標籤:

學院派的信息安全指的什麼?

在各個安全技術的群里感覺已經沒辦法交流了。

我研究的是信息安全的框架、頂層設計、整體的解決方案,平時也花不少時間跟進技術。

但是遇到過多次,我說了自己的一些觀點,就招來嘲諷,說我是學院派,滿是鄙夷口吻。

為什麼會是這樣的局面?

理論指導實踐,實踐證明理論,如果是學院派指的是研究信息安全理論的人,那這樣的局面顯然不利於信息安全行業的發展。

==================update================

謝謝各位給出的評論,這裡做一些補充。

小生現在就職於一家不到300人的安全公司,從事安全服務。

我所在的部門主營滲透測試、等級保護、風險評估之類的項目。

客戶有時候會收到來自上級或者其他單位給出的滲透測試報告,然後轉交給我們,需要我們來配合進行安全的整改。我也就看到了其他公司編寫的滲透測試報告。

內容上,其實大家都是一樣的,無非是描述一下漏洞,給出驗證的截圖,分析一下威脅,給出一些建議。

時間久了以後,我收到來自客戶的反饋都是一樣的,這樣的滲透測試報告,對他們來說,基本上沒有意義。經常一個報告交到客戶手裡,還需要我們單獨跑一趟,用非常直白的語言去跟他們解釋這些問題,完全把客戶當成小學生一樣對待。

而且,滲透測試報告中過分誇大問題,問題描述不清,描述不準確也是常事兒。

其中有一個客戶,在一個項目里跟我們一起談了很多他的理解,幾乎是推翻了我當時對滲透測試的理解。

談話的內容,各位也不會想聽的,他以一個完全沒有接觸過任何安全技術的人的身份,跟我們扯了很多的理論。而且他很喜歡罵人。其中一次,他指著臉罵我,非常侮辱人那種。

以各位的看法,不懂技術的人,來瞎扯這些所謂的理論,能用么?

在我到這個項目以前,我們公司就一直是以忽悠的態度在對待這個客戶,我們都調侃,公司想開掉誰,就讓誰去陪這個客戶,過不了幾天他自己就走了。

(PS,我原先在黑哥的微博上評論說我見過有人述職報告講19個小時的,就這個客戶)

我到這個項目,是出於偶然。原先陪他的那個同事離職了,公司臨時讓我過去頂一下。幾次交流以後,我開始順著他的思路去了解國內外這方面的理論。

我最後找到的,是PTES(滲透測試執行標準)The Penetration Testing Execution Standard

清華大學的諸葛建偉對這份標準進行過翻譯,也在《Mteasplioit魔鬼訓練營》中有所提及。

更讓我驚訝的是,在國內,我的一個客戶,一個從來沒有接觸過任何安全技術的人,提出了一套可以跟國外相媲美的東西。雖然他總是用一些口頭的語言來表述,但是PTES里提到的內容,他都提到了。而且在某些方面,他的想法,比PTES更全面、更深入。

截止今天,我工作的時間都還不到兩年,我對一個行業、對國內的情況作評價,是非常不合適的。在此,對先前我說的一些有失偏叵的話表示道歉。

我之前所說的理論,是滲透測試理論。

框架,是面向一個省級政府單位信息中心建設所需要的安全框架。

總的來說,實際上我在基於PTES,嘗試建立一份適合於國內市場的滲透測試方法(更高的目標是建立滲透測試的標準,可以對我們公司的滲透測試起到約束作用)。

我不禁想補一個問題,各位對這份標準怎麼看?

國內有哪家公司提供的滲透測試,可以達到PTES的水平?

而在我跟某些人分享一些觀點的時候,他們的反應大致會有這麼幾種:

1、如果他們也知道這個客戶,他們一般會說:你丫被他洗腦了吧!

2、技術牛,遇到的很少,有的人會表示支持,希望我能儘快出成果。也有的,則嗤之以鼻,滲透測試就是見招拆招,哪還有理論。弄那麼多標準,不煩么?

