安全产业未æ¥çš„价值
å‰äº›æ—¥å读到安全专家schneier的一篇blog:Do
We Really Need a Security Industry?
题目å“了我一跳,ä¸è¿‡ä»”细读完之åŽä¹Ÿå¼€å§‹è€ƒè™‘,安全产业的价值在于何处?
我们真的需è¦ä¸€ä¸ªå®‰å…¨äº§ä¸šä¹ˆï¼Ÿscheneierçš„æ„æ€å°±æ˜¯ä¸€å¥è¯ï¼šIT安全产业å˜åœ¨çš„主è¦åŽŸå› 就是IT产å“å’ŒæœåŠ¡å¹¶éžå¤©ç”Ÿå®‰å…¨çš„(The
primary reason the IT security industry exists is because IT products
and services aren’t naturally
secure.)没错,一个å¯ç”¨çš„系统必然ä¸æ˜¯ç»å¯¹å®‰å…¨çš„ï¼Œå› ä¸ºå®‰å…¨æ€§å’Œå¯ç”¨æ€§æ°¸è¿œæ˜¯ä¸€å¯¹çŸ›ç›¾â€”—最安全的系统就是用铅盒å°å¥½ç„¶åŽåŸ‹è—在N米深的地下,但
是这个系统就是ä¸å¯ç”¨çš„了。而å¦ä¸€æ–¹é¢ï¼Œä½œä¸ºè½¯ä»¶çš„用户,从他们的观点æ¥çœ‹ï¼Œä»–们需è¦çš„æ£æ˜¯å¯ç”¨æ€§ï¼šæ£å¦‚作者在最åŽæ‰€è¯´ï¼šéšç€IT产业越æ¥è¶Šå‘åŽå°å‘展,
它将é€æ¸æˆä¸ºä¸€ä¸ªå·¥å…·ï¼Œç”¨æˆ·åªå¸Œæœ›å®ƒèƒ½å¤Ÿå·¥ä½œï¼Œæ€Žä¹ˆå·¥ä½œçš„,他们并ä¸å…³å¿ƒï¼ˆAs IT fades into the background and
becomes just another utility, users
will simply expect it to work — and the details of how it works won’t
matter.),当然,它们也è¦å®‰å…¨ï¼Œä½†æ˜¯è¿™ç§å¯¹äºŽå®‰å…¨çš„需求包å«åœ¨ä»–们对于系统的è¦æ±‚当ä¸ã€‚æ£å¦‚ä¼ ç»Ÿçš„ç¡¬ä»¶å·¥ä¸šæ‰€åšçš„é‚£æ ·ï¼Œæ±½è½¦çš„å®‰å…¨æ°”å›Šï¼Œåœ°é“çš„ç´§
急刹车按钮,主æ¿çš„过çƒä¿æŠ¤ï¼Œé“¶è¡Œçš„安全ä¿éšœâ€¦â€¦è¿™äº›éƒ½æ˜¯ç³»ç»Ÿæœ¬èº«å¿…须具有的特性。这么看æ¥ï¼Œåœ¨IT产业当ä¸ï¼Œä¸€ä¸ªå•ç‹¬çš„安全产业似乎确实没有å˜åœ¨çš„å¿…è¦
性。
但是问题å过æ¥è€ƒè™‘ä¸€ä¸‹ï¼šåœ¨ä¼ ç»Ÿçš„ç¡¬ä»¶å·¥ä¸šå½“ä¸ï¼Œæˆ‘们的æ“作对象是实实在在的物体——它们很容易控制,而且难于产生和å¤åˆ¶ã€‚但是IT产业ä¸åŒï¼Œå®ƒçš„处ç†å¯¹
象是信æ¯ï¼Œä¿¡æ¯çš„æœ€å¤§ç‰¹ç‚¹ä¾¿æ˜¯éš¾äºŽæŽ§åˆ¶å’Œå‡ ä¹Žæ²¡æœ‰æˆæœ¬çš„产生和å¤åˆ¶ã€‚æ£å¦‚我现在æ£åœ¨å†™blogä¸€æ ·ï¼Œè¿™ä¸ªä¸–ç•Œä¸Šæœ‰å¾ˆå¤šçš„åƒæˆ‘ä¸€æ ·çš„äººå¯ä»¥åœ¨è‡ªå·±çš„PCå‰é¢
