“两极化”是信息安全一个不错的设计原则

Original 李志勇与智慧做朋友 2022-08-17

信息系统在客户群体上包括使用者和管理者两部分，但不幸的是这两部分对信息系统的要求是截然不同的，一个成功的信息系统必须同时满足两种要求。若没有充分分析两者不同的信息化系统/安全系统要么很难用、要么很难管，走向失败就成为必然。

我借用近期和朋友们玩的一个游戏中专业词汇“两极化”来作为信息系统/安全系统的设计原则，一方面提醒从业者要充分认识管理需求和使用需求的截然不同，另一方面，无论是管理需求还是使用需求在满足上都应该做到极致。

两极化的定义：（注：具体技术和业务逻辑不是本文的重点）

第一：两极化在内涵上分为管理和使用两个层面需区别对待，在深度上追求极致

第二：管理注重可见、可信、可证明，使用注重无感、透明、被尊重和关照

两极化的落地：

信息系统/安全系统在管理上一定要做到可见、可信、可证明，特别是安全系统，必须把安全的价值和效果通过技术方法和手段进行展现，看得见的安全、可证明的安全总是更让人放心。为此，设计者在落实管理设计时把握一切看得见，手段能力要可信，一切重点环节可证明（自证或者是他证）的原则为上。

信息系统/安全系统在使用上一定要做到无感、透明、被尊重，换句话说就是怎么简单怎么干，怎么方便怎么来，但必须把握对于涉及用户自有属性时要充分保护用户的知情权和所有权的原则。简单之极就是极美，尊重之极就是黏性高，做到这些，系统在使用层面一定能取得不错的效果。

总结：

信息系统/安全系统在管理上需要考虑繁文缛节、丝丝紧扣，并借助整合、可见展示、分析、溯源等手段带给管理者极繁之美和管理的人性哲学。在使用层面则追求极简和对个体的充分尊重，使用者在获得便利的同时也得到最大的人性关照。信息系统也好，安全系统也罢，其实都是人在用的系统，尊重人的需求，就是设计系统的核心原则，也正是基于此，“两极化”设计原则就是在区分对象的前提下最大程度追逐和满足人性需要。

【以上纯属个人观点，请大家批判借鉴】

参考文章

只有认清网络安全本质，才能更好的开展网络安全工作

把握需求是商业的核心，必须构建专业队伍给予保障

集中模式下（云）的安全设计思想

“显性产生信任、厚重提升价值”，密码技术应该这样

安全如果有了温度，行业也就有了前途

来源：与智慧做朋友

作者：李志勇

声明：文章的图片来源于网络，版权并不属于作者