1.定律是客观规律的统称,是解锁宇宙奥秘的钥匙。定律是了解宇宙的基石。是从亘古到现代不曾改变的宇宙规律。
2.定律是为实践和事实所证明,反映事物在一定条件下发展变化的客观规律的论断。定律的特点,是可证,而且已经被不断证明。
定律是一种理论模型,它用以描述特定情况、特定尺度下的现实世界,在其它尺度下可能会失效或者不准确。
定律的意义是重要的,每个行业都有适合他的定律,这些定律是企业发展的启明灯。
与信息安全相关的基本规律主要有相对安全定律、安全两难定律、摩菲定律、大程序定律以及木桶原理、冰山原理、蝴蝶效应、2/8法则等。
(1) 相对安全定律。世界上只有相对安全,没有完美无缺的绝对安全。我们需要认识到为安全而做的所有工作只是为了给威胁系统安全的别有用心的人增加更大的难度。
(2) 安全两难定律。安全性和复杂性成正比,安全性和可用性成反比。即系统越安全,给用户带来的不便也就越多。系统安全性和可用性是互相矛盾的,必须努力保持平衡,争取找到两者的最佳结合点。
(3) 墨菲定律。所有程序都有缺陷。即任意一个程序的残留错误不为零。
(4) 大程序定律。大程序的缺陷甚至比它包含的功能还多。
由墨菲定律和大程序定律,我们得到一个结论,即大多计算机的安全性值得担忧,因为它们运行了太多太大的程序。目前常用的Windows 操作系统,其代码量达到3500万行,而新一代的Windows统的代码量更高达5000万行,如此大量的代码对于整个软件业和信息安全领域都提出了前所未有的挑战。
(5) 木桶原理。整体的安全性取决于整个防护体系中最薄弱的地方。也就是说整个网络的安全强度并不取决于网络中防护最好的主机,而是取决于网络中防护最差的主机。例如,在分布式拒绝服务攻击中,黑客就是利用那些防护最差、最好入侵的主机作为傀儡机对目标主机进行入侵的。
(6) 蝴蝶效应。一个微小的疏忽,如果不及时加以注意,有可能会给整个安全防护体系带来非常大的危害。
(7) 冰山原理。安全事件造成的损失不能仅仅看到表面的直接损失,还应看到隐藏在水下的间接损失,而通常间接损失是直接损失的很多倍。
(8) 2/8法则。安全性的80%的成果,来自于20%的投入。也就是说,集中处理已知的和最有可能的威胁比花费精力处理未知的和不大可能的威胁更有用且代价更小。