3、同事,或者和我技術水平相差不大的人,給我的嘲諷最多:丫就一菜逼,屎殼郎還學人戴眼鏡兒。

以上,是我提出這個問題的背景。

這個帖子,也作為一個拋磚引玉,我在評論中看到了不少很吸引我的想法,希望各位前輩不吝賜教。

現階段的工作成果,礙於公司層面的要求,我暫時不能公開。但是試驗性的項目已經在開展了。

在此,向各位前輩給出的評論、建議和吐槽,表示感謝~


我們常把從事信息安全技術研究的人分為學院派和工業派,分別指更偏向於理論的研究者,和更偏向於實踐的研究者。

學院派和工業派之間的界限並不特別清晰。有些學院派搞的東西也很實用,工業派也常研究學院派的理論。信息安全領域很多東西都是由學院派開創、工業派完善的。理論和實踐都很重要,學院派和工業派都不是貶義詞。

不過需要注意,理論和空論還是要區分的。理論可以指導實踐,空論只能指導扯淡。所以,上面說的兩派之外,還有裘千丈派、索天響派等,這些也常被人稱作「學院派」,但實際上他們不是學院派。有點像我們稱呼一個姑娘為「小姐」,但她可能不是小姐,是失足婦女。

至於在溝通中被人以鄙視的語氣稱呼為「學院派」,可能是你的觀點有問題,也可能是對方無法理解你的觀點,但和學院派本身沒啥關係。


首先非常贊同教主的回答,對於題主的原問題來說是一個完美回復。在看到你的問題的時候,我不禁想問,你們到底在聊什麼,我懷疑對方噴的可能是那個點,不想再討論罷了。

看到題主更新了描述,引起了我狗尾續貂的興趣。

我想說我非常理解和支持你的出發點。IT審計目前在國內是有些亂象的,不說那些誇大風險忽悠的,說極端點的例子,IT系統本身沒問題,由於操作方法不當被你審後出了可用性問題,這不是沒有,主要是因為專業從業人員跟不上需求發展速度,且業內沒有統一的標準。現有的標準只能指導到「做了」,不能關注「做到什麼程度」。而經過長年累月的實踐,在這基礎上,有一些框架和流程就被設計出來,用於規範自身行為,強制提高人員素質。你那個扯淡的客戶不懂安全技術,所以他的關注點會全在業務利益方面,不管你怎麼挖漏洞,他會需要看到一個可控的、可量化的東西來衡量你們的工作成果,所以你會在PTES里找到他的構想的影子,不是他厲害,而是標準是結合了實踐能夠普適的緣故。你要做的就是把這個標準落地,結合你們的操作實踐,寫出評價標準、操作流程、報告模板、反饋閉環,落實到每一次業務。坦白說我還是第一次聽到頂層設計這個詞,我只知道不能落地的安全準則是沒有用的,就好比部署了套監控平台然後沒有人去響應。所以「指導」是要的,但是放低自己的姿態來談目標,能更容易獲得群眾響應。

很高興你在大量實踐的基礎上有此想法,你是一名踏踏實實的從業人員,不需要陣營。很抱歉之前在「學院派:說就天下無敵做就有心無力」的答案上點了贊。


信息安全的理論在學院派里幾十年進步了多少?

單從密碼學而言,要是從1970年代,DES、RSA開始出現http://en.wikipedia.org/wiki/RSA_(cryptosystem) 開始說起,到AES (2001年) Advanced Encryption Standard 和現今的各種公鑰演算法的研究,以及對未來量子計算機實現之後的演算法研究來說的話,不亞於讓密碼學和信息安全從遠古時代到了現代。

每天大家都在享受實驗室和研究院里做出的成果,很多時候卻忘記了去感謝那些連名字都沒被記住的科學家。網盤的快速搜索和去重的重要演算法是Hash.有的用MD5(1991年Ron Rivest),有的用SHA-3(2012年NSI中選,Guido Bertoni, Joan Daemen, Micha?l Peeters, and Gilles Van Assche),這些都是學院派研究者辛辛苦苦做出來的。

這些成果很多都沒有像技術類成果(比如具體的加密軟體)一樣去申請專利,而是可供所有人使用。人們欣賞開源軟體,卻往往忘記了開源這個做法,最早不是程序員所專有。

以上,為被噴了好幾層樓的「無名」研究者們抱屈。

==================2015年2月16日更新================================

因聽說攻擊沒人寫paper, 所以找出了這個paper列表

Papers | The Honeynet Project

都是用honeypots(蜜罐)捕獲的各種攻擊的分析和防禦建議。


樓主自己技術不行,別拉到一批搞安全研究的啊。你跟他們談Fuzz啊,談符號執行啊,談二進位反編譯啊,談橢圓曲線的弱密鑰啊。畢竟too low,國內安全圈有些人也too low。咱樓上的鄒維鄒大神組的fuzz系統挖出了十幾個0day,估計好多人都不知道。整天被一群開口閉口黑客黑客的人刷屏,煩。


talk is cheap,show me the #

我也常常噴"學院派",所噴的並不是指高校里做研究的安全從業者,而是"逼格high"的論述一大堆,實際做起來啥都沒用,你說他兩句"這不就是我們之前用的xxx的手法么"他還不樂意你接他的短之人

抖機靈模式:

某"牛":你看過我發表的論文么,我這個領域探究的比你深多了

我:吊吊吊,實際攻擊場景怎麼用

某"牛":我跟你說的是學術!

我:所噶,那就是無法給真實場景運用咯?

某"牛":滾

但是我也佩服很多真正的學院派,比如畢業哈佛,在MIT實驗室工作的Richard M. Stallman,黑客派和理論派相生相容的埃里克·雷蒙德,就是下圖的老頭,我最崇拜之人,就是個實踐派理論家!

--------------update-----------

謝謝您對我多年以來滲透實戰的指導,對了,您是?

再來抖個激靈:

翻譯一下就是:

你是個高等院校的所謂信息安全專業好學生

我。。。我只是在直呼不小心碰到了這個問題

我想題主對大部分小朋友不屑一顧

我的意思是,你是那種典型的,成績傲人,理論研究的傢伙

瞧著一個衣衫不整,不會用逼格高端的名詞,只會做滲透,安全研究卻寫不出「有逼格」的論文,而且無法畢業,從小成績糟糕的黑客「who are u?」You asked contemptuously

"I"m ur worst nightmare"


我覺得這不是學院派 = = 這應該是所謂的標準派,這不是理論的全部。我覺得也不太應該算是理論的主要成分....

信息安全,如果說是研究的話,很多是密碼學,網路安全協議這一堆。這類感覺更落地一些,我覺得。量子加密實際上是非常落地的安全方案了...

=======================================================

信息安全,作為一個交叉學科,工業界和學術界關注的東西本來就很不一樣。比如Web安全,在學術裡面已經是最低級別的東西了,相關論文這幾年才起來,動不動就是能防止97% 95%的某種漏洞。他們的方案其實是可行的,只是大家不關注,也沒有那麼強烈的安全需要罷了。但是在工業界,似乎還是一個主線層次的問題。

像體系架構這個,主要是圍繞標準來走的。軍方保密單位會按照要求來,必須熟悉標準的人才能把分級的要求辦妥,但是各個互聯網企業沒這種需要。雖然,像一些非常基本的安全原則,其實特別有用,但是你如果跟做web安全的人說起來,他們會覺得你冒犯了他們。這原因很簡單,因為大多數企業面對的主要問題都是web安全這一帶的,不是我們長期討論的建築安全、物理安全等等。

我感覺王丹磊說了最重要的一點,那就是web安全。在學術界,Web安全可以說是寸步難行,但是在工業界,非常青睞精通Web安全的人,而其他的基礎可能都是不重要的。

=======================================================

我個人覺得,信息安全已經到了那種大到需要建立一級學科的地步了。。。


這問題眼看就要變成技術黨用口水淹死學院派的又一例證了。

在各位摺疊我之前,我想說:

1.題主提這個問題,到底是要問什麼?是想弄清楚搞「頂層設計、框架設計」的研究者與安全攻防研究者之間的矛盾?還是要整明白信息安全中的學院派到底指的什麼?(這是你的問題題目啊)題主的問題問的之混亂,我反正已經搞不清楚題干是什麼了,自然也不敢隨便發表觀點。

2.我一直認為,達到信息安全的最終目標離不開多種技術、管理手段的支撐,缺了哪個都會出問題,「文人相輕」似的鄙視鏈其實弊大於利。特別說明這一句不特指某種觀點或某個人。


首先,我覺得學院派在密碼學還是很有研究的,差的是攻防

攻防是極端需要實踐的。想想一個sql注入,多少奇技淫巧,各種轉義,mysql和sqlserver的特殊技巧,特定版本的漏洞。。。通常而言,web服務安全做的好的,拉出來做網站前端後端工程師DBA都完全沒問題。而現在多數學院里的老師教授能做到?

再者,現在的學院派基本只有守,不談攻。這能玩?

再有,學院教授和實驗室的主要任務還是科研論文,如果我發現了mysql在某某版本和某某其他服務搭配時有個漏洞可以泄露網站用戶信息,這個還真發不了論文。

要做一個讓人尊敬的學院派,你得首先是一個傑出的黑客


拿產品和效果說話。


密碼學。


剛看到有個匿名回答說

AES算是學院搞出來的,沒這個的話……嘿嘿

然後 @雲舒 大神說:

AES是得到了大量的運用。沒有得到運用的理論就算了。

這其實事有個誤區的…

現在所謂學院派的信息安全多數其實就是和其他學科(數學、物理)一樣的基礎性研究,不可能每次發的paper中的東西都能得到運用,甚至大多數都不會有直接應用,但科研就是個漸進的過程。

