构建新型网络形态下的网络空间安全体系
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人

前言

从本质上说,这是一本探究安全灵魂和提升安全认知的书,或者说,这是一本用“价值”的视角来看安全的书。

知识已经成为我们生活的一部分,那种出了校门就无须学习的说法早已过时,现在是一个终身学习的时代。终身学习没有错,但是如何学习知识,是一个值得探讨的问题。

因为知识积累的是信息,而在以网络空间为基础的新型社会,信息已经大爆炸,所以除了要对信息进行筛选,对摄取信息的途径做减法外,最有效的学习方式,就是尽快提高认知能力。现在整个社会都在讲“认知升级”,这跟大家之前谈的“意识决定命运”如出一辙,其实讲的都是一种认知上的升维动作。只有认知维度越来越高,对事物的理解和辨析才能达到一个新高度,才能“聪者听于无声,明者见于无形”,才能更深刻地理解事物,建立属于自己的方法论。

在信息时代,认知升维的本质是什么?已经不是信息的获取能力,因为你每天只要打开手机和计算机,海量的信息就会扑面而来。但是,看了大量信息后,你会感觉就像吃了一堆垃圾食品,虽然饱了,但是总不够健康。信息时代,认知升维的本质是信息的高效处理能力与深度应用能力。

那么如何才能做到呢?核心的动作是梳理知识结构,建立思考框架,并能够提供决策模型。认知升维与探寻事物本质的最终目的并不是单纯的学术研究,而是希望能对自己的职业生涯起到指导作用。当你看到一些很少人看到和关注的东西时,理解一般人理解不了的意义,然后扎根进去,学习、研究,再通过时间的沉淀,就可以达到一般人达不到的高度,帮助你在职业生涯中走得更好。

书是认知升级的有力武器。有人说:从报纸、电视、网站、微信、微博上读文章或听新闻仅能获取单点知识,这种学习方式可用来消除你的碎片时间,但不能提供一种深度思考能力,所以你增长的只是见识,而不是认知。而书籍是经过长时间的积累并不断对知识进行重构和解构的系统体系,它能提供某个方面的完整逻辑和深度思考的依据,所以可以有效地提升认识。虽然这种说法失之偏颇,但至少说明了长期思考和短期思考这两种模式产生的效果不同。

本书试图站在行业的高度,以中立的角度来阐述安全的底层逻辑,阐述安全、企业与个人的关系,向广大读者提供一条有效的安全认知升维的途径,以下目标,便是本书的目的和初心。

安全视野与安全视角

安全视野是对安全产业宽度的度量,视野的大小取决于你所处的时代背景,以及你的知识背景、工作背景和思考背景,这些客观因素的叠加,基本上就是一个常量,所以安全视野可能只是一个知识体系。

因此,如果想真正地理解安全,需要谈视角。视角本身又有两个层次:一是角度,二是维度。角度很好理解,就是不同的侧面,就像“横看成岭侧成峰,远近高低各不同”,不同角色的人,眼里的安全行业是不一样的,比如甲方客户、安全爱好者、学生、安全厂商等;维度很抽象,但也是产业热词,接触过的读者非常容易理解。可以把维度当成对安全产业深度的度量,认知的维度越高,表明你的认知能力就越强,对一个事物的把握就越精准,对安全的理解就越深刻。

用维度的视角看安全将会怎样呢?你看到的安全将是一个不断演化的动态有机系统,在这个有机系统下,首先分出层次,随后不断分离出各种元素,然后你看到元素之间的关系,最后找到驱动这些关系的背后逻辑,这样你就能对安全有一个全新的认知,形成另外一种看安全的能力。因此,你拥有越多的看安全世界的维度视角,就拥有越强的安全产业的解析能力。

探究安全本源,让安全更容易理解

如今安全已经是一个庞大的产业,已经渗透到各个行业。有人说安全人才是“万金油”,因为任何一种安全,都不是独立属性,它需要与某个产业、某个场景做贴合。因此,搞安全的人不但要了解安全本身的逻辑,还要了解与安全相关的行业或应用的业务逻辑。