å†™è‡ªå·±çš„çœ‹æ³•â€”â€”è¿™å‡ ä¹Žä¸éœ€è¦ä»€ä¹ˆæˆæœ¬ã€‚而他人想è¦è½¬è½½ï¼Œä¹Ÿåªè¦æ‹·è´ç²˜è´´ä¸€ä¸‹å³å¯ã€‚æ£æ˜¯è¿™ç§ç”Ÿäº§å’Œå¤åˆ¶çš„低æˆæœ¬ï¼Œé€ æˆäº†ä¿¡æ¯çš„å¿«é€Ÿä¼ æ’和难于控制,于是有
了垃圾邮件,或者其他的å¯ä»¥ç§°ä¸ºspam的东西。而Webçš„å´›èµ·å°±æ›´åŠ å‰§äº†è¿™ç§æƒ…况,越æ¥è¶Šå¤šçš„东西出现在互è”网上人们å¯ä»¥è®¿é—®åˆ°çš„地方,但是并ä¸æ˜¯æ‰€æœ‰
çš„ä¸œè¥¿éƒ½æ˜¯åº”è¯¥è¢«æ‰€æœ‰äººçœ‹åˆ°çš„ï¼šä½ ä¼šå¸Œæœ›ä½ 9å²çš„å„¿å去看花花公åç½‘ç«™ä¹ˆï¼Œä½ ä¼šå¸Œæœ›ä½ å…¬å¸å†…部的资料通过互è”ç½‘ä¼ æ’出去么?当然ä¸ã€‚所以这便是我认为的安
全产业å˜åœ¨çš„æ„义之一:对于信æ¯çš„控制。ä¸è¦è¢«å®‰å…¨äº§ä¸šç›®å‰æ‰€åšçš„事情——比如防病毒和防黑客——所蒙蔽,安全的目的并ä¸æ˜¯åŽ»é˜²æ¢ç—…毒和黑客入侵,而是在
于ä¿æŠ¤ä¿¡æ¯ã€‚安全的主体是“人â€ï¼Œå®‰å…¨ä¸Žå¦éƒ½æ˜¯å¯¹äºŽäººæ¥è¯´çš„,安全产业应该æ供的是信æ¯å¯¹äºŽäººçš„安全。我们用httpsä¿æŠ¤ç”µå商务,用众多的安全产å“防
æ¢spywareï¼Œå…¶ç›®çš„éƒ½æ˜¯å› ä¸ºæœ‰çš„ä¿¡æ¯å¯¹äººæ¥è¯´æ˜¯é‡è¦çš„(比如信用å¡å·ç 和密ç ),而这ç§ä¿¡æ¯çš„泄æ¼ä¼šç»™äººé€ æˆæŸå¤±ã€‚å¦ä¸€æ–¹é¢ï¼Œæˆ‘们用å病毒软件,就
æ˜¯å› ä¸ºç—…æ¯’ä¼šæ¯å用户的数æ®ï¼ŒåŒæ ·ä¼šé€ æˆæŸå¤±ã€‚æˆ‘ä»¬è¿‡æ»¤åžƒåœ¾é‚®ä»¶ï¼Œå…¶å®žæ˜¯å› ä¸ºè¿™äº›ä¿¡æ¯å¯¹äººæ¥è¯´æ˜¯æ— 用的,而我们ä¸åº”è¯¥ä¸ºäº†æ— ç”¨çš„ä¿¡æ¯è€Œè€—è´¹ç£ç›˜ç©ºé—´å’Œå¤„ç†
时间。所以,基于信æ¯çš„å†…å®¹ï¼Œå› äººè€Œå¼‚çš„æ供信æ¯çš„ä¿æŠ¤å’Œè¿‡æ»¤ï¼Œè¿™æ˜¯æˆ‘认为的安全产业在未æ¥çš„最大价值。而人对于信æ¯çš„需求一日ä¸æ¶ˆé™¤ï¼Œå¯¹äºŽä¿¡æ¯çš„ä¿æŠ¤å’Œ
过滤就还有å˜æ´»çš„价值,而安全产业,也就å˜åœ¨äºŽè¿™å½“ä¸ã€‚
å¯ä»¥é¢„è§ï¼Œå°†æ¥çš„å®‰å…¨äº§ä¸šçš„æ ¸å¿ƒç«žäº‰åŠ›å·²ç»ä¸å†æ˜¯è°æ›´å¤§çš„病毒库和更高的æ¶æ„软件探测率,而在于智能的ç†è§£ã€ä¿æŠ¤å’Œè¿‡æ»¤ä¿¡æ¯çš„能力。那么安全产业是ä¸æ˜¯æœ€
åŽä¼šè¢«IT基础产业åˆå¹¶å‘¢ï¼Ÿä¸Žå…¶è¿™æ ·è¯´ä¸å¦‚说最åŽå®‰å…¨äº§ä¸šä¼šå˜æˆIT基础产业的一部分。那个时候也许安全产业会在普通人的视野当ä¸æ¶ˆå¤±â€”—就åƒçŽ°åœ¨çš„硬件
äº§ä¸šå’Œè½¯ä»¶äº§ä¸šä¸€æ ·ï¼Œäººä»¬çœ‹åˆ°çš„æ˜¯â€œè¿™å°±æ˜¯è®¡ç®—æœºâ€ã€‚