“诚信”是当下社会最为看中的品质,大到国家,小到个人,其重要程度不言而喻,但判断诚信的依据当下尚不完善,国家正通过整合和分析各种数据的方式竭力构建社会诚信体系,各大互联网公司、金融机构等也都在尝试用不同的方式来解决诚信判断问题。可见【诚信判断】是当下社会最基础的问题,也是最难解决的问题,各种手段和方式尚在路上,并且还需要很长的时间。关于诚信问题不是本文讨论的重点,作者只想借助这个普遍存在的社会问题,引出信息化行业特别是网络安全行业【如何判断是否可信】的话题。
在信息化行业,“可信”的说法比比皆是,可信计算、可信身份、可信认证、可信网站、可信数据、可信时间、可信时间戳、可信存证、可信区块链、可信签名、可信授权、可信审计、可信印章、可信报告、可信云、可信主机、可信终端、可信存储等等,这些无时无刻不充斥着大家的眼球,真是可信行业百花齐放、百家争鸣。在这样的大环境下,有必要和大家一起探讨一下【如何判断是否可信】的方法问题(注:作者在可信的路上也走了很长时间,体会满多)。
“是否可信?”本身就是一种评价,做出评价的前提依据评价主体的知识结构和所处位置,不同评价主体对同一事物做出的评价存在着完全不同的可能,作者在此不讨论评价主体所处位置差异,仅从客观上给出几个评价方法,在知识结构上给读者一个参考。在依法治国的当下,特别是结合我国的发展历史,法定权力赋予/行政权力赋予对于评价人来说,是最可信的。通俗点说,依法赋予的手段、方法、服务、数据、系统等有最高的可信度。比如:一提到身份认证,大家首先想到居民身份证,这源于《中华人民共和国居民身份证法》赋予了身份证法定的权力,这当然是最可信的;一提到时间,大家都会想到北京时间/国家标准时间,因为国家标准时间是国家战略资源,是被政策明确下来的,可信度是受保障的。
在当下,尚有很多实际存在的现象,虽然没有权力赋予,但已成事实,并被广泛接受和认可,这样符合存在事实的手段、方法、服务、数据、系统等也有较高的可信度。比如因为安全问题,大家更愿意采用linux系统,这是事实,值得信。
这个在信息化发展的当下,是判断可信最为普遍使用的方法。对于提供的手段、方法、服务、数据、系统等在科学性上进行分析,重点考量技术科学性、体系科学性、管理科学性等方面,看是否符合科学的严谨性、逻辑性,从而判断可信性。科学考量法多用于对系统技术层面的可信判断。
这个是当下判断可信最为简单、不烧脑的方法,自然认为能力【规模、资金、经验等】强所提供的手段、方法、服务、数据、系统等更可信。这个方法看起来最为有效,但由于对能力强的判断本身存在些许的主观性和不确定性,所以依此做出的结论也存在主观和不确定的可能,在重大的事情上千万不能靠主观判断。
信息化/网络安全涉及范围较广,完全掌握根本不可能,在这样的现实情况下,参考或听从权威人士的意见就成了当下判断手段、方法、服务、数据、系统等是否可信的一种常用方式,这个无可厚非,因为在判断体系没有整体形成闭环的当下,权威人士往往起到风险标的作用。记得【推手】这部电视剧中有一段经典台词: 【 “你认为房价是由政府、开发商定的吗?错!房价往往是由房地产领域知名专家定的,因为购房者信任专家,专家说什么,他们都信!”】
这个方法可用,但还要以我为主,权威人士的意见仅供参考。
上述判断可信的五种方法,在实际工作中也需要结合实际情况使用,如果分别用五种方法都得出可信的判断,那么这种可信度是不用怀疑的,但这种情况比较少。判断可信希望大家把握一个最简单的道理,可信需要可证明,只要能被证明的手段、方法、服务、数据、系统等才具备可信的前提。结合上述五种方法,证明内容如下:【证明你有权力】、【证明你符合事实】、【证明你具备科学性】、【证明你有能力】、【证明权威人士认可你】“可信”绝对不是一个简单的问题,希望从业者认真思考,从业企业端正态度,只有这样,可信行业才能健康绽放。
密码管理服务平台,到底应该如何建设?
安全的高级目标是确保电子数据能成为电子证据
从“运营”角度思考信息化建设相关问题,供参考
正确认识存证
信息化被忽略的基础设施:时空管理服务基础设施
“时间”是人类最客观、最实用的收纳箱与保险箱
关联是信息化的基础,密码是关联的核心保障
如何做到管理可控,是信创工作的核心,也是最大的难点
信创工作既要有战略认识,更要有战术智慧
“依法治网、以责服人”之职责管理体系设计
数据资产保全体系设计方案
一个电子签约平台设计思路
集中模式下(云)的安全设计思想
当下网络安全设计和建设中的几个基本思想供参考!!
当下,网络安全中最混乱的部分就是身份认证,那咋整呢?
“新发地”,将开启物品追溯和溯源的新纪元