比如像FHE(Fully Homomorphic Encryption) 這類東西,現在看起來一點都不可能實際應用,但它逐漸在各種paper不各個組之間改進,一旦有一天一篇paper跨出了重要的一步,那整個現實中的加解密方式都會巨變。但在這篇paper之前,這東西對應用來說就是一坨shit……

ps.事實上,信安里的這種基礎性研究領頭在做的除了幾個名校外,還是IBM、微軟這些公司啊。

所以,學院派的信安就是和其他學科一樣,是在做科研,做科研就不要過於著急的想著怎麼趕緊應用到現實中,安下心來踏實搞研究才是正道,總有一天,你改進到一定程度了,應用是水到渠成的事。

當然,我說的是學院派里偏基礎研究的那部分,畢竟這個還是占多數的,偏應用的也有很多,我不是很了解,就不多說了。


被鄙視的主要原因是學院派的技術普遍不好還挺能裝逼


理論要和實踐相結合,有些太過於「超前」的研究,是怎麼搞出來的自己心裡清楚,不是說理論派不行,如果國內這些學院派搞的東西能在國際上獲得認可,真能跟老外的研究比,那有什麼不可以拿來指導實踐的呢?

問題在於國內的學術環境太差,搞的啥JB玩意兒都有,東抄西抄,paper我也讀過國內的學院派的,有些寫的paper的確像是做出了真正的東西了,哪怕有demo,我覺得這種理論的研究就很好,至少證明有可行性。有些連demo都沒做出,沒有可行性,也沒有看到細節地方的詳細設計和實現,直接上來就擺實驗數據,這一看就是東拼西湊的,我怎麼知道你這套理論管不管用?能不能做出效果?

而很多老外的「學院派」,其實技術都很強,有工程能力,也就是真正的「理論+實踐」(比如RIPS的作者,PhD)。國內搞研究的能比???題主你搞的是信息安全防護的框架,有做出實際的東西嗎?有的話請貼一下github地址。沒有的話怎麼能叫理論指導實踐?實踐從何而來?你又指導了誰?

所以說啊,單單是搞理論,根本成不了實際的生產力,那就是廢品,沒有價值。

說這麼多,我想你應該懂了。


「學院派」-&>講就天下無敵,做就有心無力


題主糾結的是:為什麼一個「外行人」能提出比安全專業人士還要專業的問題和方向?

這真是一個好問題,特別是這個外行人不負責解決問題的情況下。

一眾大牛說了:細節是魔鬼,頭上有汗腿上有泥,等等~

我充當小白,閑扯幾句學院派:

1,個人:你遇到了一個很牛的人,他的工作經驗和學習總結能力超強,你難免不是對手。

2,專業:在他的專業業務領域, 他的能力和經驗是秒殺幾乎所有人的,因為他非常熟悉他自己的系統。而作為一個好的滲透測試人員,其實第一步就是要學習被測試系統的原理和構造,無論通過什麼方式。那種拿起工具一通亂掃的,高中生就能做到。

3,跨專業找方向:安全滲透,其實是個框架性的工作,簡單來說就是尋找出所有的可能漏洞機會,然後針對其風險等級和可能得手的幾率,逐步展開驗證和測試。這種框架是有標準方法的,與大型軟體系統的質量控制方法,略有相似。

這個神人既然有大型工程背景,只要他知悉了這個方法,或者是被點中要點,他自己的確可以在多次交流中逐步細化完善他的觀念和方法。

我以前說過:如果經驗豐富的系統設計或者系統測試人員掌握了基本的安全理念,其轉身速度是難以想像的,可以在很短的時間內在他熟悉的系統中碾壓一般的安全人員。更牛逼的是,這些人還懂得怎麼去修!

4,角色:按照他甲方提問題的角色,的確足夠了,問得你步步退縮不是難事。

如果你上學的時候跟過好老師,就知道好的老師牛逼在提出好問題給學生去深挖解答,而不僅僅是告訴學生該怎麼做。

這大神讀個博士,帶幾個研究生,那是一點問題都沒有。

5,工程實踐:我左手拿著評審過的幾十本自定義安全規範和基線,右手拿著綠盟等機構協作出具的測試報告,陷入了深深的沉思……

對雲安全,我是發表意見呢,還是不發表呢?最近好糾結。


贊@雲舒 的回答之後,我覺得:

這種理論框架、上層建築什麼的真需要我們這些一線全棧型角色來構建,當然我們可以吸收你常用的那些構建工具。

我可以肯定,如果我們願意做,那才能真的得到尊敬。

毛爺爺說:沒實踐就沒發言權。


分頁阅读: 1 2