以，网络空间安全的最核心根本就藏在人的心里，必须依靠安全心理学来揭示安全的人心奥秘！

在网络空间中，“三种人”的目标、地位和能力等，显然各不相同。这就决定了他们的心理因素，在安全过程中，也会不同。

其中，破坏者的“心理”，最具网络特色。因为，如果没有黑客，也许就没有安全问题。但遗憾的是，黑客过去存在，现在存在，今后也将永远存在，甚至还可能越来越多。所以，别指望黑客会自然消失，而应该了解他们为什么要发动攻击。在他们的破坏行为中，到底是什么心理因素在起作用。

黑客心理和犯罪心理既有区别，也有联系。作为“人精中的人精”的黑客当然知道其行为的法律含义，但为什么还是要那样做呢？从动机角度来看，这主要源于以下几种心理。

自我表现心理：许多黑客发动攻击，只是想显示自己“有高人一等的才能，可以攻入任何信息系统”。他们把“非法入侵”当作智力挑战，一旦成功，就倍感快乐和兴奋，认为这是自我实现的最高体现。

好奇探秘心理：因猎奇而侵入他人系统，试图发现相关漏洞，并分析原因，然后公开其发现的东西，与他人分享。

义愤抗议心理：这类黑客，好讲哥们义气，愿为朋友两肋插刀，以攻击网络的行为来替朋友出气或表示抗议。

戏谑心理：这种恶作剧型黑客，以进入别人信息系统、删除别人文件、篡改主页等恶作剧为乐。

非法占有心理：他们以获取别人的财富为目的，是一种犯罪行为。甚至，有的黑客受他人雇用，专门从事破坏活动。这种黑客的危害极大。

渴望认同心理：这类黑客追求归属感，想获得其他黑客的认可。

此外，还有诸如自我解嘲心理、发泄心理等，都是引发黑客行为的心理因素。特别是，还有少数心理变态型黑客，他们从小家庭变异，或遭受过来自社会的打击，由于心理受过严重创伤，所以长大后就想报复社会。

反过来，黑客发动攻击时，又利用了被害者的哪些心理呢？归纳起来，至少有以下四种。

恐惧心理：比如，网络电信诈骗犯，利用多种途径，营造恐惧感，要求受害者“赶紧汇款，以避免血光之灾”等。

服从心理：假借某些人或机构的权威，迫使受害者服从其命令。比如，假冒执法机构，要求受害者配合提供相关信息等。

贪婪心理：利用受害者对事物，特别是财富的强烈占有欲，来实施攻击。比如，以祝贺“中大奖”为由，诱骗受害者上当。

同情心理：声称自己有难，急需好人帮忙，诱发受害者的同情心，实施攻击行为。

那么，到底又是什么心理因素，引发了建设者和使用者的不安全行为呢？归纳起来，至少有以下几种。

省能心理：希望以最小能量（或付出），获得最大效果。省能心理还表现为嫌麻烦、怕费劲、图方便、得过且过等惰性心理。省能心理在破坏者身上就几乎没影了，因为黑客攻你时肯定不遗余力。

侥幸心理：它主要发生在使用者身上，建设者身上虽有，但不多。至于黑客，他的侥幸心理则主要是“其犯罪行为不被发现”等。

逆反心理：某些情况下，在好胜心、好奇心、求知欲、偏见、对抗、情绪等心理状态下，人会产生“与常态心理相对抗”的心理状态。破坏者和使用者，都会受逆反心理的引诱，从事不安全行为。在建设者身上很少有逆反心理。

凑兴心理：俗话叫“凑热闹”，它容易导致不理智行为。比如，许多计算机病毒，就是在用户的凑兴心理帮助下，在网上迅速扩散的。对建设者来说，凑兴心理就少见了。

群体心理：它的显著特征就是共有性、界限性和动态性。网络作为桥梁，将所有人连接成规模各不相同的群体。而且，在一定程度上，这些成员之间将形成几乎相同的“认同意识、归属意识、排外意识和整体意识”。所有行为，包括安全行为，都会受到群体心理的影响，无论是正影响还是负影响。