本书是一本探究安全本源的书。有时候,你只有从源点开始慢慢梳理,才能了解整个脉络,否则难以形成完整的概念和思想。但本书也不是安全导论,有了完整的概念后,还是希望能够更深入地探讨每个知识点。另外,虽然本书不想做太多的科普,但是有时候了解历史上的一些背景知识,能让安全更容易理解。

揭示安全的核心本质,建立安全思维模式

有人说安全是防病毒,有人说安全是攻防对抗,有人说安全像保险,有人说安全像医院,等等。总之,安全经历了三十多年的发展,已经进入百家争鸣的时代,而且不同发展阶段有不同的理论体系做支撑,就愈加显得纷乱了。只有抓住安全的核心本质,建立一套完整的安全思维模式,才能拥有独立思考安全的能力。

尽量避免罗列产品或代码

讲到安全,必然要讲相关的理念、技术、产品。但是本书希望:讲理念,尽量深入浅出,避免故弄玄虚;讲产品,尽量避免讲成产品说明书,成为功能的罗列集合;讲技术,尽量避免讲成攻防秘籍与速成,粘贴大量晦涩难懂的代码。

基于对整个行业的理解进行提炼

网络空间已经是我们目前能描绘的网络形态的最大框架了,在这个框架下讨论的安全,基本上能有比较长的生命力。另外,同一个需求,会有不同的安全理解和理念,在不同的时期,也会有不同的解决方案,因此“术”本身容易过时,但是,如果我们基于“道”来描述安全,则可以有更长的生命力。所以,本书尽量讲述安全之“道”。

另外,本书是属于计算机范畴的,会出现大量的英文词汇,因为有很多概念都是源于英文的,如果只看翻译的中文,理解上可能有偏差。

写作风格说明

由于很多新的信息技术源于美国,因此大量的原创文章和概念都是英文的,虽然我们可以翻译,但是由于地区不同、时间不同,对一个事物的理解不同,导致只看翻译可能会影响对事物本源的理解,所以在IT行业习惯于中英文混杂使用,这不是想证明自己比别人厉害多少,很多时候只是为了表达的准确性。

举个例子,1999年在我国上映的一部非常著名的跟计算机网络相关的美国科幻电影Matrix,大陆翻译为《黑客帝国》,台湾翻译为《母体》,香港翻译为《22世纪杀人网络》,从翻译就可以看出不同地区的不同文化而导致的不同风格。台湾采用的是直译法,大陆采用的是意译法,而香港则采用的是市场导向的译法。

事实上整个影片讲述这样一个故事:未来人工智能(Artificial Intelligence, AI)已经发展到可以和人类智能抗衡的水平并产生了自主意识,AI希望享有跟人类平等的权利,但是人类不同意,于是爆发了AI与人类的战争;人类转移到了地下,并用核武器封住了大气层,导致AI失去了太阳能这唯一的能量来源,而最终AI建造了一个名叫Matrix的人工智能网络,将人类肉体控制起来,为AI输出生物电能。

Matrix在英文中有母体、矩阵的意思,但是如果了解计算机科学的话,会知道计算机网络出现的早期,人们习惯称网络为Matrix,即“计算机相连的矩阵”的意思,而影片本身其实是一个计算机科学的哲学思辨类的原创科幻电影,因此翻译成“矩阵”是最合适的。事实上,随着人们对该影片的认知提升,在2003年上映Matrix的第三部Revolutions时,大陆就译为《矩阵革命》,这样就准确了许多,但是你如果一开始就知道英文原名的话,会更容易帮助你去理解影片本身。

再比如Software这个词,大陆译成“软件”,而台湾则译成“软体”,Assembly Lan-guage大陆译成“汇编语言”,而台湾则译成“组合语言”,等等。

所以为了能够更好地理解一些计算机相关的概念和行业术语,本书采用中英文混搭的写法,必要时也会对英文做进一步的解释,对于一些著作的引用,也会标出原始的英文名称,方便感兴趣的读者进一步查找原著。虽然这样的写法会影响整个书的阅读体验,但是思忖再三,还是为了表达的准确性而舍弃了一些阅读的流畅性,毕竟写作初心并不是为了圈内人士的互相交流,而是希望有更多的安全爱好者能够更好地理解安全,从而转变为安全从业者,加入安全的大阵营。