存档

‘安全’ 分类的存档

安全产业未来的价值

2007年5月9日 1 条评论

前些日子读到安全专家schneier的一篇blog:Do
We Really Need a Security Industry?

题目吓了我一跳,不过仔细读完之后也开始考虑,安全产业的价值在于何处?

我们真的需要一个安全产业么?scheneier的意思就是一句话:IT安全产业存在的主要原因就是IT产品和服务并非天生安全的(The
primary reason the IT security industry exists is because IT products
and services aren’t naturally
secure.)没错,一个可用的系统必然不是绝对安全的,因为安全性和可用性永远是一对矛盾——最安全的系统就是用铅盒封好然后埋藏在N米深的地下,但
是这个系统就是不可用的了。而另一方面,作为软件的用户,从他们的观点来看,他们需要的正是可用性:正如作者在最后所说:随着IT产业越来越向后台发展,
它将逐渐成为一个工具,用户只希望它能够工作,怎么工作的,他们并不关心(As IT fades into the background and
becomes just another utility, users
will simply expect it to work — and the details of how it works won’t
matter.),当然,它们也要安全,但是这种对于安全的需求包含在他们对于系统的要求当中。正如传统的硬件工业所做的那样,汽车的安全气囊,地铁的紧
急刹车按钮,主板的过热保护,银行的安全保障……这些都是系统本身必须具有的特性。这么看来,在IT产业当中,一个单独的安全产业似乎确实没有存在的必要
性。

但是问题反过来考虑一下:在传统的硬件工业当中,我们的操作对象是实实在在的物体——它们很容易控制,而且难于产生和复制。但是IT产业不同,它的处理对
象是信息,信息的最大特点便是难于控制和几乎没有成本的产生和复制。正如我现在正在写blog一样,这个世界上有很多的像我一样的人可以在自己的PC前面
写自己的看法——这几乎不需要什么成本。而他人想要转载,也只要拷贝粘贴一下即可。正是这种生产和复制的低成本,造成了信息的快速传播和难于控制,于是有
了垃圾邮件,或者其他的可以称为spam的东西。而Web的崛起就更加剧了这种情况,越来越多的东西出现在互联网上人们可以访问到的地方,但是并不是所有
的东西都是应该被所有人看到的:你会希望你9岁的儿子去看花花公子网站么,你会希望你公司内部的资料通过互联网传播出去么?当然不。所以这便是我认为的安
全产业存在的意义之一:对于信息的控制。不要被安全产业目前所做的事情——比如防病毒和防黑客——所蒙蔽,安全的目的并不是去防止病毒和黑客入侵,而是在
于保护信息。安全的主体是“人”,安全与否都是对于人来说的,安全产业应该提供的是信息对于人的安全。我们用https保护电子商务,用众多的安全产品防
止spyware,其目的都是因为有的信息对人来说是重要的(比如信用卡号码和密码),而这种信息的泄漏会给人造成损失。另一方面,我们用反病毒软件,就
是因为病毒会毁坏用户的数据,同样会造成损失。我们过滤垃圾邮件,其实是因为这些信息对人来说是无用的,而我们不应该为了无用的信息而耗费磁盘空间和处理
时间。所以,基于信息的内容,因人而异的提供信息的保护和过滤,这是我认为的安全产业在未来的最大价值。而人对于信息的需求一日不消除,对于信息的保护和
过滤就还有存活的价值,而安全产业,也就存在于这当中。

可以预见,将来的安全产业的核心竞争力已经不再是谁更大的病毒库和更高的恶意软件探测率,而在于智能的理解、保护和过滤信息的能力。那么安全产业是不是最
后会被IT基础产业合并呢?与其这样说不如说最后安全产业会变成IT基础产业的一部分。那个时候也许安全产业会在普通人的视野当中消失——就像现在的硬件
产业和软件产业一样,人们看到的是“这就是计算机”。

标签: