Bruce Schneier简介
Bruce Schneier是Counterpane Systems公司的总裁,该公司是一个密码学和计算机安全方面的专业咨询公司。并在主要的密码学杂志上发表了数十篇论文,他是《Dr Dobb's Journal》责任编辑之一,同时担任《Computer and communications Security Reviews》的编辑,是国际密码研究协会的理事会员、电子隐私信息中心的顾问团成员和新安全范例工作组程序委员会成员。此外他还经常举办密码学、计算机安全和隐私保护方面的学术讲座。
在安全业界,Bruce Schneier无异于一个摇滚明星,一个密码学专家,一个计算机安全专家,写过大量的畅销书,无数的专题文章,在他的博客www.schneier.com/blog可以找到这些文章,并且每个月有一本专刊,全球读者大约有13万。同时Bruce Schneier在“IT安全界全球最有影响力的人”名单中榜上有名。今天我们来看下Bruce Sshneier是如何看待“安全是可以解决的问题吗?还是一场无休止的战争”。
“安全是可以解决的问题吗?还是一场无休止的战争”
问题:最近几年里各个公司和组织机构对安全的态度主要有哪些变化?人们真的意识到了安全的重要性了吗?是否已经把安全提高到了战略性的高度?还是仍旧认为安全是一个附属品。
Bruce Schneier:有一些变化,可以看到许多可管理的安全服务正在涌现,这些服务通常只注重结果,而不是技术了;这也表明现在的集团组织越来越不关心具体的技术细节。同时随着集团对塞班司法案的重视,安全预算也随之增加。您可以质疑CXO们是否真的意识到了安全的重要性,还是只是应付了事,但结果是一样的。
我认为安全有深层次的心理因素,人们习惯把安全当作附属品。诈骗盛行好几百年了,银行对此非常重视,因为银行花了几个世纪来处理安全问题。计算机和网络安全还很年轻,可能也需要几代人才能认识到安全是产业核心的一部分。但是现在这样也好,因为专家似乎总是首先能够更好的权衡利弊。
问题:人们仍旧认为安全是可以单纯用技术可以解决的吗?像好多人提起安全就是“加个防火墙”。最近几年也看到一些文章讨论安全是一个真正的人为事件,并不是单纯靠技术就可以解决的。为什么这种争论这么吸引人?
Bruce Schneier:我们的社会对技术有种崇拜,技术可以解决很多问题,在计算机世界,很多也确实如此。过几年时间,文字处理、图表、网络等等问题都可以解决,但是安全基本上是一个由人产生的问题,所以技术只是很小一部分。
最终,随着集团组织不断开展各种业务,包括安全,他们就不会关心安全是怎么解决的了,安全已经成了一部分。MSM(Mobile Station Modem,移动台调制解调)提供商就认为安全是人、操作、技术的综合体,他们把安全当作一个整体销售。
问题:在当今这个IT驱动的世界,我认为从概念上大多数人都认为安全是一个重要的元素,但实际应用上与之并不一致。还需要什么呢?
Bruce Schneier:安全100%是一种激励,如果没有经济刺激,再好的安全方案也不可能被实施,和经济刺激绑到一块,安全公司就会全心全意地来解决安全问题。在计算机世界,我一直认为正确的激励是责任,软件厂商需要为不安全产品负责,集团组织需要对人们的个人信息负责,这种经济刺激最终会使IT界越来越安全。
问题:难道必须要把安全作为一项服务的内嵌功能,没有更好的办法?
Bruce Schneier:无疑服务提供者能够更好的处理安全问题。我的公司在自己的网络内有反垃圾邮件、反钓鱼、反恶意软件等等安全措施,连上来没有安全问题,所以当用户没有从ISP那里得到同级别的安全保证应该是一种犯罪,还是一个激励的问题。ISP没有动力来做这些安全措施,如果这是他的责任,那么就不一样了。
问题:最后,从用户的角度看,安全是可以解决的吗?还是会演变成一场IT版的恐怖大战。
Bruce Schneier:到目前为止有已经被完全解决掉的安全问题吗?谋杀、抢劫这些问题已经存在了几千年了。如果还有人问计算机安全能够解决,那只能证明我们对技术的崇拜。
计算机安全当然不可能被完全解决。它是一个包含人为因素的问题,自从猿猴进化成人以来,类似的问题就存在,并且将会一直存在下去。安全一直都是一种攻防对抗。“恐怖大战”这种说法最终也会消失并成为一段尴尬的历史,但攻防对抗之间的较量将会一直进行下去。
网友评论