注意与不注意：当人的心理活动，指向或集中于某一事物时，这就是“注意”，它具有明确的意识状态和选择特征。人在对客观事物注意时，就会抑制对其他事物的影响。“不注意”存在于“注意”状态之中，它们具有同时性。也就是说，你若对某事物注意，那么将同时对其他事物不注意。注意和不注意，总是频繁地交替着。无论是建设者还是使用者，他们的许多不安全行为，其实都源于“不注意”。实际上，如果大家都注意安全、小心谨慎，那么破坏者就无缝可钻了。

影响网络安全的心理因素，当然远远不止上述几种。下面，对“三种人”不再区分，而是统一介绍安全心理；当然，必要时也会指出相关差异。

人的心理，既同物质相联，又是人脑的机能，是人脑对客观现实的反应。当然，这种反应具有主观的个性特征，同一客观事物，不同的人，反应会大不相同。人的心理因素及其与安全的关系，主要有：

（1）性格与安全。性格既有先天性，也有可塑性。因此，从安全心理学角度看，就应该努力培养那些对安全有利的性格。比如，工作细致，责任心强，能自觉纠错，情绪稳定，处世冷静，讲究原则，遵守纪律，谦虚谨慎等。同时，也要克服那些不利于安全的性格，比如，下面的八种性格，就不利于安全。

第一，攻击型性格者。这类人妄自尊大，骄傲自满，喜欢冒险，喜欢挑衅，喜欢闹纠纷，争强好胜，不接纳别人意见。他们一般技术都较好，但也容易出大事。

第二，性情孤僻、固执、心胸狭窄、对人冷漠者。他们多属内向，不善处理同事关系。

第三，性情不稳定者。他们易受情绪感染支配，易于冲动，情绪起伏波动很大，受情绪影响长时间不易平静；因而，易受情绪影响，忽略安全。

第四，心境抑郁，浮躁不安者。他们由于长期闷闷不乐，大脑皮层无法建立良好的兴奋灶，对任何事情都不感兴趣，因此，容易失误。

第五，马虎、敷衍、粗心者。这是对安全的主要威胁。

第六，在危急条件下，惊慌失措、优柔寡断、鲁莽行事者。这类人常常坐失发现漏洞和灾难应急的良机，使本可避免的安全事件成为现实。

第七，感知、思维、运动迟钝、不爱活动、懒惰者。他们反应迟钝、无所用心，也常引发安全问题。

第八，懦弱、胆怯、没主见者。这类人遇事退缩，不敢坚持原则，人云亦云，不辨是非，不负责任，因此，在特定情况下，很容易出事。

碎片摘录

信息论、博弈论与控制论

信息论：通信基于协同式对话，主要破坏力量是噪声，信息论对此有完美研究。协作式对话的成果不适合于非协作式对话，如法律辩论。
博弈论：核心是“纳什均衡”，黑客与红客在发现漏洞后的不同策略，黑客利用漏洞，红客修补漏洞。
控制论：系统的安全性取决于最薄弱处的安全强度。

红客与黑客

红客的本质任务是维护系统的安全熵（或秩序）。
系统的安全态势若向好的方向发展，变好的速度会越来越快；反之，向坏的方向发展，变坏的速度会越来越快，甚至瞬间崩溃。
黑客发现漏洞后，要充分利用它；红客发现漏洞后，要努力修补它。
发现漏洞的前提是尽可能清晰地描述它。
系统的安全性取决于它的最薄弱处的安全强度。

对抗策略

盲对抗与非盲对抗：盲对抗中，黑客或红客有两种思路提高业绩，增强自身相对打击力或降低贪欲。
石头剪刀布获胜法：如果你是输家，下一轮换用能打败对手的出手；如果你是赢家，下一轮不要再使用原来的出手。

概率论与信息论

概率论：大数定律表明频率趋于概率，根据过去习惯的统计规律，可以给出概率分布。
香农信息论：通信基于协同式对话，协作式对话的主要破坏力量是噪声。

骂架与辩论

骂架：双方（或多方）的目的是增加混乱度（熵），提高不确定度把对方搞糊涂。
比如，“两人骂架”就是典型的面对面的盲对抗，因为人的心理状态千差万别，被骂的痛点也完全不同，攻方是否骂到了守方的痛处，只有守方自己才知道，而且被骂者通常还要极力掩盖其痛处，不让攻方知道自己的弱点在哪里，所以是盲对抗。当然，“一群人互相乱骂”更是盲对抗了。
辩论式对话：掌握信息越多，可以借助统计手段来做出基本正确的判断。