关于“信任”的一个深入探讨
信任 – 的确是网络安全的一个核心概念。关于这个概念有很多讨论,可是很少看到有准确的定义或者较为深入的探讨。ISECOM的Pete Herzog做了一个漂亮的工作。他给“信任”定义了十大属性,尝试使用数学、数字的方式来定义、测量信任。这个工作酷不酷?
Pete之前有个很著名的项目 – OSSTMM(Open Source Security Testing Methodology Manual)- 一个很棒的项目。Pete现在的头衔是ISECOM(Institute of Security and Open Methodologies)的合伙创始人和MD。下面是ISECOM的概要说明:
- Making sense of security.
- A registered Non-Profit Organization
- Offices in Barcelona, Spain and New York, U.S.A.
- Open Source Community using Open and Peer Review to assure Quality and develop a chain of trust to create an Authority.
- A certification authority grounded in trust and backed by Academic Institutions (La Salle college and
university network).
回到“信任”。 良好的“信任”关系和系统可以带来无比的价值,其实我们都是生活在某种“信任”关系中的。信任可以带来大幅的运营成本下降,信任可以提高企业的响应速度,… 大潘有过不少阐述.
安全业界中的信任是个什么样子呢?我们知道有个著名组织叫可信计算,CSA下有了一个可信云的项目,在2008年中国可信计算联盟(CCTU)成立(遗憾,百度到一些新闻,没有找到官方网站。哪位朋友告知一下?)……
Pete从另外一个山坡过来,Pete总结了若干错误的“信任”行为和假设,他尝试给”信任”-Trust一个可测量的定义。下面是Pete版的信任十大属性:
1. Size 规模
2. Symmetry of trust 对称
3. Transparency 透明
4. Control 控制
5. Consistency 一致性
6. Integrity 完整性
7. Offsets 补偿或惩罚
8. Value of reward 奖赏
9. Components 组件
10.Porosity 与环境的空隙
针对每个属性,可以开发若干个度量,然后得出一个综合的信任矢量。“工具”只是工具,就看人怎么使用了。在此,您有什么创新性的点子,分享一下。点击下载Pete的原文。
据我所知,国内可信计算方面的组织就是TCMU. TCM规范里似乎没直接定义信任。个人感觉应该
默认与TCG对信任的解释一致。
多谢Y.Li.
不知中国可信计算工作组是不是就是新闻中的中国可信计算联盟,还是不是?从网站上的介绍来看,似乎又不是。
不知可信计算组中为什么没有华为啊?
另外,不知TCMU对信任的官方定义是什么?
中国可信计算工作组 http://www.tcmu.org.cn/
@Secway, 中国可信计算联盟的缩写是CCTU,可是找不到网站和域名.
应该是CTCU